日経 xTECH Special 日経 xTECH 日経 xTECH Special

「ゼロトラストセキュリティ」の重要性とは

サーバーとPCの中に入っているデータさえ守っていればよかったのは、すでに昔の話。
現在では、クラウド環境やIoT機器もセキュリティ対策の対象となり、AIなどさまざまな手法で武装した攻撃者のアタックも跳ね返せるだけの“知力”が求められるようになった。 このような状況に、日立ソリューションズはどのような解を提示するのか——。 同社のトータルセキュリティソリューションにおけるエバンジェリスト 扇健一氏に、日経BP 総合研究所 フェローの桔梗原富夫が話を聞く。

技術の進歩に伴って様変わりする
セキュリティリスクの最新状況

——扇さんは長年にわたってセキュリティの分野で活躍されてきたと聞いています。これまで、どのようなところを担当されてこられたのですか。

扇 健一 氏
日立ソリューションズ
クロスインダストリソリューション事業部
セキュリティソリューション本部
セキュリティマーケティング推進部
部長
扇 健一

1996年よりセキュリティ関連の研究開発およびインフラ構築業務を経て、情報漏洩防止ソリューション「秘文」の開発や拡販業務に従事。その後、セキュリティソリューション全般の拡販業務に従事し現在に至る。また、並行して特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)でのセキュリティ分野における社会貢献や早稲田大学グローバルエデュケーションセンター非常勤講師として活動を行う。

扇氏 セキュリティには、20年以上関わってきました。

 当社の情報漏洩防止ソリューション「秘文」の開発チームでマネージャを務めた後、秘文のプリセールスを6~7年担当。その後、範囲をセキュリティソリューション全般へと広げて、お客様へのコンサルテーションやセミナーでの講演をしています。

——この数年で、セキュリティを巡る状況は大きく様変わりした感があります。扇さんは現状をどのように見ておられますか。

扇氏 一言で言えば、ウォッチすべき範囲が広くなりました。

 ランサムウェアへの対策が一段落して、これでもう被害が減るだろうと思っていたら、今度はEmotet(エモテット)という高度なマルウェアが登場しました。

 メールでお金を騙し取るビジネスメール詐欺(BEC)も、なかなか防ぎにくい脅威です。こうしたイタチごっこをなくすために、「ゼロトラストセキュリティ」に注目しています。「ゼロトラストセキュリティ」はネットワーク、デバイス、ユーザーなどは、安全でないことを前提に対策を考える、つまり、それらを信頼せずに必ず確認するという考え方です。

桔梗原 富夫
日経BP 総合研究所
フェロー
桔梗原 富夫

——クラウド時代を迎えたことで、セキュリティに対する考え方も変わってきているようです。

扇氏 実際、お客様から、クラウドのセキュリティはどうすればよいのかと聞かれることが増えています。

 クラウドに移行すればセキュリティ対策の運用が楽になると考える企業が多いのですが、実際にはクラウド事業者がセキュリティ対策すべてを担当してくれるわけではありません。IaaS(Infrastructure as a Service)ならほとんどをユーザー企業がやらなければなりませんし、SaaS(Software as a Service)の場合でもデータは企業が自ら暗号化などで対策する必要があります。

 クラウドに関連して、製造業ではIoT機器のセキュリティが課題になり始めていますし、今後は5Gにより多くのIoT機器がインターネットにつながり、攻撃を受けるリスクが高まることも考えなければなりません。そのように広がっていくと、やがては、社会インフラ全体についてのセキュリティのあり方が問われることになるのだろうと思います。

クラウド環境やIoT機器を保護するために
見直すべきところはまだまだ多い

——セキュリティ対策について、見直すべきところがまだたくさん残されているわけですね。

扇氏 そうです。例えば、会社契約のSaaSやIaaSについては、自宅からのアクセスで情報が漏れたり、自宅のPCに潜んでいたマルウェアがクラウドに持ち込まれたりといったリスクがあります。

 また、シャドーITの一つの形として、部門が独自に契約したSaaSが全社IT統制の対象から漏れていることも考えられます。

——立ち上がり始めているIoTにも、セキュリティ面での課題がいろいろとありそうです。

扇氏 一般の方に理解していただきやすいリスクの例としては、インターネットに接続されている監視カメラがあります。具体的には、街角や公共施設などに設置しているライブカメラや小売店にある防犯カメラですね。

 このような監視カメラにはパスワードが出荷時の設定のままになっているケースもあり、映像が外部に漏れているという実態があります。

 また、工場では、例えばロボット、ロボットを制御するコントローラー(PLC)、クラウドとの間でデータをやり取りするためのPCやネットワーク、データを吸い上げるセンサ、そしてクラウド環境について、しっかりとガードを固めなければなりません。

 さらに、個人の生命や財産を守るという観点では、スマートフォンなどを使って外から家の鍵を開け閉めできるスマートロックや、病院や診療所で使われる医療機器についても、万全のセキュリティ対策が求められます。

——そうしたリスクへの備えについて、業種による温度差はありますか。

扇氏 一般論としては、金融業界がもっとも早くからいろいろな対策に取り組んでいると見られています。危険を伴う業務を抱えている重要インフラやグローバルで上位に位置する大手製造業も、意識は高いといえるでしょう。

