提供: アクセンチュア

エコシステム全体を守るセキュリティが、自社も強くする!サイバーセキュリティにおける“世界の常識と最新事例”

藤井 大翼

アクセンチュア株式会社
セキュリティコンサルティング本部
シニア・マネジャー

 セキュリティ市場においては“後発”のアクセンチュア。同社はなぜ、セキュリティ市場に本格参入したのか。その背景には「海外と日本のセキュリティ市場の違い」や「日本企業ならではのセキュリティ課題」がある。最新ソリューションから具体的な事例まで、アクセンチュア セキュリティコンサルティング本部 シニア・マネジャーの藤井大翼氏に聞いた。

海外企業における「セキュリティ投資」とは?

写真:藤井 大翼

藤井 大翼

アクセンチュア株式会社
セキュリティコンサルティング本部
シニア・マネジャー

 セキュリティ対策と言えば、アンチウイルス製品やファイアウォールといった“モノを買えば済む”と考えている経営者やIT部門管理者が日本には多い。これは日本のセキュリティビジネスのマーケット自体が、製品販売を主流として成り立ってきたことが大きな要因の1つだ。
 一方、海外に目を向けると、製品の販売自体はセキュリティ市場の4割程度でしかなく、6割はセキュリティコンサルティングや診断、運用サポート、セキュリティ監視、インシデントレスポンスサービスなどのセキュリティサービスで成り立っている。つまり世界的な共通認識として、“セキュリティへの投資”とは専門家によるコンサルテーションやサービスによる包括的な支援を大きく含んだ投資のことを指すのである。
 2017年12月にセキュリティ市場へ本格参入したアクセンチュアは、明らかに“後発の新参プレイヤー”である。だが、アクセンチュアが長年手がけてきた戦略コンサルティングや運用サポートの経験/ノウハウにこそ、日本企業が今後取り組むべきセキュリティ対策の糸口があると、アクセンチュア セキュリティコンサルティング本部 シニア・マネジャーの藤井大翼氏は語る。

 「調査の結果、『セキュリティ製品の運用がうまくいっていない』など、導入後の運用フェーズに課題をお感じのお客様が多いことがわかりました。例えばセキュリティ製品を導入したまま放置していたり、攻撃手法の変化に応じたアップデートを一切しないでいたりといったことです。アクセンチュアは適切なPDCAを回すことや運用サポートを提案します」

人、組織、手法。課題山積の日本企業のセキュリティ

 デジタル変革や働き方改革によって、サイバーセキュリティのあり方も日々変化している。昨今の課題について、藤井氏は次のように指摘する。

人的課題

 人材面では2つの課題がある。まずは、セキュリティを担当できるだけのスキルを持つ人材が採用できず、社内で育成するにもノウハウや時間がない、せっかく育成したとしても数年で異動してしまうといった、人材の確保・維持に関する課題だ。今後も日本企業ではこの状況が変わらないとみており、とくに日本全体が人材不足となる中で、事業成長のために優秀な人材を本業(コア事業)へ集中させたり、デジタル部門へ配置したりといった傾向が強まると、課題はより深刻化する。
 もう一つの課題は、現場の社員のセキュリティ倫理やスキル、ポリシーの理解度にギャップがあり、適切なサイバーセキュリティの運用に不安があることだ。また当事者意識が極めて低い場合もある。

 「人材が潤沢な時代であれば日本企業の自前主義は有効に機能しました。しかしIT人材は少なく、サイバーセキュリティスキルを持つ人材はさらに僅少です。政府もセキュリティ人材が少ないことを長く指摘し続けており、さまざまな施策を打っていますが、まだまだ時間がかかります。一方、サイバー攻撃やセキュリティインシデントは待ってくれません。こういった課題に対応するために、専門企業へのセキュリティアウトソーシングの検討や、中間的な手法であるRPAやAIの活用なども視野に入れて、セキュリティ戦略を立てる必要があります」

組織的課題

 組織における課題としては、CISO(Chief Information Security Officer:最高情報セキュリティ責任者)やCSIRT(Computer Security Incident Response Team:自社内の情報セキュリティ問題を専門に扱うインシデント対応チーム)、PSIRT(Product Security Incident Response Team:自社が手がける製品やサービスに対するインシデント対応チーム)などの設置が増えず、企業のセキュリティリスクを一元的に管理したり、インシデント発生時に強い権限を持ち対応をしたりといった専門部門が整備されていないことがあるという。
 また日本では、セキュリティ部門があったとしてもIT部門の配下にあるケースが多い。一方の海外では、IT部門とセキュリティ部門を分離して設置することも多くなっている。

