価値とは主観的なものです。あなたが私の家に入ったときにテーブルの上に索引カードがあるのを見たら、価値のないどうでもいいような紙切れと思うかもしれませんが、その内容はもう亡くなった私の祖母の甘辛マスタード ソースのレシピであるため、それは私にとってお金に代えられない価値があります。同じ索引カードでも、価値に対するこの二つの解釈は大きく異なります。すべてのデジタル資産はこの索引カードのようなものです。その価値は主観的であり、企業ごとに異なりますが、大事なのはデジタル資産には価値があるということです。そして、価値のあるデジタル資産(しつこいようですが、ここではすべてのデジタル資産を意味していると認識してください)を保護する必要があります。
企業にとってのセキュリティ アプローチとは、リスクに対してゼロトレランス ポリシーをとることが多く見られますが、成熟したデジタル企業は、リスクとリターンを考慮したセキュリティ アプローチのほうが良いことを認識しています。実店舗の場合、リスクとリターンを考慮したアプローチは、販売する商品を構成して保護する方法でよく見られます。低価値(本当はこの言い方は避けたいのですが)の商品は顧客の手が届きやすい場所に置かれるのに対して、高価値の商品は鍵の掛かった陳列ケースに置かれます。手に取りやすいことでカスタマ エクスペリエンスと購入の可能性は高まりますが、同時に盗難や紛失の可能性も高くなります。しかし、物理的な商品とデジタル資産に対して金銭的に等価な価値を与えることは簡単な一方、無形のデジタル資産に価値を与えることはそう簡単ではありません。
企業の無形のデジタル資産、つまり、その企業が所有権を持つコード、運用データや顧客データ(テレメトリ)、機械学習(ML)モデルなどの保護は、システム、eコマース サイト、顧客トランザクションのセキュリティ保護と同じくらい重要です。このような無形の資産が侵害されることは、中世の騎士が名誉を毀損されるようなものです。名誉が黄金や宝石と同じ有形の価値を持つことはありませんが、騎士は命がけで名誉を守ろうとするでしょう。それは、名誉によって競技会で競い、宮廷に出仕し、貴婦人たちの好意を得ることができたからです。
企業のデジタル資産が侵害されると、ブランドの評判に傷が付き、企業は開発機会や新たな収益源を失うリスクにさらされます。顧客データから派生的価値を構築し、他社との間で収益源を確保している米国の小売りチェーンのKrogerを例に取り上げましょう。このデジタル資産に攻撃者が簡単にアクセスできていたら、Krogerは、この資産から抽出した顧客の買い物の習慣や購買動機に関するその後の洞察を収益化できなかったはずです。しかし、広範囲にわたる徹底的なファイアウォールであっても、デジタル資産のセキュリティ保護を検討する上で必ずしも十分とはいえません。
企業がデジタル資産をセキュリティ保護するために採用する保護対策は、結局、先ほど述べた価値に対する考察に行き着きます。Krogerの例に戻ると、同社の洞察には明らかに高い価値があります。それは、収益に直結しているからです。補足的なデジタル資産としてのデータは、掘や跳ね橋のある城郭で騎士が警備する錠を掛けた扉の中で保管することはできません。しかし、外部の人間が盗んだり壊したりするのを黙って見過ごせるようなものでもありません。つまり、デジタル資産にどれくらいの価値があるのかを判断し、その価値に応じて保護する必要があります。それによって、最新のエンタープライズ アーキテクチャによって可能になる、リスクとリターンを考慮したセキュリティ アプローチに移行することができます。
最新のエンタープライズ アーキテクチャでは、保護のフレームワークを提供するセキュリティを採用しています。状況認識およびリスク認識の修正ポリシーを幾層も重ねてこそ、認証やアクセス制御などの決定論的施行ツールを活用することができるのです。
最新のアプリケーション セキュリティに対してリスクを認識した慎重な選択を行い、デジタル資産保護のためのフレームワークを構築する方法については、O’Reillyから刊行されている当社の書籍『Enterprise Architecture for Digital Business』にて、Distinguished EngineerのKen Aroraによる「Moving Beyond Fight or Flight」の章をお読みください。