Microsoft Security Forum 2020 Review2020年3月12日開催

DX時代に求められる
企業のサイバーセキュリティリスク管理と
アカウンタビリティ

デジタルトランスフォーメーション(DX)時代の戦略キーワード、セキュリティとプライバシー。プライバシー保護を含むサイバーセキュリティは、政府の成長戦略、Society 5.0のどの重点分野にもかかわり、また、自然災害、パンデミックが現実のリスクとして無視できない現在、ITシステムだけの話ではなく、経営層やマネージャー層にとっても重要なキーワードになっている。そのような中、マイクロソフトは「Microsoft Security Forum 2020~変化に備える、2020年のセキュリティ対策~」を開催。官民の識者を集め、今取り組むべきセキュリティ対策と、具体的に進める "次の一手" について語ったフォーラムの模様をお届けする。

3つの視点で読み解くDX時代の
サイバーセキュリティ

BCPからリアルタイムガバナンスと
セルフヒーリングへ

日本マイクロソフト株式会社
技術統括室
チーフ セキュリティ オフィサー
河野 省二

講演の冒頭は、「2020年からのセキュリティ ~マイクロソフトの考えるデータファースト、デジタルガバメント~」と題し、日本マイクロソフト 技術統括室 チーフ セキュリティ オフィサーの河野 省二氏が登壇。河野氏は、新型コロナウイルスの影響でオンライン配信となった今回の「Microsoft Security Forum 2020」について、改めてビジネスサスティナビリティの重要性を強調した。日本マイクロソフトでは、2011年の東日本大震災以降、生産性と安全・安心を両立させるため、テレワークや業務のオンライン化を進めてきたという。

ただし、「ここで重要なのはセキュリティ基盤だ」と河野氏は言う。個別の対策も重要だが、基盤ができていないと、今回のような突発的な動きへの対応ができないからだ。たとえば、リモートワーク、テレワークでは基本的に、ネットワークの出入りのすべてが信頼できないことを前提とするセキュリティモデル、ゼロトラストセキュリティに基づいた運用を強いられる。エンドポイントまで含めた包括的な対策が重要になるが、それには各自の対策や意識だけでは限界があるため、脅威インテリジェンスを活用した効率化が求められる。

Windows 10で導入されたセキュリティアップデート機能や単なる監視だけでなくダークウェブ監視など脅威インテリジェンス機能を持った「モダンSOC(Security Operation Center)」がそうであるように、リアルタイムの情報収集と対応が必須となり、未知の攻撃に対応しなければならない。河野氏は、これをリアルタイムガバナンスとして、企業や個人(エンドポイント)が取り組むべき課題と指摘。さらに、常にデバイスなどの健康状態を維持管理する「セルフヒーリング」という考え方も紹介した。

レガシーシステムの維持から戦略的DXに必要なこと

基調講演1では、「Society 5.0 に向け取り組むべきサイバー セキュリティ対策」と題し、内閣官房 内閣サイバーセキュリティセンターの山内 智生氏が講演。山内氏はまず、国内のセキュリティとITシステムが抱える問題整理から行った。

内閣官房
内閣サイバーセキュリティセンター
山内 智生

企業や組織のセキュリティに共通する問題の筆頭は、経営者の意識だ。「経営層はデジタル化とサイバーセキュリティを現場担当者の仕事だと思っており、経営企画部門もそれらを効率化と防護のためだけと考えている。そのため、セキュリティ監査と具体的な対策・投資に一貫性がなく、場当たり的な対策になっている」(山内氏)という。

また、セキュリティポリシーを作成しても現実的ではなく、現場もそれを理解していないことも指摘。BCPもIT部門、セキュリティ部門、その他の部門の連携が考えられていない。このような組織では、事故がないのは当たり前という間違った認識のもと、IT部門やセキュリティ部門が疲弊する。

クラウド化が進み資産の流動化が進むITシステムは、セキュリティ意識の変革も余儀なくするが、ITシステムも、変革期ならではの問題が多く顕在化している。既存システムのブラックボックス化が進み、個々の機能の詳細だけでなく、システム全体の構造や目的、意義がわからなくなっている。

サイロ型システムの濫立は以前から指摘されていたが、モダナイズしようとしても負のブラックボックスを継承し、再びそれがレガシーとなり負債が広がるだけとなる。JUAS(一般社団法人 日本情報システム・ユーザー協会)の調査では、企業のIT関連費用の80%が、現状ビジネスの維持管理に割かれ、戦略的なIT投資ができないという結果もあると、山内氏は指摘する。

以上の議論を踏まえ、山内氏はDX時代のセキュリティ対策で経営層が目指すべきポイントを示した。

デジタル化計画の目的とゴールは経営層が主体となり策定し、デジタル化が業務に及ぼす影響とサイバーリスクをしっかり把握している必要がある。リスク分析には、サプライチェーンや外部のステークホルダーとの関係の考慮、そしてインシデント発生時の業務や対応の優先度の決定も必要だ。

最後に、経営計画そのものにサイバーセキュリティ対策を盛り込むことが重要だと改めて強調した。そして、「DX人材、セキュリティ人材を育てる意味で、適切なキャリアパス、ポストを用意して、レガシーシステムの維持管理から解放し、積極的にDXやセキュリティに取り組める組織づくりを考えてほしい」(山内氏)とアドバイスした。

データを主語で考えたセキュリティ対策

株式会社資生堂
情報セキュリティ部長 (CISO)
斉藤 宗一郎

続いてお客様事例として「情報セキュリティが健全に機能するために必要なこと」と題し、資生堂 情報セキュリティ部長 (CISO) 斉藤 宗一郎氏が登壇。資生堂は、コア事業が人々の健康にかかわるため、サイバーセキュリティについても、独自の視点での講演を行った。

資生堂では、情報セキュリティはリスク管理の一環だとして、技術的な対策だけに注力していないという。斉藤氏は「そもそもDX時代では、データそのものを守るという考え方が問われます。しかし、クラウドやサプライチェーンに分散管理されるデータは、ネットワークやシステムだけにフォーカスしていては、十分な防御ができません」と語る。

また、個人情報やプライバシーに対しては、消費者の価値観の変化、法規制のトレンドによる認識の変化も起きている。GDPR(EU一般データ保護規則)を例示し、「収集した個人情報は、企業の資産であるという考え方は、グローバルでは通用しなくなっている」(斉藤氏)と指摘する。

投資家が企業価値を判断する場合、財務状況に加えSDGsやサイバーリスクも考慮している。M&Aでは買収企業のITデューデリジェンスが必要とされる。財務諸表だけ優秀でも、事業の継続性やセキュリティレベルが低いと、企業価値が下がるということだ。

この課題に対して、資生堂では「3 Lines of Defense」というアプローチを採用している。第1のディフェンスラインは、実際のオペレーションでリスクテイクをしている現業部門、セキュリティ対策やインシデント対応を行う部門が2番目のディフェンスライン。最後は、オペレーションやセキュリティ対策を客観的にチェックする監査機能。「これらが連携して、全体のリスク管理、内部統制を実現している」(斉藤氏)と説明した。