Broadcom Softwareが業界をリードし続ける

Broadcom Softwareでは、業務のサポートとなるグローバルサイバーセキュリティスタンダードを求めるCISOにとって、近年は苦難の連続であったことを理解しています。重複し、非連携で、競合する定義や標準が数多く存在するという、この業界の「バベルの塔」問題は、改善されるどころか悪化しているのです。  そのため、CISOでは、自らが直面している課題の個々の問題に対処するために、世界的基準、地域的基準、国内的基準を独自に選択することを重視する傾向にあります。しかし、その一方で、より広範な戦略的思考を形成するためのグローバルスタンダードの価値には懐疑的な傾向も見受けられます。

重要な技術標準をめぐる地政学的な競争が激化する中で、ハーモナイゼーションはさらに難しくなっています。中国は「中国標準2035」計画で新たなハードルを設定し、多くの西側諸国はその側面からインターネットの断片化のリスクを懸念しています。EU域内市場担当委員、Thierry Breton氏は2月に次のように述べています。「私たちはあまりにも甘すぎました。物事が思い通りに進むと信じて、ついつい心を許してしまったのです。しかし、なんとしても、このままにするわけにはいきません。」

こうした課題はあるものの、グローバルスタンダードによるサイバーセキュリティ向上の見通しについては、ここ数年来、従来よりも楽観的な見方をしています。標準化団体の副議長として、すべての国から高いレベルの参加を求めることが私の責務です。私が楽観的である理由の一つは、欧米諸国がこの競争的刺激に積極的に反応しているのを目の当たりにしているからです。たとえば、国際電気通信連合(ITU)の現事務局長Houlin Zhao氏（中国）の後任としてDoreen Bogdan Martin氏（米国）が立候補するなど、米国の関与の度合いが高まっています。Bogdan Martin氏は、対抗馬のRashid Ismailov氏（ロシア）と共に立候補し、9月に開催されるITU全権委員会で投票が行われる予定です。

念のため申し上げておきますと、ITUは国連の専門機関の一つです。ITUの中では、スタディーグループ17（SG17）がセキュリティ標準の作業全般を担当しています。中でも、ITU-T X.509は、公開鍵基盤（PKI）関連のアプリケーション設計の基礎となるもので、SG17が担当しています。これは、世界中で暗号化サービスを実現するための基盤となるプラットフォームです。

私が楽観的であるもう一つの理由は、3月にジュネーブで開催された世界電気通信標準化総会(WTSA-20）の決議50でSG17に示された指針です。決議50は、サイバーセキュリティの「バベルの塔」の課題を整理し、セキュリティスタンダードの多くのサイロを越えて明確化し、企業のCISOが組織のために安全なクラウドとデジタル変革を効果的に実行できるようにする真の可能性を持っています。

ここでは、新しい決議50、指針5、6が何を義務付けているか、そしてなぜそれがサイバーセキュリティのゲームチェンジャーになり得ると私が考える理由を簡単に説明します。

• 指針5「情報システム、ネットワーク、アプリケーションライフサイクルの各段階ごとに一般または共通のセキュリティ機能を定義し、その結果、システム、ネットワーク、アプリケーションに対して初日からセキュリティバイデザインを実現できるようにすること。」
   
• 指針6「セキュリティに関する勧告のクオリティ向上を図るため、さまざまなシステム、ネットワーク、アプリケーションのセキュリティアーキテクチャ設計の基礎として考慮されうるセキュリティ機能コンポーネントを備えたセキュリティアーキテクチャリファレンスフレームワークを設計すること。」

政府、民間部門、学界、市民社会、技術者、規制当局の間で強力な集票力を持つITUにおいて、セキュリティアーキテクチャ標準化というこの2つの分野の連携は、現代において前例のないことです。また、ISO、IEC、OASIS、ETSI、IETFなど、他の標準化団体との調整、コラボレーションにも役立ちます。

この作業は、エンタープライズCISOに直接関係するものです。サイバーセキュリティは、分野として、従来から、そして現在も、ポストプロダクションのサイバーセキュリティの運用に重きを置いています。私たちは、デザインによるセキュリティをますます重視するようになり、DevOpsの「シフトレフト」が進む中、SG17の活動は、セキュリティ変革に関する新しい考え方をCISOに提供するものです。

SG17の作業は、ベンダーが仕様書をサポートすることになった場合に関連する可能性があると認識するだけでも、標準化に関する一般的な考え方と言えるかもしれません。ただし、このようなアーキテクチャレベルの標準化作業と関わりでは時代遅れです。

たとえば、今日のXDRの世界では、アーキテクチャレベルの仕様ではなく、製品に焦点を絞ることがいかに制限的であるかは、すでにご存知の通りです。XDR製品は、オーケストレーションと自動化の相互運用性という現実の世界では実現できないような、より多くのことが可能であるとして販売されています。多くのXDR製品は、ベンダー独自のシグナルに基づく自動検知に非常に優れているのは確かです。しかし、今日、レスポンス「R」を自動化しているCISOはほとんどありません。なぜなら、IT資産全体を自動化するための広範な標準の枠組みが欠けており、サードパーティのシグナルに基づく検出を実際に行うことができないからです。

SG17は、「全体像」の標準化から着手することで、CISOとそのチームが今すぐビジネス全体についてより戦略的に考え始め、時間をかけて繰り返し戦略を進化させることを可能にしているのです。

ベンダーに依存しないフレームワークで、現実のセキュリティオーケストレーションと自動化を定義し、それを組織で実際に使用する方法にマッピングしなければ、機械の自動化への新規投資と優秀なスキルを持つ人材への新規投資の最適なバランスを取ることはできません。

Broadcom Softwareでは、サイバー セキュリティのグローバルスタンダードについて、これまでよりも楽観的な見方をしています。SG17の活動によってCISOがエンタープライズセキュリティの改善をどのように進めているかについては、今後数か月のうちにお知らせします。また、エンタープライズの近代化、最適化、保護に向けたBroadcom Softwareの支援については、こちらにお問い合わせください。