本連載「松岡功の『今週の明言』」では毎週、ICT業界のキーパーソンたちが記者会見やイベントなどで明言した言葉を幾つか取り上げ、その意味や背景などを解説している。
今回は、ラック 代表取締役社長の西本逸郎氏と、SAPジャパン バイスプレジデント エンタープライズビジネス統括本部長の平石和丸氏の発言を紹介する。
「セキュリティ対策は経営視点で見れば、事業継続のための環境適応への投資である」
(ラック 代表取締役社長の西本逸郎氏)
写真1:ラック 代表取締役社長の西本逸郎氏
ラックの西本氏は、日本マイクロソフトがセキュリティをテーマに先頃開いたオンライン記者説明会でゲストとして登壇し、両社で共同作成した「ゼロトラスト時代のSOC構築と運用ガイドライン」について紹介した中で冒頭のように述べたものである。
会見の内容については関連記事をご覧いただくとして、ここでは西本氏の冒頭の発言に注目したい。まず、企業におけるセキュリティ対策について、同氏は次のように再構築が必要だと説いた。
「これまでのセキュリティ対策は、ウイルス対策と境界防御が主流だった。すなわち、ウイルスを見つけて駆除することと、企業内部のネットワークを安全に保って外部との接触を断つというやり方だ。しかし、テレワークとクラウドの活用が常態化し、サプライチェーンを通じた攻撃も非常に脅威となりつつある中で、ウイルス対策と境界防御では、もはや対応できなくなってきている。そこでゼロトラストが喫緊の課題として浮上してきた」
「ゼロトラスト」という言葉は今やサイバーセキュリティ分野におけるバズワードとなっている。その意味は、システム環境を守る「境界」という概念を捨て去り、文字通り「全てを信頼しない」ことを前提としたセキュリティの考え方を指す。
図1:ゼロトラストセキュリティの骨子(出典:ラック)
西本氏は先述したガイドラインの中で、ゼロトラストセキュリティの骨子について、図1に示すように「端末管理とEDR(Endpoint Detection and Response)」「ID管理」「クラウド利活用と管理」「オンプレミスとネットワークセキュリティ」「統合分析基盤とCSIRT(企業内セキュリティ推進組織)」の5つに整理しているという。
そして、ゼロトラストのメリットとしては、「エリアではなく一人ひとりを守ることができる」「リモートワークに対応できるので家賃などのコストを削減できる」「利便性も追求でき、IT活用レベルを深めることができる」「セキュリティ管理を細かくできる」「テレワークにてインシデント対応が可能になる」などの点を挙げた。
一方で、デメリットとしては、「EDRなど新たなセキュリティ投資が必要となる」「次から次へと、いつまでやればいいのか、意思決定者が疑心暗鬼になる」などの点を挙げた。
さらに、その他に考慮すべき事項として、「マルウェアや攻撃者に関する知見が必要になる」「対処に関する事前の取り決めや同意に関するコミットメントが重要になる」といったことも付け加えた。
そうしたことを踏まえて、西本氏が経営層に向けたメッセージとして述べたのが冒頭の発言である。セキュリティ対策はかねて事業継続の重要な要件とされてきたが、さらに環境適応とは「企業が変化していくためにも欠かせない要件」でもあると受け止めるべきだろう。そう感じたので「明言」として取り上げた次第である。
