人材と予算が不足する一方で
セキュリティー対策はますます複雑化
サイバー空間の脅威が増大する中で、日本企業の多くがセキュリティー対策の強化に取り組んでいます。対策の現状と課題をどのように見ていますか。
岩佐:お客様企業を訪問していつも感じるのは、現場の頑張りです。多くの企業でセキュリティー関連の人材や予算が不足しているにもかかわらず、担当者の強い責任感に感動を覚えます。現場のモチベーションをいかに維持、向上させるかは大きな課題です。
人材と予算が足りない状態では、限界もありそうです。
岩佐:よく指摘されることですが、日本企業のセキュリティー投資額は欧米企業と比べて少ない。また、最近はほとんどの分野で人材不足が深刻化しています。特に専門性を要求されるセキュリティー人材の獲得は容易ではありません。状況が大きく改善されるとは期待しにくく、現場の負荷軽減は大きな課題です。
過去10年、20年の間に、IT環境は様変わりしました。
岩佐:最も大きな変化の1つは、Amazon Web Services(AWS)やMicrosoft Azureなどのクラウドの普及です。オンプレミス/閉域環境が当たり前だったITの世界が、クラウドによって外部に開かれました。今では、1つの企業が複数のクラウドサービスを活用するマルチクラウド環境が一般的です。一方で、基幹システムなどの分野ではオンプレミス環境も残っており、IT環境は複雑化しています。
複雑なIT環境、特に近年マルチクラウド化が進む中で、セキュリティー対策の難易度は高まっていると思います。
岩佐:例えば、事業部門が独自の予算を使って、SIerに依頼しクラウドを導入してもらうケースは少なくありません。事業部門とSIerとやり取りの中で、いつの間にかシステムの構成が変更されることもあります。IT部門のセキュリティー担当者には変更が見えないので対策もできず、システムの「穴」が放置されることもあります。
クラウドセキュリティー対策の強化に向けて、企業はまず何に取り組むべきでしょうか。
岩佐:まず、自社の状況を可視化することです。私たちのサービスも、立ち上げた当初はもっぱら可視化に注力していました。やがて、可視化しただけでは意味がないと気付き、その後の対策を含めたサービスを提供するようになりました。例えていえば、可視化は健康診断のようなものです。医師が検査結果を示して「この数値に問題があります」と伝えても、本人が真剣に受け止めなかったり、改善の方法が分からなかったりすれば状況は変わらず、悪化するかもしれません。そこで、クラウドセキュリティーの可視化だけでなく、対策にも取り組むようになりました。
それが、リスクの検出から、トリアージ、修復まで行うトータルサポートですね。
岩佐:その通りです。健康診断の結果に応じて、適切な治療法やクスリを選ぶ必要があります。クラウドセキュリティープラットフォーム「Cloudbase」は、こうしたプロセス全体をサポートしています(図1)。まず、検出フェーズ。大企業でセキュリティー状況を可視化すると、数万~数十万件のリスクが検出されることも珍しくありません。ただ、すべてのリスクに対処するのは非現実的です。個々のリスクに優先順位を付けて、まず緊急性の高いリスクに対策を施します。これがトリアージです。私たちは様々なリスクを、優先度の高いほうから「CRITICAL」「HIGH」「MEDIUM」「INFO」の4段階に分類し、ユーザーに示しています。
図1 セキュリティー対策のサイクル
Cloudbaseは「検出(可視化)→トリアージ(優先順位付け)→リスク修復」のサイクル全体をサポートしている。このサイクルを主導するのはユーザーである。ユーザビリティを徹底的に高めることで、Cloudbaseはユーザーがセキュリティー対策に自ら関与する環境を用意している
トリアージについては、どのような基準をもとに優先順位付けを行うのですか。
岩佐:攻撃者がインターネット経由でアクセス可能か、アクセス可能なサーバーに重大な脆弱性があるか、特定の脆弱性に関しての攻撃が確認されているかなど、様々な尺度で、条件を組み合わせてトリアージを行います。可視化されたリスクに応じて、修復の手法も変わってきます。「施錠を忘れた玄関にカギをかける」程度の対策で済む場合も、意外と多いものです。
Cloudbaseはユーザビリティにこだわっているとうかがいました。
岩佐:先にお話ししたように、事業部門が独自でクラウドを導入することも多いのですが、セキュリティー人材を事業部門に配置できる企業は少ないのが実情です。そこで、非技術者、事業部門のユーザーが扱いやすいサービスを徹底的に追求しています。検出→トリアージ→修復のサイクルを、ユーザーが自分で回せるということです。検出やトリアージにおいては、画面を見ればセキュリティーの状況を把握することができます。修復においても、Cloudbaseの提案に従って容易に対処することができます。基本的に、セキュリティー担当者やSIerの手を借りる必要はありません。
