世の中は、「DX」(Digital Transformation)というキーワードのもと、現場の情報とビジネスのプロセスを IT 基盤をもとに連動させて、新しい顧客体験の創出や自らの働き方の改革に結びつける動きが急速に広まっています。このような変革により IT の活用範囲がますます広がるなか、「セキュリティ」や「トラスト」というキーワードが重要なコンセプトとなっています。様々なビジネスプロセスが連動し、しかも社内のみならずエコシステムの中で連携するシステムが急増しているのですから、一つ一つのシステムに求められる「セキュア(安全な)状態であること」の確保が重要なことはいうまでもありません。
シスコには、様々な製品開発の組織が存在していますが、この「セキュリティ」と「トラスト」という部分に関しては一元的な組織で対応を行なっています。それが「Security & Trust Organization」と呼ばれる組織です。私も日本の中でこの活動の一端を担っています。
この組織の活動は多岐に渡ります。「自社のシステムを守ること」、そして「お客様にセキュアな製品・サービスをご提供すること」、これらはどちらも重要で同じレベルでの対応が求められます。セキュリティに関しては、プロダクトアウトの思考というより、マーケットインの視点でテクノロジーの動向および各国で異なる規制・法体制の変化に合わせて柔軟に変更して対応方針を決めていく必要があります。そのため、リソースを集約しながら情報や知見を収集し、研究開発を通じて運用や体制を確立し、対応状況を可視化し経営層に一元的に報告できるような体制をとっています。
具体例としては自社のシステムを守るための活動があげられ、Cisco InfoSec と呼ばれる CSIRT(Computer Security Incident Response Team)チームが世界各国の拠点で活動をしています。シスコの IT 基盤は、Cisco On Cisco として紹介されているように、主にシスコ製品を活用しながら守りを固めていますが、それ以外にも SIEM(Security Information and Event Managemnet)やオープンソースのツールを活用しながら、問題の洗い出しためログの検索の自動化を常に進めています。この考え方については、Jeff Bollinger や Brandon Enright 他が著作した「実践 CSIRT プレイブック ―セキュリティ監視とインシデント対応の基本計画」に、Playbook という手法で詳細に説明されています。ぜひご一読ください。
お客さまへのセキュアな製品・サービスの提供という意味では、複数の施策が実施されています。例としては Trustworthy Solution として製品の真正性(ハードウェア・ソフトウェアの偽造が行われていないこと)を確認する技術の開発や、シスコのすべての製品に関わる開発の基準としてCSDL(Cisco Secure Development Lifecycle)を策定して、計画段階からセキュリティの脅威を意識したセキュリティ・バイ・デザインの考えをいち早く実践する体制を作っています。すべての開発者にとってセキュリティを文化として身につけることが重要です。そのため、開発者にとって必要なセキュリティの考え方を徹底するために、レベルに応じて帯の色をメタファーにした Security Ninja Program という体系的なメニューを提供しています。さらに製品への実装や、サプライチェーンマネージメントの中でのセキュリティ要件の策定と維持、さらに、世界各国の規制や認証システムへの対応を進めて、お客様への提案にセキュリティを製品・サービスの基本の要素として織り込むことを意図しています。
これらの活動は、ポータルサイトとして The Trust Centerとして各トピックスについての紹介ビデオやホワイトペーパーを集めています。
このような Security &Trust Organization の営みは日々環境の変化によって変わっていきますが、シスコとしてのセキュリティに対するコミットは継続していきます。また、お客様の信頼に近づけるようにするために、活動の状況をできるだけ透明性を持って開示していくことを各国のメンバーが行なっています。
このブログの中でも今後シスコの持つセキュリティおよびトラストに対する活動について、時々の日本や世界の動向に合わせてより詳細に紹介していきたいと思います。