ITの分散化がセキュリティ侵害の鍵 - TechRepublic

個人識別情報 (PII) が不注意により一般に公開されてしまうセキュリティ侵害のリストを掲載している Web サイトを調べてみると、侵害のほとんどに関与している組織が高等教育機関と政府という 2 つのカテゴリに分類されることがわかります。

長年にわたり両方の分野に関わってきた経験から、なぜこれらがセキュリティ侵害に対して特に脆弱なのかについて独自の見解を持っています。そして、最大の原因はITの分散化の誤った実施にあると考えています。「誤った実施」と明確に述べているのは、過去にも記事を書いてきたように、ITの分散化には正しい方法と誤った方法があると今でも信じているからです。本稿では、ITの分散化の正しい方法と誤った方法を説明し、それがどのようにセキュリティ侵害につながるのかを説明します。

適切に行われた IT 分散化には次のような特徴があります。

1. 予定通りです。
2. 中央 IT 部門と組織の分散 IT 部門の間では、役割、責任、サービスが明確に区別されています。
3. 管理と責任は放棄されずに分散ユニットに委任されます。
4. 制御と責任が委任されている場合でも、中央 IT 部門は強力な監視の役割を果たします。
5. 責任は中央 IT 部門が負い、中央 IT 部門には組織全体にポリシーと手順を適用する権限と経営支援があります。
6. 組織の IT 資金は、購入またはプロジェクトの承認、あるいは資金の直接管理など、何らかの形で中央 IT によって管理されます。
7. 分散型ユニットは不正ユニットでも孤児でもありません。
8. 強力なガバナンスプロセスが確立されています。
9. IT セキュリティと監査は、組織にとって後付けのものではありません。
10. 組織は IT を真剣に受け止めており、組織の CIO は上級管理チームのメンバーです。

上記を見ると、集中管理が多すぎるという人もいるかもしれませんが、私は、自律性と強力な管理を同時に実現でき、上記のモデルを正しく実行すれば、IT サービスを提供するための強力な方法になると主張します。

さて、ここで私が間違った IT 分散化、つまり「自由放任主義の分散化」と呼ぶものの特徴を見てみましょう。

1. これは計画外であり、IT は組織のさまざまな領域で「成長」しており、多くの場合、さまざまな資金源を通じて成長しています。
2. 役割、責任、提供されるサービスに関して、中央 IT とさまざまな分散ユニットの間に明確な区別はありません。
3. 標準が存在する場合、主に中央 IT 部門がそれに従っており、分散ユニットは独自の標準に従うか、まったく標準を持っていません。
4. 通常、中央 IT 部門は分散ユニットをほとんどまたはまったく制御できず、分散ユニットとの戦闘に巻き込まれると、分散ユニットに負けることがよくあります。
5. 中央 IT ユニットは自身に対してのみ権限を持ち、その監視能力は助言のみであり、分散ユニットに協力を強制する方法はありません。
6. 分散ユニットへの資金提供は中央 IT から独立しており、そもそも分散化の主な理由としてよく使用されます (つまり、「これは私のお金だ。使い方を私に指図することはできない」)。
7. IT 資金調達のメカニズムにより、組織内に IT を持つ人と持たない人が存在します。
8. IT ガバナンス プロセスが弱いか、存在しません。
9. 中央 IT 部門は、財務や給与計算などの管理業務の要件とみなされており、真のビジネス パートナーとは見なされていません。
10. IT サービスの提供においては政治が大きな役割を果たします。

冒頭の発言に戻りますが、私がこれまでのキャリアで見てきた政府機関や高等教育機関のITの多くは、「適切な分散化」というよりは、むしろ「自由放任主義的な分散化」に近い印象を受けます。どちらの業界も、ITは必要に応じて成長し、高度に分散化されたIT組織へと進化する傾向があります。なぜこれが問題となり、どのようにセキュリティ侵害につながるのでしょうか？

自由放任主義モデルはITサービスの提供において効果を発揮することがあります。うまくいく場合もあれば、そうでない場合もあります。誰もが、中央IT部門よりも優れた、迅速かつ低コストのサービスを提供した分散型ユニットを挙げることができる一方で、ほとんど成果を上げられない組織も数多く存在します。こうした分散型ユニットの多くは、「本来の」業務に加えてIT関連の業務も担っており、ITを趣味、権利、あるいはそもそもなぜこの業界にいるのかによって義務と捉えている人々で構成されているのです。つまり、ITは彼らの専門分野ではないのです。彼らは業務を遂行し、そのために必要なことを行うためにITを必要としています。しかし、ITをビジネスや専門職のように運用するための時間もリソースも不足しています。

このモデルは長年ITサービスを提供する上で機能してきましたが、世界は変化しました。「アマチュア」が運営するIT（軽蔑する意図で言っているのではありません）は、これまでも、そしてこれからも必要なサービスを提供し続けますが、「悪者」が進化を遂げた高度な技術レベルや、現代のITに伴う責任や義務に対応できていません。かつては、組織が凡庸なITを実施しても、自社にとって脅威となるだけで済みましたが、今では他者にとって脅威となっています。

この品質と洗練性の欠如と、非常に望ましい製品 (数十万人の個人情報) を組み合わせると、高等教育機関や政府機関でデータ損失が発生しやすい理由がわかります。

最終的に、組織におけるIT運用の責任はCEOにあります。その責任を理解し、権限とリソースを必要な場所に投入し、責任ある効果的なIT組織を構築する人もいます。集中型か分散型かを問わず、責任ある効果的なIT組織を構築する人もいれば、そうではなく、災難に見舞われて現実を直視するのを待っている人もいます。こうした「災難」が、多くの場合、そうした組織に信頼を寄せていた多くの無実で疑うことを知らない人々の個人情報の漏洩という形で現れるのは、実に残念なことです。