経営者は
ITやセキュリティの運用力が
利益を直接生み出すという視点を

 ラックは先ごろ『 「withコロナ」経営者が今やるべきこと〜ウイルスと共存する社会のITとセキュリティ対策〜』と題するレポートを発表し、企業がこれからの時代を生き残るために必要な以下の4つのポイントを提案した。

  • 1 常態化したテレワークの可用性を高めるIDaaSの利用
  • 2 端末のセキュリティを保つ検疫ネットワークの仕組みの利用
  • 3 エンドポイントでの検出と対応する仕組み(EDRなど)の導入
  • 4 安易なクラウド利用によるリスクを低減させるクラウドセキュリティ設定の管理

 レポートを執筆した武田一城氏はこれらのポイントを推進していくうえで、経営者の役割が重要だと指摘している。
 企業のITとセキュリティに関して、経営者が果たすべき役割をどのように考えればよいのか。サイバーセキュリティに深い知見を持つ立命館大学 情報理工学部 情報理工学科 上原哲太郎氏との対談から、経営者が目指すべきセキュリティの方向性を探る。

「明日からゼロトラストと言われても困る」というのが現実

写真:武田一城氏

ラック マーケティンググループ
武田一城

武田 新たな脅威が現れるとそれに対抗するソリューションが出て、しばらくするとまた新しい脅威に対抗する新しいソリューションが出る。それが何度も繰り返されています。こうした状況に対して、納得できない経営者、セキュリティ担当者は多いと思います。このような状況を踏まえて、現在のセキュリティのあり方をどう捉えていらっしゃいますか。

上原 ゲートウェイかエンドポイントか、という基本的な流れは変わらないと思っています。ゲートウェイは境界線防御のためにあるもので、企業ネットワーク全体を区切るファイアウォールに始まって、社内の組織やシステムごとに区切るようなかたちで少しずつ範囲を狭めてきました。一方、エンドポイントはパターンファイルを使ったアンチウイルスソリューションに始まって、振る舞い検知やAI検知、EDRのような方向で進化してきました。今もその延長線上にあると考えることができます。

武田 テレワークのように、PCが社内ネットワークの外に出た時点で、境界線防御は役に立たなくなったとの見方もあります。内部ネットワークがどんどんなくなっていって、ファイアウォールも効かない。「サイバーキルチェーン」という、脅威の連鎖を切るという考え方も通用しなくなってきたという人もいます。

上原 いまは「ゼロトラスト」が叫ばれていますね。確かにゼロトラストはテレワークの時代に有効なアプローチだと思います。10年、20年先を考えれば、ゼロトラストが望ましい。実際、クラウドファーストを掲げ、オフィスもフリーアドレス、社外でもノマドで働くことが当たり前という会社にとっては、採用しやすいアプローチです。ただ、ファイアウォールや境界線防御は、モデルとして分かりやすく管理コストもリーズナブルで、ノウハウも蓄積しています。昨日まで境界線防御を当たり前としてきた企業にとって「明日からゼロトラストと言われても困る」というのが現実だと思います。

現場主義が強く、セキュリティが後付けになりやすい

写真:上原哲太郎氏

立命館大学
情報理工学部 情報理工学科
上原哲太郎

武田 ラックではMicrosoft 365などのクラウドサービスを1年ほど前から使っていたこともあり、コロナ禍でのリモートワーク対応も比較的スムーズでした。ただ、その一方で、VPNのような従来型の取り組みも平行して利用しています。クラウドとレガシーのシステムが混在するなかで、あらためてゼロトラストの有効性を確認できたところはあります。

上原 世の中まだまだレガシーが主流です。立命館大学の事務系情報システムもファイアウォールの内側にしかありません。つまり、ほとんどの場合「ネットワーク分離」の世界でしか生きていないのです。学生の成績などの個人情報をインターネットにアクセスできる場所に置くことは難しい。個人のPCなどはできるかもしれませんが、情報システムを内側に置く以上、そこにインターネットから直接アクセスさせるのはムリがあります。

武田 なぜレガシーが残るかというと、1つは調達の仕組みだと思います。官公庁や公共施設は入札があるので、入札のたびに調達するシステムやベンダーが変わる。結果的に継ぎはぎ感満載にならざるを得ない。

上原 現場が強いことも理由でしょうね。すべてを情報システム部などの部署が管轄すればいいのですが、実際には現場がそれぞれの事情でシステムを導入していく。するとセキュリティはどうしても後付けにならざるを得ず、「このままでは外に出せないので、とりあえず中に閉じ込めておくか」となりやすい。

武田 立命館大学の情報システムはどういう体制で運営されているのですか。

上原 ITを扱う総合情報センターとして独立しています。以前は、BKC(びわこ・くさつキャンパス)と衣笠キャンパスそれぞれに分かれていましたが、いまは1つに集約してサービスを提供しています。セキュリティインシデントのハンドリングなどは私が担当しています。

本筋ではないコミュニケーションチャネルを維持することが重要

武田 セキュリティのほかにコロナ禍で課題になっていることはありますか。

上原 学生とのコミュニケーションチャネルをどう保持するかが大きな課題ですね。

武田 企業でも、コロナ禍でのコミュニケーションはWeb会議やチャットに頼っているため、社員それぞれが何をしているかが見えにくくなっています。その影響でマネージャー層はメンバーの状況を把握することが大変なことも少なくありません。

