日経ビジネス電子版 Special 週刊日経ビジネス電子版 SPECIAL日経ビジネス電子版

事業継続と説明責任を支えるセキュリティ

ゼロトラストネットワーク・AI時代のセキュリティ基盤の考え方「事業継続と説明責任を支えるセキュリティ基盤」

 セキュリティと聞いて、まず思い浮かべるのが情報保護ではないだろうか。ただし、それはあくまでも手段である。何のためにそれを行うのかというと、説明責任を果たし、事業継続を確保するためである。この2つの目的を達成するために、どんな基盤が必要だろうか。

 まず説明責任のためのセキュリティ基盤について考えたい。日本マイクロソフトの河野氏は、「10年くらい前から『もはやファイアウォールは役に立たない』という話が出てきた。ネットワークレイヤーのセキュリティは信頼性に欠けるゼロトラストネットワークとなった」という。

 どういうことか。今から10年くらい前とは、いわゆる標的型メールがあらわれてきた頃だ。こうしたLayer7のアプリケーションを通じて行われるサイバー攻撃をLayer2~4では防ぐことができず、既存のネットワークセキュリティは終焉したのである。

河野 省二 氏
日本マイクロソフト
技術統括室 CSO

河野 省二

 河野氏によれば、脅威の定番は「なりすまし」である。標的型メールのみならず、IoTで用いられる各種センサーや機器も巧妙になりすまされたら防御できない。どうすれば本物であることを確認できるだろうか。

 そこで河野氏が提唱するのがIDaaS(Identity as a Service)の活用だ。ユーザーIDをクラウドにて管理するサービスで、物理的なネットワーク境界に依存することなく相手が本物であることを確認し、システムの安全性を守ることが可能となる。河野氏は「IDはすべてのモノに対するトラストアンカーとなる」とし、「あらゆる資産に対して、自分たちが使いたいレンジでIDを紐づけていく必要がある」と強調した。

 IDを用いて自分が自分であることを証明していくことが、今後のサイバーセキュリティにおけるトラストとなっていくのだ。そして、そのガバナンスをインターネット全域に広げたいのであれば、当然のことながらID管理管理基盤は社内ネットワークではなく、インターネット側に置かなければならない。これを実現するのがIDaaSである。

サイバーレジリエンスの考え方で事業継続

 次に事業継続のためのセキュリティ基盤だ。ここで河野氏が取り上げるのは「サイバーレジリエンス」という考え方である。すべてのリスクを排除することは不可能であるため、仮にサイバー攻撃を受けたとしても最速で復旧し、事業への影響を最小化できる仕組みを作っておくというものだ。

 具体的にどんなことを行うのか。「システムのテストや検査、起動に要している時間を短くする。また、簡単に入れ替えができるようにすることが事業継続のための重要ポイントとなる。また、システム全体ではなくサービスや機能単位で復旧できるSOA(Service-Oriented Architecture)の導入を検討してほしい。これを突き決めていくことで、保守や復旧の範囲を最小化するマイクロサービス化を実現できる」と河野氏は説いた。

 また、サイバー攻撃者のふるまい検知やログ管理について、SIEMやCASBなどの仕組みに頼っている企業が少なくない。だが、これは最善の取り組みとは言えない。河野氏は「名寄せのできないログをSIEMで大量に収集し、計算集約型の解析を行っていても対応が追い付かない。結果が返ってくるまでに1日以上の時間を要することもザラだからだ。分散したシステムを統合するためのSIEMやCASBは過渡期のソリューションであり、それを前提としてこれからのシステムを計画すべきではない」と語った。

 ここでも最優先で検討すべきはプラットフォームとしてのクラウドの活用だ。たとえばアプリケーションの権限管理を先述のIDaaSに統合し、自社テナントの統合ログ管理基盤と連携させる。また、一部のデータを匿名化して外部のインテリジェンスを活用すれば、すぐに結果がフィードバックされてくる。このサイクルを1~2時間単位で行うことで、よりリアルタイムに近いセキュリティへの対応が可能となる。