キンドリルジャパン

複雑化するサイバーセキュリティー対策を
ベンダーフリー&フルライフサイクルで支援

DX推進によってデジタルへの依存度が高まる中、ビジネスを脅かすサイバー攻撃への対応が一層重要な経営課題となっている。
様々なソリューションをどう組み合わせて、どう活用するべきか――
複雑化するセキュリティー対策に悩む企業に対し、グローバルなベストプラクティスを提示するのがキンドリルだ。
コンサルティングから導入、運用、有事の際の対処・復旧まで、フルライフサイクルで対策を支援する。

中立の立場から
最適なソリューションを提案する

キンドリルジャパン株式会社 テクノロジー本部 セキュリティ&レジリエンシー事業 部長 吉田 未樹氏
キンドリルジャパン株式会社
テクノロジー本部
セキュリティ&レジリエンシー事業
部長
吉田 未樹
 2021年にIBMのインフラサービス事業が分社化して誕生したキンドリルは、グローバル9万人の従業員を擁する世界最大規模のスタートアップである。ITインフラを進化させるというミッションのもと、クラウド、メインフレーム、デジタルワークプレイス、データ利活用、セキュリティー&レジリエンシー、ネットワーク&エッジコンピューティングの6つの技術領域でビジネスを展開している。

 IBMもセキュリティー事業を有しているが、それと同社のセキュリティー事業は何が異なるのか。これについて、キンドリルジャパンの吉田 未樹氏は次のように説明する。

 「当社は中立なシステムインテグレーターとして、お客様にとって最適な製品・ソリューションを提供できます。同時に、当社が一元窓口になることで、その際に問題になりがちなベンダー管理の複雑さも排除します。この点が大きな違いであり強みです」

 同社によると、現在の企業が抱えるセキュリティーの悩みや課題は大きく次の3つあるという。

①ゼロトラストへ移行したいが、どうすればよいのか
②「特定・防御・対応・復旧」という対策のライフサイクルをもっと早く回したい
③インフラが変化しているのに、セキュリティーガイドラインが最新化できていない

To Be像に基いた
ゼロトラストの
具体的な進め方を提案

キンドリルジャパン株式会社 ストラテジックデリバリー事業部 セキュリティ&レジリエンシー 統括部長 増田 博史氏
キンドリルジャパン株式会社
ストラテジックデリバリー事業部
セキュリティ&レジリエンシー
統括部長
増田 博史
 「キンドリルでは、この企業の抱えるセキュリティーの3つの課題、それぞれに対するソリューションを用意しています」とキンドリルジャパンの増田 博史氏は紹介する。

①ゼロトラストへ移行したいが、どうすればよいのか

 これについては、パートナーとのエコシステムに基づき、最適なゼロトラスト環境の構築を支援する。

 「あらゆるデバイスや通信を信頼せず、都度の認証を行う」ゼロトラストでは、ID、デバイス、ネットワーク、アプリケーションデータ、統合管理運用と、実施すべき対策の領域が多岐にわたる。「さらに分野ごとに複数のテクノロジーカテゴリがあり、それぞれ異なるアプローチを売りにした多様なベンダーの製品が存在します。どれを選び、どう組み合わせればよいのか分からないというお客様が多いのも無理はありません」(増田氏)。

 そこでキンドリルは、顧客の対策の現状やニーズに合わせて、中立な立場からソリューションを“目利き”する。ベースになるのが、多彩なソリューションパートナーとのグローバルなエコシステムだ。複数の企業を取りまとめる立場でキンドリルが関わり、ゼロトラスト実現に向けたコンサルティングから導入、運用までのライフサイクルをトータルに支援する。「この体制により、製品選定、移行手法の提案から効果を出せる対策の実現までを支援するほか、目指すべきゼロトラスト環境のTo Be像を示します」と増田氏は説明する(図1)。

②「特定・防御・対応・復旧」という対策のライフサイクルをもっと早く回したい

 キンドリルは、サイバーセキュリティーを強化するフレームワークとして「特定・防御・対応・復旧」の4つを提唱している。これはNIST(米国国立標準研究所)のフレームワークをより簡素化したものだ。

 中でも近年、事業継続性の向上に向けて重要性が高まっているのが「復旧」である。脅威は既に組織内にいるという視点に立ち、被害を最小限に食い止める。いわゆるサイバーレジリエンスの強化に向け、KPIに基づく実効的な対策へのニーズが高まっている。

 これに向けて同社が提案するのが、多様なセキュリティー管理対象をクラウド上で一元管理する「セキュリティー統合管理基盤」を構築することだ。複雑に絡み合うセキュリティー対策を統合的に可視化し、運用を効率化・自動化することで、4つのライフサイクルを高速に回すことが可能にする。現状を経営層とも共有しながら、KPIを立てて対策を運用できるようになるということだ。

 また同社は、このライフサイクルをトータルに支援できる点を大きな強みとしている(図2)。先に紹介した製品の選定・導入、移行はもちろん、その後の運用、インシデント発生時の対処・復旧までをフルライフサイクルでサポートする。各領域の既存ベンダーを置き換える以外にも、キンドリルが各ベンダーを包括的に管理する体制で携わることも可能だという。IBMのインフラ事業で培ったプロジェクトマネジメント力によって、時流に即したセキュリティー対策の実現・維持を後押しする。

③インフラが変化しているのに、セキュリティーガイドラインが最新化できていない

 働き方やITツールは大きく変わったが、セキュリティーガイドラインは従来のまま、という企業は少なくない。国や地域、グループ会社ごとにバラバラなケースもある。現実的なゴールを決め、ガイドラインの最適化と定着を図らなければ、企業の存続を脅かすリスクの拡大につながる。

 この課題に対してキンドリルは、ガイドライン策定を支援するサービスを提供している。ポイントは、文書を「セキュリティー管理要件書」「個人情報管理要件書」「セキュリティー設定要件書」の3つに分けて考えることだという。抽象度が高いもの、国・地域により異なるもの、頻繁に変更されるものなど、特性ごとに分けることで変化・更新に対応しやすくする。

SI経験を基に、
ガイドラインの見直しと
浸透を支援

 同社では、ISO/IEC 27002をベースにしたグローバルのベストプラクティスを有している。これをベースにしつつ、業種・顧客ごとの要件を加味することで、国内の法規制にも対応した網羅的なガイドラインを作成できるという。「当社はシステムインテグレーターとして数々のシステムのデリバリーを行ってきました。その経験に基づき、活用するソリューションまでをスコープに入れた解像度の高いガイドラインの作成、および現場への浸透をお手伝いすることが可能です」と吉田氏は述べる。

 フルライフサイクルの支援によって、顧客企業のセキュリティー対策高度化を支援するキンドリル。システム環境がますます複雑化する中で、進むべき方向性をともに考える心強いパートナーとなってくれることだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
キンドリルジャパン株式会社 URL:https://www.kyndryl.com/jp/ja/about-us/contact-us