日経 xTECH Special
人の手による対応では追いつかない 「世界で最も革新的な企業」に選ばれたServiceNowのセキュリティ対策

人の手による対応では追いつかない 「世界で最も革新的な企業」に選ばれたServiceNowのセキュリティ対策

膨大な数の脆弱性に人手での対処は限界
自動化なしでは対応できない

 「企業が使っているサーバーや端末は膨大な数になります。その1台1台に脆弱性が潜んでいます。1台ずつカウントすれば、大企業ではトータルで100万を超える脆弱性が存在するケースも珍しくありません。以前は社内システムの脆弱性が見つかるたびに、手作業で対応することもありましたが、いまでは脆弱性スキャナなどの導入が進み発見数が桁違いに増えたことで、『対応のプロセスが回らなくなった』という声をよく聞くようになりました」(高橋氏)

 人海戦術ではもはや追いつかない。ServiceNowのような、最大限の自動化を実現するセキュリティ対策が求められている。とはいえ、数十万、数百万に達する脆弱性への対応をすべて自動化できるわけではない。そこで重要になるのが、優先順位付けだ。

 「私たちが自社で実践し、かつ、お客様に提案しているのは、ビジネスコンテキストに基づく優先順位付けです。単純化した例を挙げると、1万ユーザーが使っているシステムと100ユーザーしかいないシステムがあったとすれば、前者のシステムに優先的に対処すべきでしょう。私たちのソリューションはサーバーや端末の構成情報を持つことができるので、これを活用して優先度判定を行うことができます」(北川氏)

 ビジネスへの影響度の大きいところから順にセキュリティ強化を図る。当たり前のことではあるが、それを実現できている企業は意外に少ないようだ。

 また、日本でも多くの企業がServiceNowの各ソリューションを導入しているが、今後、この動きはさらに加速すると見られている。そのトリガーになると考えられるのが、今年夏ごろに東京と大阪に開設されるデータセンターである。

深谷氏

 「現在、ServiceNowは世界で18のデータセンター(9ペア)を運用しています。ここに、日本の2カ所が加われば20データセンター(10ペア)となります。東京と大阪に立ち上げられるデータセンターはアクティブ/アクティブの構成。仮に一方がダウンしても、すぐにもう一方に業務を引き継ぐことができます」(深谷氏)

国内データセンターの開設で
より活用しやすくなるServiceNow

 法規制や社内ポリシーの観点で、「データを海外に出したくない」というケースは少なくない。こうした企業からは、同社に期待する声が多く寄せられている。国内データセンターの開設は、日本市場を重視する同社の姿勢の表れでもある。

 ServiceNowの基盤となる国内データセンターは、海外で稼働中の同社データセンターと同じルールに基づいて運用される。

 「当社は全社共通の情報セキュリティポリシー、具体的な運用手順などを定めています。セキュリティに関してはNIST、ITの運用についてはITILといったグローバル標準を実装したものです。例えば、FedRAMP(Federal Risk and Authorization Management Program:米国連邦政府のクラウド調達基準)のような厳しい基準にも適合しています」と高橋氏は説明する。

 国内データセンター開設はNTTコミュニケーションズとの協業によるものだ。NTTコミュニケーションズの提供する堅牢なファシリティの上に、独自のノウハウを盛り込んだ設備、機器類をデザイン。インフラからアプリケーションまで、垂直統合された形でクラウドサービスを提供するという形になる。だからこそ、より可用性や信頼性の高いサービスを実現できるという面もある。

 ServiceNowの“セキュリティオペレーション”のもたらす効果は大きい。それを、自社事例で見てみたい。先に触れたように、ServiceNowの“セキュリティオペレーション”の最大のユーザーは、ServiceNow自身である。

 「いま、当社の事業は年率40%成長という勢いで拡大しています。社員数も急増していますが、一方で、1人当たりの生産性向上にも取り組む必要があります。そこで、“セキュリティオペレーション”を活用することで、大きな効果を実現しました。例えば、セキュリティアラートへの対応は、以前と比べて6倍速くなりました。また、セキュリティ関連業務の生産性は5割増加。これは、年間で5000万円のコスト削減効果に相当します」と北川氏は説明する。

 いま、世界中の多くの企業がServiceNowの“セキュリティオペレーション”を活用して、セキュリティリスクを最小化しつつビジネス効果を最大化している。「クラウドの上手な使いこなし方」が問われている中で、ServiceNowの“セキュリティオペレーション”は有力な選択肢になりそうだ。

企業の「働き方」を変えるServiceNow
service nowロゴ