テクノロジーの広がりに伴い
全員参加型のセキュリティーが必要に
Cloudbaseの根底にある「思想」とは、どのようなものでしょうか。
岩佐:急速に進化するクラウドのサービスにより、ユーザーは大きな利便性を享受しています。また、対話型のインタフェースを持つ生成AIは、一気に利用者が拡大しました。誰でも気軽にITが使える状態となり、テクノロジーのすそ野は限りなく広がっています。それは、セキュリティーにかかわる責任も広がっていくことをも意味するはずです。セキュリティー担当者任せではなく、個々のユーザーが責任を持ってクラウドを活用する。そんなマインドが各ユーザーに求められていると思います。
ユーザーは責任を果たしながら、クラウドを便利に使いこなすということですね。
岩佐:「利便性とセキュリティーはトレードオフ」とよくいわれますが、Cloudbaseが目指すのはその両立です。それぞれのユーザーがセキュリティーを自分事ととらえ、責任を引き受けつつクラウドを活用する。日本企業において、そうした組織づくりは重要な課題だと思います。
目指すはセキュリティー対策における
「富士山五合目へのエスカレーター」
ただ、「セキュリティーは難しい」という先入観を持つユーザーは多いかもしれません。
岩佐:「富士山の五合目までのエスカレーター」、そんなサービスをつくりたいと私は考えています。五合目まで歩いて登るには相当の時間と労力が必要ですが、仮にエスカレーターがあれば、一歩踏み出すだけで運んでもらえます。ユーザーの1ステップで必要なセキュリティー要件を満たせるサービスということです。もちろん、富士山の頂上=完璧に近い状態を目指す企業もあるでしょう。五合目から先は、個々の企業を取り巻く環境や事業特性などに応じて、急な山道を登る必要があるかもしれません。一方で、五合目で十分という企業もあります。日本の現状を見ると一合目、三合目という企業も多い。私たちはまず、こうした企業が五合目まで登ることをサポートしたいと考えています。
Cloudbaseの導入事例について教えてください。
岩佐:ある大手製造業A社では、セキュリティー対策の優先度が高いユーザーのアカウントをMFA(多要素認証)化するところから始めました。事業部門のクラウド担当者数百人単位で勉強会を開催して意識を少しずつ変えていくことで、当初のMFA導入目標を100%達成。それをきっかけに、不要なSSHポートを閉じるようにするなど、クラウドセキュリティーのリスク対処が進んでいきました。その後も、A社のセキュリティー対策は進化を続けています。当社は数年にわたってA社の伴走支援を続けていますが、自走できる状態に近付いています。
今後の事業またはサービスの展開についてお聞かせください。
岩佐:今年3月に「Cloudbase AI」のリリースを予定しています(図2)。AIのビジネス活用は急速に広がっていますが、一方でツールが乱立して管理が不十分な企業や、セキュリティー面で懸念を抱く企業は少なくありません。Cloudbase AIは、社内のAI資産を可視化すると同時に、AIモデルの一元管理を行います。
セキュリティーに関しては、どのような情報は入力可能で、何が不可なのか、企業ごとにルールがあると思いますが、それをユーザーに浸透させるのは難しい。ここで確かなセキュリティー対策があれば、AI活用が促進されます。Cloudbase AIでは、例えば、機微な情報をAIにアップロードしようとするとブロックされるといった機能を豊富に備えています。警告やブロックなどの表示は、ユーザーの学びになります。そのユーザーは次回、同種の情報をAIに与えようとは思わないはずです。
図2 生成AI活用を支援する「Cloudbase AI」の画面例
Cloudbase AIは主要な生成AIに対応し、そのセキュアな活用をサポートする。個人情報などをアップロードしようとすれば自動的にブロック。ガードレール機能が充実しているので、ユーザーは安心して生成AIを活用することができる
最後に、セキュリティー担当者へのメッセージをお願いします。
岩佐:セキュリティー対策は労多くして、褒められることの少ない業務です。私たちはその仕事をもっと面白い、ワクワク感のあるものにしたいと思っています。おそらく、各企業の現場で同じ思いを抱く担当者は多いはずです。そんな方々と共に、セキュアかつ楽しい未来を切り開いていきたいと願っています。