 「IT部門内にセキュリティ部門を設置して活動することは、セキュリティ上の問題やインシデントを自部門のミスだと経営層に認識されることを恐れ隠蔽的な組織体質を招くため、望ましくないと考えています。セキュリティ製品の設置・運用そのものはIT部門の担当業務かも知れませんが、リスク管理そしてチェックを行う部門を分離して、会社全体としてセキュリティのPDCAを適切に回せる体制にすることが有効です」

手法的課題

 自社のサイバーセキュリティをどう方向づけるのかなど、戦略策定や長期ロードマップを描くプロセスが重要だ。外部の専門家集団を利用する場合でも、パーツごとのバラバラの依頼では取りまとめをする人材が社内に必要となる。藤井氏は「委託する場合は戦略策定から対策実施、運用まで、エンド・ツー・エンドでサービスを提供できるパートナーを選定することが有効」と話す。

自社を守るには「エコシステム全体を守る」ことが必要

 人材や組織、手法における課題のほか、新たにクローズアップされているアジェンダが「自社を守るにはエコシステム全体を守る」ことだと藤井氏は強調する。
 昨今は事業のIT化やデジタル化など自社製品へのデジタル技術の組み込み、異業種企業とのコラボレーションなども増えている。また企業をまたがって連携するシステムなど、統合的なサプライチェーンを運用している企業も多い。

 「アクセンチュアでは今後3年間でビジネスに大きな影響をもたらす重要なテクノロジーのトレンドを予測した年次調査レポート『テクノロジービジョン』を発行しています。今年は5つのトレンドのうちの1つとして、「自身を守るために全体を守る」を提唱。自社だけでなくエコシステム全体のセキュリティを担保する重要性について取り上げています。自社のセキュリティレベルが高くても、バリューチェーンの中で協業している関係企業にセキュリティリスクがあると、そこから思わぬ感染や情報漏洩のインシデントがすでに発生しているのです」

 一般的に大企業のセキュリティ意識は高い。だが、取引先などサプライヤーのセキュリティ状況まで完全に把握できているだろうか。
 攻撃者は外堀を埋めながら、徐々に本丸である大企業への侵入・攻撃を繰り返している。自社はもちろん、取引先のセキュリティも含めてトータルに考えなくてはならない時代なのである。
 またテクノロジービジョン2019では、量子コンピュータや分散型台帳(ブロックチェーンなど)技術、さらにAIの利用拡大を予測している。藤井氏によると、それらの先端技術は高い利便性をもたらす一方、悪意ある攻撃者の手に渡った場合は、それがサイバー攻撃に悪用されてしまうリスクがある。あらゆるものに「絶対の安全」はあり得ない。攻撃は受けるものという前提で、ITシステムやサービス、製品設計を行うことが不可欠なのである。

「当事者意識の低さ」が危険、攻撃を受けていない大企業はない

写真:藤井 大翼

 「攻撃を受けていることを前提とする対策」といっても、経営者やIT担当者は何から手をつけるべきなのだろうか。製品の導入やアセスメントも重要だが、より緊急性が高いのはマインド(意識)である。
 日本企業は他社に起きたインシデントを自社に置き換えて想像する危機意識(当事者意識)が欠如しているという指摘がある。確かに日本ではこれまで、情報漏洩によって大企業が一夜で倒産したり、株価が回復不可能なほど打撃を受けたりしたケースは非常に少ない。
 だが、セキュリティインシデントの報道を対岸の火事と認識してはいけない。藤井氏は「日本の大手企業で、いかなるサイバー攻撃も受けたことがないという企業は、まず存在しない」と断言する。

 「お客様からの依頼で調査を行ってみると、不正アクセスを受けた痕跡、現在進行形の攻撃、対処されていないセキュリティホールが必ずと言っていいほど見つかります。そうした現実を直視するところから始めなければいけません」

戦略立案から運用まで
“グローバルでのトータルセキュリティソリューション”

