ニューノーマル時代、企業システムの運用で最も大きく変化したことの1つが「セキュリティ対策」だ。在宅勤務やリモートワークが恒久的な働き方の選択肢となり、オフィスワークと組み合わせたハイブリッド環境を目指す企業も増えてきた。組織が守るべきポイントは多様化し、そこを狙うサイバー攻撃も増加している。SASE、XDRなどの新手法や機械学習/AIの活用、SOC、CSIRTの設置など、企業が考えるべきことは多岐にわたる。最新の情報をいち早く入手し、自社に取り込むことが、組織・社員の安全を守るためには不可欠といえるだろう。日経クロステックが主催した「情報セキュリティ戦略セミナー 2022」では、最新のソリューションや企業の事例、有識者の提案などが多数紹介された。ここではその模様をダイジェストで紹介する。
基調講演
日本サイバーセキュリティ・イノベーション委員会
ランサムウエア対策はBCPの一環
経営者の理解を促す5つの工夫
一般社団法人日本サイバーセキュリティ・イノベーション委員会
主任研究員
上杉 謙二氏
経営の最大の関心事である「金額」で説明
いまだランサムウエアによる被害が後を絶たない。損失は身代金だけではない。システムの正常な利用が阻害され、事業継続が困難になり、ビジネス機会を逸失する。提供するサービスや生産活動が停滞し、ブランドイメージを毀損する。これらによる金銭的な被害も甚大である。
「被害の大きさを踏まえるとランサムウエア対策は、BCP(事業継続計画)の一環として欠かせない取り組み。経営者自身がリスクや影響の大きさ、そして対策の重要性を正しく理解する必要があります。つまり現場は対策を前進させるために、経営者の理解を促すための努力を継続しなければなりません」と日本サイバーセキュリティ・イノベーション委員会(JCIC)の上杉 謙二氏は指摘する。
では、現場は経営者に対して、どのように説明や報告を行なうべきか。それには、いくつかの工夫がある。
1つ目は「経営の用語を使う」ということだ。インシデントの検知数、脆弱性や攻撃手法の実態、EDRといった技術に関するキーワードではなく、被害に遭うと営業停止がどれくらいに及び、ブランドイメージや顧客満足度にどのように影響するのかなど、経営者の視点で情報を整理するのである。
工夫の2つ目は、それを「金額」に置き換えること。サイバーリスクを金額に置き換えられれば、経営者は予算に関する意思決定も行いやすくなる。
「JCICは、サイバーリスクを金額として数値化するための簡易的なシミュレーションツールをExcelシートベースで作成し、JCICのサイト上で公開しています」と上杉氏は紹介する。
保有する個人情報の件数に応じて、漏えいした際には損害賠償も含めたコストがどれくらい必要になるのか。ビジネスの停止日数に応じて、損失額がどのように積み上がっていくか。あくまでも簡易的にではあるが、攻撃を受けた際の被害額をシミュレーションできる。
連結売上、従業員数を分母とする「0.5%モデル」
3つ目は「現状を可視化する」ことだ。米国の政府機関であるCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)が公開しているランサムウエア対策ガイドに示されているチェックリストなどを活用して、バックアップの取得や復旧テストの実施や、マルウエア対策などに関わる自社の状況を説明するとよいだろう。
4つ目は「セキュリティKPIを設定し、モニタリングする」ことが挙げられる。「KPIを定めることによって、自社のセキュリティ対策の成熟度を客観的や目標を明確に示すことが可能になります」と上杉氏は説明する。
JCICは「損失額を減らすためのサイバーセキュリティKPIモデル(試論)」を策定し、JCICのサイト上で公開している。企業のサイバーセキュリティに関わる取り組みの成熟度を、初期段階、改善段階、最適化段階という3段階で定義し、それぞれの段階において把握しモニタリングすべきKPIが定められている。
最後の5つ目は「セキュリティ予算・人材を要求する」である。
「JCICは『0.5%モデル』を提唱しています。これは、セキュリティについての投資額を連結売上高の0.5%以上とすべき、全従業員数の0.5%以上の数のセキュリティ専門人材を確保すべきという考え方です。海外の様々な文献の研究やヒアリング活動をベースに、日本の現状なども考慮してこのモデルを導き出しました」と上杉氏は紹介する。
