情報セキュリティ戦略セミナー
Review

ニューノーマル時代の
セキュリティ対策最前線

長期化の様相を呈する、新型コロナウイルスのパンデミック。企業においては、テレワーク/在宅勤務を支えるITシステムを恒久的なものとして捉え直し、最適な環境を整えることが重要になっている。その際、不可欠なのがセキュリティ対策の刷新だ。クラウド/オンプレミスのハイブリッド環境をどのように守り、事業継続性を確保するか。新たな「ゼロトラストモデル」の導入も、企業の喫緊の課題として浮上している。
日経BPでは、そうしたヒントを提供する場として、今年も「情報セキュリティ戦略セミナー」をオンラインで開催した。ニューノーマル時代に求められる対策の在り方と、描くべき経営戦略の方向性について、各社の講演を基に紹介する。

基調講演

内閣官房
DXとセキュリティは表裏一体
両輪の戦略が成長のカギになる
内閣官房
内閣サイバーセキュリティセンター(NISC)副センター長 内閣審議官
山内 智生氏
内閣官房 内閣サイバーセキュリティセンター(NISC)副センター長 内閣審議官 山内 智生氏

多様な政府機関と連携し、戦略の策定・実行を支援

 内閣官房に設置された内閣サイバーセキュリティセンター(NISC)。この組織は、政府が定めるサイバーセキュリティ戦略に基づき、「自由、公正かつ安全なサイバー空間」の創出に向けた多様なセキュリティ強化活動を展開している。

 具体的には、政府機関が情報セキュリティ対策を推進するための統一的基準の策定・運用・監査、サイバー攻撃の監視や即応調整チーム(GSOC)の運用、脅威に関する最新情報の収集・集約などを行う。また、安全保障を視野に入れた国際連携支援や、電力、通信、交通機関といった重要インフラにおける情報セキュリティ対策の官民連携支援も担っている。さらに、来る世界的スポーツイベントに向けたサイバーセキュリティ対策の推進も重要な任務だ。

 「2021年に現行のサイバーセキュリティ戦略が計画期間を終えるため、次期サイバーセキュリティ戦略の検討も進めています。柱は『経済社会の活力の向上及び持続的発展』『国民が安全で安心して暮らせる社会の実現』『国際社会の平和・安定及び我が国の安全保障』に寄与すること。これらの実現に向け、政府が進めるデジタル改革とも緊密に連携していきます」とNISCの山内 智生氏は述べる。

“DX with サイバーセキュリティ”の成否はトップ次第

 もう1つ、サイバーセキュリティ戦略の推進に欠かせないのが官民連携だ。そのためには、民間企業の側も、デジタルトランスフォーメーション(DX)の取り組みと歩調を合わせたセキュリティ強化を図ることが重要になっている。

 ただ、このDXとセキュリティの両立は「言うは易く行うは難し」である。実際はデジタル化の推進とサイバー空間の安全性確保を、それぞれ別の担当者の仕事と認識している企業は少なくない。また、既存のレガシーシステムがブラックボックス化しているため、適切な対策方針の立案が困難なことも課題になりがちだ。「こうした状況では対策方針とIT投資の内容がちぐはぐになり、場当たり的な対応になってしまうでしょう」と山内氏は指摘する。

 これを正し、あるべき方向へ変革を導くのは経営トップの責務である。デジタル化の計画がフロントオフィス/バックオフィス業務の双方に及ぼす影響、サイバーリスクが経営計画に与えるインパクトを理解した上で、デジタル化に適応したセキュリティポリシーを策定する。「このポリシーに沿って設置した仕組みが実際に稼働するかどうかを、組織全体が連携して検証を進めます。その際、システムに任せられるものは任せることで、知識集約的な業務に人的リソースを一層、充てられるようになるでしょう」と山内氏は言う。

 もちろん、変革を一気に推し進めるのは難しいので、最終目標と眼前の目標を区別し、できるところから始めることが大切だ。そのポイントを見極めるには「自分を知る」ことが肝心である。自社がどんなシステム、情報資産を保有しており、システムの停止や情報の漏えい・損失によってどのような損害が生じるか。これらの状態や、システムの運用状況、セキュリティ対策の適用状況などを調査し、その結果を基に経営資源配分の優先度や改善のめどを立てる。こうした取り組みを段階的に進めていくことで、組織全体のセキュリティレベルをスムーズに向上させていくことが可能となる。

 「さらに、取り組みを主導するIT部門、セキュリティ担当者のモチベーションアップを図ることも忘れてはいけません。適切な人材評価制度を整え、IT人材やセキュリティ人材のキャリアパスも考える必要があります」と山内氏は付け加える。

