新型コロナウイルス感染症対策でデジタル化が一気に加速し、セキュリティ対策にもさらなる高度化が求められている。リスクが多面的になり、実際にサイバー犯罪も多発する中で、組織や経営層は何を行うべきか。セキュリティ領域のコンサルタントや講師として活躍し、日本年金機構の情報漏えい事件発覚後には初代最高情報セキュリティアドバイザーも務めたKBIZ代表取締役の小熊慶一郎氏に、いま企業が行うべきセキュリティ対策について聞いた。
株式会社KBIZ代表取締役 小熊慶一郎氏
1991年に早稲田大学法学部を卒業し、NTTデータに入社。ネットワークとセキュリティに関する業務に従事し、日本で初めてBS7799(現ISO/IEC 27001)を取得した際のコアメンバーとして活躍。その後IBMビジネスコンサルティングサービス(現日本IBM)などを経て2011年に独立し、(株)KBIZを設立。
コンサルタント活動以外にも、(ISC)2日本代表としてグローバルのセキュリティ認定資格CISSP(Certified Information Systems Security Professional)の普及に努めつつ、東京電機大学(TDU)国際化サイバーセキュリティ学特別コース講師としてサイバーセキュリティ人材の育成に尽力。情報処理技術者試験委員、情報処理安全確保支援士試験委員も務める。2016年4月から一年間、日本年金機構の最高情報セキュリティアドバイザーに就任。
激変する事業環境のもとで高まるインシデントレスポンスの重要性
―今年に入りコロナ禍によって企業の事業環境やIT環境は激変しています。セキュリティの視点では、企業はどのような状況に置かれていますか。
従来のセキュリティ対策は、社員がオフィスの中で業務を行い、IT部門が安全を見守るものでした。それがコロナ禍で多くが自宅などのリモートワークに移行し、IT部門の目の届かないところで働くケースが増えたため、社員一人ひとりが自分自身のセキュリティのことを考えなければならなくなっています。
企業の視点では、自社の情報漏えいリスクが分かりにくくなっています。サイバー攻撃の手法自体が新しくなっているわけではありませんが、リスクにつながる脅威に気付くことと、その後に問題が起こった時への対応が難しい状況になっているのです。
―企業のセキュリティ対策は、これまでNIST(米国標準技術研究所)のサイバーセキュリティフレームワークに基づくような「多層防御の体制を作り、しっかり運用して脅威を検知し対応する」という形で体制を整備してきました。ただ、現在のコロナ禍によってオフィスを中心とするセキュリティ対策の運用が変更を迫られ、脅威の可視化やインシデントレスポンスを含めて従来型の対策方法が難しくなっているなか、新たな働き方に合わせて「ゼロトラスト」型対策への移行が必要だといった声が聞かれるなど、企業は対応に苦慮している印象です。
多層防御に対する考え方や必要性は何も変わっていません。多層防御をした上で、問題に気付いて対応するというインシデントレスポンスの重要性は10年前から言われていますし、むしろ重要度は増しています。昨今では「ゼロトラスト・セキュリティ」の概念が脚光を浴び、NISTも2020年8月に、確定版として「SP 800-207. Zero Trust Architecture」を発表しました。これは、従来の多層防御と矛盾するものではなく、両方とも必要です。
「企業ネットワークの外側は危険で内側は安全」という境界防御型モデルの考え方は、例えば、国内は安全で海外は危険というように、日本人にとってすごく分かりやすいものです。ただ、それが崩れたらどうしたらいいか困ってしまうと言えます。「リスクはゼロにはならない」と誰しも言葉では理解していますが、常に自分のリスクレベルがどれくらいか意識しながら生活するのは難しいでしょう。ゼロトラストモデルの基本的な考え方とは、そういうことなのかなと思います。
ただ最近、ゼロトラストという言葉が全国紙の1面に載り、「世の中の流れはゼロトラストだ」と意識付けされるようにもあります。コロナ禍に伴うテレワークが拡大する中でVPNの脆弱性問題などのリスクが顕在化したことにより、ゼロトラストの必要性や認識が一気に広まった状況です。