適正なセキュリティ投資額については、これまでも様々な議論があったが、多くが「IT予算の中からどれくらいを割くべきか」を争点としていた。しかし、今日、そもそもIT予算自体を数値化するのが難しい。それに対してJCICのモデルは、年商や従業員数といった明確な数字がベースとなっており、引用しやすい。
ランサムウエア対策は、ITの問題ではなく、経営の問題。JCICの提言を対策強化に役立ててほしい。
Withコロナ時代に求められる
事業継続を見据えたセキュリティ対策
事業継続の視点が求められるインシデント対応
コロナ禍においてもサイバー攻撃の手が緩むことはなく、国内外で被害が相次いでいる。国内自動車メーカーの稼働停止や病院システムの停止は記憶に新しい。その影響は攻撃された企業だけに止まらず、取引先や一般生活者へと膨大な被害をもたらす事態も発生している。
現在、様々な分野でIT技術を活用した生産性向上やコスト削減が図られているが、今後さらに多くの分野で情報技術の利活用が進むことは間違いない。「そのため、セキュリティインシデントやトラブルなどにより、『システムが止まる=業務が止まる』ということにならないよう、事業の継続性を担保する仕組みが必要で、その重要性はより高まっています」と東洋大学の満永 拓邦氏は説明する。
もちろん、ITがビジネスと一体化している現在、システムが使えない状況ですべての業務を継続させることは難しい。しかし、優先すべき業務やそのために必要な資源を洗い出しておけば、中断することが許容されない業務を継続することも可能だという。
「セキュリティインシデントが原因ではありませんが、大手航空会社の全日本空輸(ANA)では搭乗券を発行するシステムに大規模障害が発生した際、手作業で業務の一部を代替し、業務を継続しました。もちろん現場は混乱したものの、『飛行機を無事に運行する』という最も重要な業務は継続できたわけです」と満永氏は述べる。
Withコロナを見据えた体制整備と人材育成が重要
それでは今後の事業継続を見据えたとき、何を考えておくべきか。そのテーマの1つがテレワークだ。実際、IPA(独立行政法人 情報処理推進機構)が公開している「情報セキュリティ10大脅威2021版」では、「テレワーク等のニューノーマルな働き方を狙った攻撃」が第3位となった。
「以前は、社内の信頼できるネットワークを前提に社外との境界を防御すれば済みました。しかし、テレワークなど多様な働き方が進んだことによって、クラウドやリモートの通信先を信用しない“ゼロトラスト”を念頭に、新たなインシデント対応に備えなければならなくなりました」と満永氏は語る。
ただし、すぐにゼロトラストへ飛びつくのは得策ではない。「基本的な脆弱性への対応がおろそかになっていることも少なくありません。前提として業務プロセスやセキュリティ要件を見直しておく必要があります」と満永氏。その上で、生産性向上とセキュリティ強化のバランスを見ながら、ゼロベースで業務プロセスを見直し、ITの活用やシステムインフラのあるべき将来像を検討していくわけだ。
万が一、セキュリティインシデントが発生した場合、関係者がコミュニケーションを図りながら、協調して対応するための体制や手順を整えておくことも重要だ。「これまでのように直接、現場に出向いて初動対応をしたり、関係者が顔を突き合わせて原因を探ったりということがリモート下ではできません。そのため、だれが、どのタイミングで、どのように処置や調査を行うのか、プレスへの対応や省庁報告などの情報発信はどのようにするのかなど、迅速かつスムーズに対応するためのワークフローを可視化して、インシデント対応に関する情報を一元的に管理する体制を準備しておかなければなりません」と満永氏は語る。
こうした体制の整備に向けては、人材育成が重要なカギを握る。「テレワークの期間が長期にわたり、直接会ったことがない上司や部下で対応を進めることも想定されます。これまで以上にリモート講義やハンズオン実習などの人材育成を図り、上司と部下、さらには担当者間でのコミュニケーションも取っておく必要があるでしょう」と満永氏。さらに、「在宅勤務者のPCがマルウエアに感染」、「Active Directoryがランサムウエアに感染」、「VPNルーターに脅威の高い脆弱性が発見されパッチを配布」といったシナリオを用意して、避難訓練スタイルのサイバー演習を実施しておくことも有効だと説明する。
