セキュリティ対策への投資の必要性は、一般的には認知が進んでいる。ツールやソリューションの導入ハードルは(予算的な問題を除いて)下がってきているが、経営や管理者側の認識が甘いと、システムを強化すれば安全になるだろうと考える。
このような安易な考え方は、むしろ現場の負荷が増えるだけということになりがちだ。
AIによる高度な検知や自動検知機能をうたう製品も、正しいインストールおよび設定作業によって、組織ごとのデータを学習させる必要がある。何が異常でどういう状態が正常なのかは、システムを導入してから1~3カ月の調整期間が必要だ。
そして忘れられがちなのが、システムが正常に動作しているのは、「何も起きていない」のではなく「何も起きないようにしている」ということだ。この評価基準を間違えると、インシデント発生だけを見て、セキュリティ部門についてマイナス査定しかできない組織となってしまう。
セキュリティの基本的な考え方に「CIA」という言葉がある。セキュリティが維持されているというのは、「Confidentially:機密性」と「Integrity:一貫性」と「Availability:可用性」のバランスがとれている状態を指す考え方だ。
これも誤解されがちだ。セキュリティを守るのは機密性や一貫性を高めることだけではない。可用性、つまり使えなければシステムとして意味がないしセキュリティも意味をなさない。
多くは、機密性や一貫性を高める方向に重きをおいてしまい、ルールや規則で縛ることがセキュリティとなってしまう。その結果、セキュリティ部門は「現場を知らない規則ばかり押し付ける」存在になってしまう。
「自動化・意識改革・属人化の排除」がポイント
バーンアウトの問題は、個人の資質による部分があるものの、組織としての体制や制度、何より企業文化の問題も大きい。
ここを無視して個人の性格やスキルの問題としていては、解決にはならない。組織的な対策を考える必要がある。対策のポイントは次の3つとなる
・意識改革:セキュリティ部門と非セキュリティ部門のコミュニケーションが重要
・属人化の排除:スキル・プロセスの標準化
まず、最初に考えたいのは、運用の自動化である。ルーティンや煩雑な作業をいかに自動化、機械化するか。異常検知、アラートの発報まではAIを使えばかなりの部分が自動化できる。機械にできることはなるべく機械に任せ、人間は意思決定やセキュリティシステムの設計などに集中できるようにする。
次ページが続きます:
【「誤検知」問題にどう対応するか?】
