「どんな対策製品をどこまで買うか」を考える前に
岡田そういう大きな変化の流れの中では、セキュリティ対策の焦点も「いくらお金を使っています」というところから、「防御のポートフォリオが本当に適正か」を考えることが肝になっていると思います。
花村ビジネスがどんどん変化する中で、どのようにリスクを管理していくのかは、とても難しい課題です。企業として、どんな方針で守るか、優先順位を決めて措置を講じていくことが肝心です。そうしなければ、企業はベンダーの言うままに乗らされて、使えない製品を買ってしまったり、泥縄で導入してかえってコストがかかってしまったりすることになりかねません。
ゲヒルン
石森大貴氏
石森メールのゲートウェイにアンチウイルス製品を導入したものの、会社のルールで添付ファイルはパスワード付きのZIP形式にするというルールを運用しているので、実はウイルスチェックできずに全てをスルーしているというケースを聞いたことがあります。
岡田ベンダーが持ってくるセキュリティ製品やサービスの提案は、ざっと2つに分かれます。1つは、以前からの「この製品さえ導入すればばちんと止められます」というもの。確かに、その製品が登場した時点での脅威を止められるかもしれません。しかし、翌年になればITインフラの変化、それに伴う攻撃の傾向の変化、またそれらが業務に対するインパクトも変わっていきます。そこで、以前に導入した監視の仕組みが何年も同じでも良いのか。防御側が設置当初の想定を超えたものに頼り続けて良いわけがありません。
他方、もう1つのパターンは、「変化に耐える」ことをしやすくする製品やサービスです。状況に変化があったらそれが分かり、対応の必要性を喚起してくれるものです。変化にも成長にも動的に対処しやすくするものですね。こうした製品やサービスは、単なる装置ではないため、導入後、いかにユーザー企業が製品・サービスを使いこなし、変化に対応していくかということを考え続けなければならないという側面があります。
花村後者のタイプの製品は、日本の市場ではあまり評価されません。しかし、ビジネスを動的に変えていくということは、例えば、従来には存在しなかったスマートフォンからのアクセスや外部からのAPIへのアクセスといったことが続々と発生するわけです。IoTがその代表例ですね。そうした取り組みをしないままで、海外の競合とビジネスで戦うことができるのか懸念されます。
石森メディアも含めて、多くの組織がセキュリティの「対策」に注目してしまっていると感じますね。「対策」よりも、本来はそこにある「危険」や「リスク」にフォーカスして、それらをいかにコントロールするのか、抑制できるのか、保護機能が効いているかといったことを見るのが重要だと思います。自社にとっていったい何が脅威なのか、何がリスクなのかを認識しないまま、セキュリティの話を進めてしまうので、ミスマッチが起こるのではないかと感じます。
岡田「何を、どこまで、どうしたらいいか」という議論の際、その答えが企業に対して相対的なものであることを伝える必要があります。ビジネスを展開する環境も需要もどんどん変わる中で、セキュリティだけ切り出せるわけがありません。要は、セキュリティとは「ビジネス・イネーブラー」、すなわちビジネスそのものを実現可能にするのに不可欠なリソースだということです。セキュリティとは、国家にとっての制空権を守るための配備に似ており、企業がいわゆる自分たちのビジネス環境を「制空権」と捉えて守るための配備であって、環境の変化、敵国のロケットよろしく新しい脅威が飛来するようになったのなら、これまでの配備を進んで見直し、適切に強化しなければ、心配でおちおち仕事もしていられない。
このように、セキュリティは自分たちの領域を侵されないために必要なのであって、セキュリティの投資が固定的でいいはずがありません。まず、危険を観察し特定すること。そしてその変化が観察される状況に気づいたら、事前対策・事後対応のいずれにせよ、現状のセキュリティの取り組みがそのリスクにマッチしているかどうかを見極めていきます。つまり、人間にせよデータにせよ、その会社のビジネスリソースは十分保護されているのか、安心して推進していける状況なのかということを考えれば良いということになります。そのような考え方なら、いまどきセキュリティにコストが必要であることに驚いてしまうような事態にはならないと思います。
花村例えば、人工衛星の打ち上げビジネスは、打ち上げたロケットが宇宙空間に漂うゴミにぶつからないよう軌道の安全性を確認するためのレーダーを入れているといいます。これはビジネスに必要な投資で、無駄なコストではありませんよね。ビジネスとして新しいことを始める際に、安全を確保するにはどうすればいいかという観点からも必要なことでしょう。新しいものを開発する時も、作った後にテストして、また戻ってゼロからやり直すのではなく、最初からセキュリティを考えて開発することが重要ではないでしょうか。
岡田最近、「ソフトウェアが世界を食いつくしている」といいます。OSI参照モデルの物理層より上は、すべて「ソフトウェア」ですよね(笑)。ですから、今ではモノを売っているつもりでも、実際は全てソフトウェアです。ソフトウェアの質がすべてのビジネスに影響していくということです。
そこで私は、「シフトレフト」という考え方を提唱しています。開発にせよ、運用にせよ、現在起きている問題をまず棚卸しする。そして、それらの問題が起きる可能性に大きく影響する、その前段階の施策を見直すというものです。もしかすると、ちょっとした確認を前段階で行っていれば、後工程の何時間、何日もの手戻りを防げるかもしれない。ちょっと道具と材料に工夫すれば、後工程で際限ない問題に取り組まなくて済むかもしれない。これはすべてのものづくりに共通する品質に関する考え方です。
そのようなパターンで一つ一つのプロセスを見直していけば、セキュリティを考慮にいれたソフトウェアづくりのセンスをより身近に感じられると思います。すでに、ビジネスが動的に変化している状況に気付き始めた開発チームの中には、「統合開発環境(IDE)でコードを書いている段階で問題を減らそう」といったマインドが生まれています。
つまり、開発から運用に至る“右向き”のプロセスチャートにおいて、セキュリティを、左側にあるそれぞれの段階から考えるというのが「シフトレフト」の実践です。ありがたいことに、最近ではマイクロソフトさんもこの言葉を用いておられますね。
花村マイクロソフトでは「Secure Development Lifecycle(SDL)」とも表現しています。もともとは、2002年にBill Gatesが提唱した「Trustworthy Computing」という考えから始まったもので、積み重ねることで今ではだいぶ改善されていると思います。もちろん問題がゼロではありません。セキュリティとは、本来リスクをコントロールすることです。「リスクは絶滅しなければならない」という人もいますが、それは本来間違ったことだと思います。
岡田現実的な考え方とは、「リスク・ゼロはない」ということを受容するということでしょう。
石森リスクを全面的にゼロにしたいなら、そもそも仕事を辞めて、会社をたたむ方がいいですよね。