このようなWithコロナを見据えた対応にあたり、業務の見直しまでは手が回らないという印象を持つかもしれない。しかし、業務プロセスの改革を行うのであれば、リモート勤務が普及し始めた今こそが、またとない好機となることは認識しておくべきだろう。
「本当の意味のDX」を支える
早稲田大学のSASE導入の取り組み
目標は働き方改革に貢献するセキュリティ
2032年に創立150周年を迎える早稲田大学。節目に向けたビジョンとして、2012年に「Waseda Vision 150」を制定し、様々な取り組みを進めている。
その一環として2015年には同学 情報企画部が情報化重点施策を策定。「内容は3年ごとに刷新しており、2021~2023年の施策では先進的なICTを効果的・効率的に活用することで、教育・研究や大学運営のトランスフォーメーションに貢献することを掲げています。単なる電子化ではなく、組織の在り方そのものを変える。本当の意味のDXを目指しているのです」と早稲田大学の楠 仁志氏は説明する。
セキュリティ面でも新たな取り組みを推進している。ゼロトラストとクラウドファーストの考え方に基づき、セキュリティ対策のポートフォリオを設計。業務の自由度・利便性と高レベルなセキュリティを両立するため、SASE(Secure Access Service Edge)を核とした環境を構築したのだ。
「職員の柔軟な働き方を実現する上で、ICTが足枷になってはいけません。単に利便性と安全性のバランスを取るといったレベルを超え、ユーザーが真に恩恵を受けられる環境をつくりたい。そうした思いから、SASEを軸とすることに決めました」と楠氏は述べる。
多様なセキュリティ対策をクラウド上で提供するSASEであれば、安全性に妥協することなく柔軟な働き方が実現できる。様々なセキュリティソリューションを集約できるため、単一のポータルで全体を管理でき、属人性も低減できると考えた。「さらに、既存の多様なソリューションをSASEに置き換えることで、追加投資を軽減できる点も評価しました」と楠氏は付け加える。
IT部門のトライアルが導入拡大への後押しに
早稲田大学がSASE導入の検討に着手したのは、2020年2月頃のことだ。業務PCの更新プロジェクトがスタートしたことをきっかけに、並行してSASE導入も進めることにした。
「当初は、まず業務PCのコントロールプレーンをクラウドネイティブなMDM(Mobile Device Management)/MAM(Mobile Application Management)によりフルクラウド化し、それが完了した後、2022年度から段階的にSASEを核とした環境へ移行する計画でした。しかし、突如コロナ禍が発生し、フルリモートを余儀なくされました。学内システムにはVPNでアクセスする必要がありますが、全職員が使うことは想定外でした。Web会議やチャットなどのコラボレーションツールの利用も一気に拡大したため、通信帯域やセッション数の制約などの問題が顕在化したのです」(楠氏)
そこで早稲田大学はSASE導入の前倒しを決定。まずはリモート勤務中のIT部門数人でトライアルを実施したところ、学内にいるときと遜色ない業務環境を実現できることが確認できた。導入作業もアプライアンスを設置・接続するだけで、半日かからずに完了。既存の通信にも影響がなかったという。
「業務継続を優先するため、やむなくIT部門数人を対象とした実証検証という形でのスモールスタートに踏み切りましたが、結果は成功でした」と楠氏は振り返る。また、このチャレンジによる思わぬ成果もあった。取り組みを見たIT部門内外の職員から「自分たちも早くSASEを使いたい」という要望が多数出てきたのだ。これがSASE導入拡大への後押しになり、想定よりもスムーズに展開が行えたという。
「ネガティブな反応はなく、むしろポジティブな反応が多くありました。これは、従来のセキュリティ製品導入時には考えられないことです。SASEによって安全性に妥協することなく、VPNアクセスの不便さや業務上の制約や手間が軽減でき、柔軟な働き方を実現することに貢献できたと考えています」と楠氏は強調する。
今後も早稲田大学は、セキュリティ対策を継続的に強化していく。SASEとSIEM(セキュリティ情報イベント管理)の連携に加え、SASEを前提としたIT投資の最適化、BCPの強化などにも取り組んでいくという。