上原 同じ場にいるからこそ得られる気付きが失われていますよね。いろいろな意味でケアが届かないので、トラブルを抱えている社員がいたとしても気付かない。気付いたときには手遅れということが起こり始めています。「失われた20年」といわれる時期に、多くの企業が実践的なOJTで対応するという名目で社員研修機能をなくしました。私は、各々の企業が一子相伝で受け継いできた暗黙知がそこで失われたと考えています。大学も同様で、いま学生をどのようにケアしていくかに頭を悩ませています。

武田 私自身もロスジェネ世代なので、20年の社会人生活でそのことは実感しています。ちなみに、大学による学生のケアとは、具体的にどのような取り組みをしているのですか。

上原 私は出張が非常に多いのですが、まずは頑張って大学にいるようにすることを意識しています。しかも自分の部屋ではなく、コミュニケーションの機会を多くするために学生の研究室に机を構えて、大学にいる時間はできるだけ研究室の学生と話をするようにしています。大学に来ない学生もいますから、そうした子たちとは、Slackで話をするようにします。Slackでは、ネット上のネタを貼るとか「つまらない話」をすることも大事です。それでもうまくいかないことは多い。これからの企業では、チャットやWeb会議を使って「本筋ではないコミュニケーションチャネル」をどう維持し続けるかが大事になってくると思います。

武田 やはりコミュニケーションは対面と非対面問わず重要ですね。元々、ITは欧米ではやったものが数年後に日本国内でも普及するという流れが一般的でしたが、コラボレーションと呼ばれるコミュニケーションツールの分野に関しては、なかなか日本で普及しませんでした。その理由は、狭い国土と共に東京、大阪、福岡などの主要都市を高速鉄道と各鉄道路線などの交通機関が緊密に結んでいるという環境から、対面でのコミュニケーション重視の文化ができたためだと感じています。ただ、今回のテレワークでその前提が変わったと言えるでしょう。IT運用やセキュリティ運用をきちんと行う一方で、コミュニケーションツール等で社内外と気軽に雑談できる仕組みが重要になってくるのかもしれません。

いまこそビジネスを担う経営者がITの旗振り役になるべき

武田 これからのセキュリティについて企業はどうすべきでしょうか。

上原 方向性としては、ゼロトラストのようなセキュリティモデルが望ましいでしょう。ただ、現実的にはすぐに移行することは困難です。境界線防御がベストとは言いませんが、少なくともそれでやってきたノウハウをご破算にして新しいモデルに引っ越すほど体力のある企業ばかりではありません。

 また、境界線防御は物理セキュリティに近い心理を生み出します。「この部屋にいれば安全」と同じような感覚で「このPCを使っている以上は安全」と感じることができる。システムが守ってくれることを実感できる世界です。それがゼロトラストになり、自宅やカフェなど場所を問わずに利用できるようになると「何をすれば危ないか」を知る手掛かりを失います。そうした手掛かりを失ってもいいと全社員が納得できるようになるまでは、10年はかかると見ています。

武田 目指すところはゼロトラストモデルかもしれないが、しばらくは、境界線防御モデルとの併用でセキュリティ対策を講じていくのが現実的ということですね。そこで重要になってくるのは、誰がセキュリティを推進するのかということです。個人的には、その役割は経営者であるべきだと考えています。コロナ禍のなかで、ITの可用性がビジネスの可用性と一致することを多くの経営者が認識したと思います。ビジネスを担う経営者がITの旗振り役になる。それができなかったからこそ、日本は欧米に負け続けてきた。今がラストチャンスなのではないでしょうか。

経営者に知ってほしいこと「運用コストは金のなる木だ」

上原 その意味では私たち大学人も責任を負っていて、これだけITがメジャーになった割には、ITエンジニアとしての卒業生を出せていない。世の中を変えていく若い世代を育てられていないことは反省すべき点です。「Excel方眼紙」「ハンコ文化」「PPAP(パスワード付きZIP暗号化ファイル別送プロトコル)」の3つは、日本のIT理解の浅さを象徴していると感じます。ITの使い方を理解するための教育をどこかで間違えてしまった。目に見えるかたちにこだわるのではなく、重要なのはデータだということを共通理解にしていくことが望まれます。

武田 経営者がセキュリティを推進するために、まず何から始めればよいでしょうか。

上原 コロナ禍によって強制的にテレワークが始まったため、VPNが無防備な状態になっているケースが多く見られます。いますぐクレデンシャル(IDとパスワードなどの認証情報)管理をやれ、と言いたい。また、極端な発想かもしれませんがPCの利用をやめるという発想を持つことも重要です。PCというだけでリスクになっています。例えば、すべての従業員にPCを支給するのではなく、ルーチンワーク中心の従業員には「Chromebook」や「iPad」などで業務を行う方が良いと思います。というのも、サイバー攻撃の対象がPCだからこそ、攻撃者はさまざまなことができるという面があるからです。そのため、PCが必須の業務に就いていない従業員は、通常業務ではPCを利用せず、そのような端末を利用することでリスクを低減することもできます。

 そうしたことを積み重ねたうえで、ITやセキュリティを運用するための力を付けてほしい。私は「運用コストは金のなる木だ」と言っています。運用することで企業を守るという視点を学ぶことができます。インシデントの有無ではなく、どこにリスクがあるかを把握することができるようになります。経営者には、ITやセキュリティ運用力は会社の利益を直接生み出すもの、という視点を持ってほしいと思っています。

提供:株式会社ラック
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2020年12月31日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]