 人材や組織、エコシステム全体でのセキュリティ向上など、日本企業を取り巻く環境には課題の多いことが理解いただけただろうか。
 冒頭で述べた通り、セキュリティ製品は導入だけでなく、運用にも重きを置くのが世界的な常識だ。これまでの市場に不足していたエンド・ツー・エンドのサイバーセキュリティのサービスは、アクセンチュアがすでにグローバル規模で提供している。そのサービス領域はセキュリティ戦略の策定やリスクマネジメントから、サイバーディフェンス、アプリケーションセキュリティ、包括的なマネージドセキュリティサービスまで、企業が常に外部の脅威から先んじてセキュリティを確保するための支援を行っている。

 「アクセンチュアには世界各国の最新セキュリティ情報を集約し、専門家が常時運用するグローバルサービス提供拠点『サイバー・フュージョン・センター』があり、東京にも設置されています。日本のサイバー・フュージョン・センターでは、アクセンチュアが自ら収集しているグローバルの脅威情報や脆弱性情報について、機械学習を活用して有効な情報へと整理し直し、攻撃の予兆をもとにした先回りの防御の実施、つまり予兆運用を実現するサービスを提供しています。このようなサービスに加え、コンサルティングからマネージドサービスの実施まで、お客様のサイバーセキュリティのニーズに幅広く応えています」

【最新事例】
自動車、医療機器、金融サービスのセキュリティ高度化

 藤井氏は昨今のセキュリティ事例として、自動車メーカー、医療機器メーカー、金融サービスにおける事例を挙げる。

自動車メーカー:コネクテッドカー時代のセキュリティ対策

 安全面での問題もあり、コネクテッドカーには高いセキュリティが求められている。ただし自動車メーカーの各工程では、それぞれの役割を担う組織の事情が異なるため、セキュリティ対策を行うにしてもすり合わせの負荷が高い。
 アクセンチュアが手がけたプロジェクトでは、グローバルでの支援実績から得られた専門的な知見の提供だけではなく、アクセンチュアが得意とするPMO(プロジェクトマネジメントオフィス)支援を通じた関係者間の調整力やプロジェクトの推進力が高い評価を得ている。そのほか、PSIRTの立ち上げとその手順書・フロー整備、さらに関連するセキュリティ機能整備や脆弱性診断などもサポートした。

医療機器メーカー:デジタル化する医療機器をよりセキュアに

 医療機器は国ごとに異なる法律・規制への対応が難しいことや、製品を発売してしまうとパッチ当てなどの更新も当局の承認が必要になるなど、運用面でのハードルが高い業界だ。
 このプロジェクトでは製品設計の段階からサイバーセキュリティ専門家による支援を行い、高度な作り込みを支援した。

金融サービス:アプリやWebサービスはセキュリティ抜きに語れない

 大手金融機関からスタートアップまで、多種多様なフィンテックのアプリやサービスが登場している。金融業界は元よりセキュリティ意識の高い業界ではあるが、スマホアプリのセキュリティは金庫に保管する類のモノとは異なり、ネットワークやサービス設計の段階からセキュリティを前提に構築することが不可欠である。
 アクセンチュアセキュリティから参画しているメンバーは、UI/UXデザイナーやインフラ基盤のチームが見落としていたセキュリティリスクを先回り的に指摘し、サービスのセキュリティレベル向上に貢献した。
 藤井氏は「スマホアプリの中には機能追加によって、もともとは金銭が絡まないアプリから突然、金融サービスを提供するアプリに変貌するケースがあります。そうなった場合、セキュリティ要求レベルが段違いとなり、開発チームや運用チームはスキル不足や意識の低さからうまくその要求レベルに到達できないことがあります。こういった場合、私たち専門家の視点からのサポートが必要となる場面があります」と語る。

 産業のデジタル化が進むなか、従来は企業のOA・バックオフィス環境の領域で閉じられていたセキュリティが、企業の利益を生み出す分野のデジタル化に伴いビジネスに直接的にかかわる度合いが高まっている。また、社会課題である働き方改革などのワークスタイルの変化やそれに伴うIT利用環境も変わっていく。こういった刻々と変わっていくセキュリティへの取り組みも積極的に進めることが重要だと藤井氏は語る。

「高い当事者意識へとマインドチェンジして、企業のビジネス環境やリスクを把握し、IT環境へのセキュリティ製品導入で終わらない、戦略や運用まで含めた一貫性のあるセキュリティ対策を早急に行うことが大切です」

写真:藤井 大翼

↑