 DXの実現はサイバーセキュリティを抜きに考えられない。“DX with サイバーセキュリティ”に向けた全社的な取り組みをどう推進するか――。経営トップの覚悟と手腕が問われている。

特別講演

東洋大学
コロナ禍のリモートワークを見据えた
新たなセキュリティ対策の実践法
東洋大学
情報連携学部 准教授
満永 拓邦氏
東洋大学 情報連携学部 准教授 満永 拓邦氏

限界迎えた従来のインシデント対応

 これまでセキュリティインシデントは「火事」、インシデント対応は「消火活動」に例えられることが多かった。実際、その現場は火災や自然災害の対策本部そのもので、関係者が集まって打ち合わせ、調査、初動対応などを行い、特に大規模なインシデントでは進捗状況をホワイトボードに書いて共有している光景も散見された。

 ただ、コロナ禍にある現在はそうはいかない。「セキュリティ脅威に対する『特定・防御』から『検知』、『対応・復旧』まで、プロセスをできるだけリモートで行えるようにする必要があります」と東洋大学の満永 拓邦氏は説く。

 まず「特定・防御」で求められるのは、システムを構成する様々なソフトウエアや機器のリスク評価や脆弱性管理、パッチ適用などのフローをリモートで回すことができる資産管理ツールやEDR(Endpoint Detection and Response)の仕組みである。

 「多くの従業員がリモートワークに移行した環境では、組織外のネットワーク上にある端末も管理する必要が出てきます。これまでのオフィス環境と比べ、システム管理者は各端末のアップデート状況などを確認することが困難となっており、また従業員が情報を無断で持ち出すような事例も発生しており、リモート端末に対するシステム的な対策、つまり資産管理ツールやEDRを導入することを検討すべき状況に直面しています」(満永氏)

 次の「検知」で重要となるのは、ログ収集と分析、侵入検知、不正監視などをサポートする仕組みである。リモートワーク環境に持ち出された端末の検知については引き続きEDRがその役割を果たし、インシデントの有無を判断するほか、不審な振る舞いを検知した際にその端末の通信を遮断することもできる。

 また、クラウドサービスに対して効果的なのがCASB(Cloud Access Security Broker)の活用だ。リモートワーク環境のユーザーがインターネット回線を用いてクラウドサービスにアクセスする際に、常にCASBを経由させることで利用状況を可視化/制御し、セキュリティを担保することができるからだ。

 「多くの組織ではすべての業務プロセスを、すぐにクラウド上に移行するのは難しいため、しばらくはVPNで一旦、社内ネットワークを経由してから社内サーバーとクラウドサービスを利用する従来の方法とCASBを併用したハイブリッド運用がしばらく続くと思います。こうしたハイブリッド環境はログが分散してしまいがちなのですが、どのルートでも効率的なログ取得と分析、監視ができる体制を固めることが重要です」(満永氏)

Withコロナを見据えて人材育成を強化せよ

 そして「対応・復旧」については、業務継続や迅速なフォレンジック調査、レスポンスのためのワークフローを明確化するとともに、インシデント対応に関する情報の整理と一元化を図ることが極めて重要な要件となる。

 「リモートワーク環境でインシデントが起こった場合、すぐに現場に駆けつけて対応・復旧することが必ずしもできません。いざというときに、どうやってリモートからログ調査を実施するのか、どうやって物理媒体にアクセスし、いかなる手段で端末やデータを回収するのかといったことを、事前にしっかり検討しておかなければなりません」(満永氏)

 さらに、満永氏が強く訴えるのが人材育成の重要性である。リモートワーク環境ではどうしても組織内のコミュニケーションが希薄になりがちで、従来のような“阿吽(あうん)の呼吸”でインシデントに対応することが困難となるからだ。

 「ウィズコロナと呼ばれる情勢が今後もしばらく続くことを見据えつつ、運用を発展させていくのであれば、一工夫も二工夫も必要です。1 on 1ミーティングとOJT、リモート講義とハンズオン演習、既存メンバーに新規メンバーや新卒メンバーを加えたチームづくりなど、バランスの取れた方針を打ち出すことが肝要です。現状のメンバーとの関係維持は何とかできるかもしれませんが、リモート環境での新メンバーとの関係構築はセキュリティ業務に限らず重要です。インシデント発生時という緊急事態においてもチームワークを発揮できるように日ごろから関係を構築していくことが必要です」と満永氏は説く。

 そうした中で、満永氏が推奨するのが、避難訓練スタイルのサイバー演習である。「リモートワーク環境の端末がマルウエア感染した」「Active Directoryがランサムウエアに感染した」「VPNルーターに深刻な脆弱性が発見され、緊急にパッチを当てなければならない」など、何らかのインシデントが起こった際の具体的なシナリオをいくつか想定して実施することで、一人ひとりの役割を明確化できるという。また、リモートで実施できる・対処できる業務が限られていたり、誰かが作業途中でつまずくなど課題が明らかになれば、レスポンスや対応フローの改善も図れるはずだ。