 一方、業種を問わず、これまでにサイバー攻撃の被害を受けていない企業・団体、例えば日本の製造業を支えサプライチェーンの一翼を担う中小企業などでは対策が進んでいないのが実情です。

経営層の意識を高めるとともに
人材不足をAIで補う工夫も重要

——経営者のマインドは「セキュリティは経営マター」というように変わってきましたか。

扇氏 以前よりは考え方が変わってきたように思います。

 例えば、セキュリティ事故の記事を新聞で読んだ社長が、自社のセキュリティの状況について、部下に対策を指示するというようなことも多いようです。

 当社のセキュリティセミナーには、社長やリスク管理担当の役員の方々にも多数お越しいただいており、意識は高まっていると感じています。

 ただ、DX(デジタルトランスフォーメーション)を推進するにも、セキュリティを固めなければならないということに気付いておられる企業はそれほど多くありません。

 当社としても、ゼロトラストセキュリティを企業に実装していただくための普及活動にさらに力を入れていきたいと考えております。

——セキュリティの重要性が高まる一方で、セキュリティ人材をいかに増やしていくかもIT業界では議論になっています。

扇氏 セキュリティ人材は大幅に不足しており、セキュリティツールが警報を発しても対処できなくなっている状況もあるようです。

 RPAでの自動化は現状では難しいと思われますので、セキュリティ情報イベント管理(SIEM)ツールなどにAIを組み込み、可能な限り自動化を進めるのが現実的な対処ではないでしょうか。

 もちろん、攻撃側もAIを活用して企業のIT基盤の穴を見つけ出してくると思いますので、今後は、攻撃側のAIと防御側のAIが無人で対戦することになるのかもしれません。

——セキュリティ対策の司令塔となる組織も、企業内に必要ですね。

扇氏 はい。国や経済団体の指導もあって、シーサート(CSIRT)を社内に設ける企業は増えてきました。

 今後は、製品ライフサイクルを通じてセキュリティを製品に実装するピーサート(PSIRT)も必要になっていくことと思います。

コンサルから運用までをトータルに提供
海外製品もいち早く紹介している

——たくさんのセキュリティ課題を抱える企業に対して、日立ソリューションズはどのような解決策や価値を提供していかれるのでしょうか。

扇氏 日立グループの一員である当社は、グループのシナジーを生かして、さまざまな製品やソリューションを開発してきました。

 また、鉄道や電力などの重要な社会インフラに関わってきた経験や、情報技術(IT)と制御・運用技術(OT)の両方の領域にまたがる知見をもとに、コンサルテーションから運用までのフェーズでワンストップのサービスを提供できることも強みです。

 さらに、アメリカ・シリコンバレーに常駐する「目利き部隊」がキャッチした情報をもとに、お客様のセキュリティ課題を解決できるハードウェア・ソフトウェアを日本市場にいち早くご紹介しています。

——最近の海外製品ですと、どのようなものがありますか。

扇氏 例えば、ボットによる不正アクセスをブロックするための仕組みとして、AIを活用し、人かボットかを高精度に識別する「PerimeterX Bot Defender」を日本初の代理店として2019年末にリリースしました。

 ほかにも、AIを利用し、高い検知率を実現する次世代マルウェア対策「CylancePROTECT」も日本初の代理店としていち早く提供開始しています。

 当社独自の付加価値として、万が一マルウェアに感染した場合でもセキュリティの専門家がサポートするサービスも2020年2月にリリースしました。

——2025年に向けて、セキュリティの領域では何が求められていますか。

扇氏 これからは、企業のビジネスを守るだけでなく、個人の生命や財産を守るためのセキュリティという考え方も重要になります。

 その一つの分野が医療ですし、スマートホームやコネクティッドカーのような身近なIoT機器を守ることも重要でしょう。

 言い換えれば、社会インフラにあらかじめセキュリティを組み込んでおく「セキュリティ バイ デザイン」がITの社会実装に欠かせないということです。

——扇さんとの対話を通じて、日立ソリューションズの強みがあらためてはっきりしたように思います。ITとOTの両方に精通しており、重要な社会インフラの経験が豊富で、コンサルテーションから運用までワンストップで提供できる——というのは、日立ソリューションズならではの強みでしょう。

 そのうえ、製品やソリューションを自社で開発するだけでなく、シリコンバレーで見つけた新しいテクノロジーを自社で検証したうえで日本の企業に提供しておられる。

 クラウドシフトによってセキュリティの境界が曖昧になっている現状を踏まえた「ゼロトラストセキュリティ」に今後注力されていかれることも、大変心強く思います。

 そうした活動を通じて、今後とも、日本のセキュリティを変えていただければと期待しております。

セキュリティ対策のより詳しい情報はこちらから

日立ソリューションズ

https://www.hitachi-solutions.co.jp/
  • 桔梗原富夫が聞く “半歩先”の未来ソリューション TOP
  • 【桔梗原富夫が聞く “半歩先”の未来ソリューション】第2回:空間情報 スマートフォンやIoTの普及で一変した空間情報の世界3D空間情報をDXに加味すれば、新しい世界が生まれる
  • 【桔梗原富夫が聞く “半歩先”の未来ソリューション】第3回:ビジネスコラボレーション 時代が求めている、共有と協創がビジネスデータに新たな価値を生み出す