 従来のオフィス内での作業を前提とした現場主義から脱却し、リモート環境に順応した新たなセキュリティ対策へ――。これは多くの企業にとって重要なテーマとなるだろう。

特別講演

必要なのはデジタルアジリティ
DX Criteriaがその指針となる
松岡 剛志氏
一般社団法人 日本CTO協会 代表理事 松岡 剛志氏

セキュリティ対策はもはや情シス部門だけの仕事ではない

 新型コロナウイルスの感染拡大を受け、多くの企業で広がりをみせた「全社テレワーク」。当初は多くの企業が半ば強制的に導入することになった取り組みだったが、それが皮肉にも日本企業のデジタルトランスフォーメーション(DX)を加速させる格好となった。

 「デジタル技術の活用によって、新しいワークスタイルの実践、およびビジネス変革が進んでいます。こうした状況のもと、情報セキュリティ対策の重要性がさらに増しています」と日本CTO協会の松岡 剛志氏は指摘する。

 デジタル技術の活用が進めば、データの存在する場所が増え、攻撃者に狙われる“隙”も多くなる。しかも、ランサムウエアに代表される今日のサイバー攻撃では、用いられる手法が巧妙化。攻撃者らのエコシステムも形成されており、マルウエアなどの攻撃用ツールが“as a Service”としてダークWeb上で売買されるなど、誰でも簡単に攻撃を仕掛けられる環境が整いつつあるという。その意味で、攻撃者側のDXが急速に進んでいると言っていいだろう。

 この状況において、企業・組織のセキュリティ対策は、もはや情報システム部門やセキュリティチームに委ねておけばよいといった仕事ではなくなっている。経営者、そして社員一人ひとりが積極的に関与し、取り組むことがビジネスリスクの低減に向けて不可欠だ。

 「攻撃の手法は常に更新され続けているため、『この対策を施せば安全』といったものは存在しません。これからの企業は、環境の変化に合わせてデジタル資産や能力、および組織体制を修正し、再構築する能力、すなわちデジタルアジリティを獲得していくことが求められています」と松岡氏は述べる。

デジタルアジリティを獲得するための指針を提供

 そこで日本CTO協会では、企業がデジタルアジリティを獲得するために指針となる「DX Criteria(DX基準)」を提唱している。

 DX Criteriaは、「チーム」「システム」「データ駆動」「デザイン思考」「コーポレート」の5つのテーマに64個ずつ、計320個の項目からなるチェックリストである。このリストを使って企業が自ら診断を行うことで、各テーマにかかわる自社の現状を把握し、DXの推進につなげられるようになる。

 「また我々は、DX Criteriaの策定に当たり、『2つのDX』を両軸で進めることが重要であると定義しています。1つは昨今、注目の集まる『Digital Transformation(デジタル技術の活用によって新たな価値創造を目指す)』。そしてもう1つは、『Developer Experience(開発者体験)』だと定義しています。つまり、開発者が働きやすい環境や、高速開発を実現するための組織カルチャー、チーム構成、システムの実現を重視することで、企業が『超高速な事業仮説検証能力』を獲得するための指標になることを目指しているのです」と松岡氏は説明する。

 さらに同協会では、DX Criteriaを活用した企業の回答(点数)を集計し、分析結果を「DX Criteriaレポート」として公開している。現在公開されているレポートでは37社の回答を集計。結果について、特にセキュリティ領域に着目すると、例えばシステムの設計段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」を実践しているのは回答企業の約半数。また、あらゆるデバイスや人を信用せず、都度の認証を行う「ゼロトラストセキュリティ」の普及率は約4割だったという。

 また4月10日には、311社のDXに関する状況を分析した「DX動向調査レポート」も公開。こちらのレポートでは、「企業情報・顧客接点のデジタル化・ソフトウエアコントローラビリティ・開発者体験」の4つの大項目に分けて合計80の質問に回答してもらい、その結果をまとめている。この動向調査レポートでは、「アプリケーションセキュリティの各施策がデジタル企業と非デジタルで大きく離れた」「デジタル高成長企業ではセキュリティ人材の内製化が進みつつある」などの特徴が見られた。これらのレポートも、企業がDXに取り組む上で、重要な参考になるものといえるだろう。

 今後も日本CTO協会では、DX Criteriaの項目の定期的な見直しや調査・レポートの実施・作成などを通じて、日本企業のDXに貢献していく。