2020年来のコロナ禍を経て、企業を取り巻くビジネス環境は大きく変容した。クラウドの活用やテレワークなどの普及は、ITやデジタル技術を活用した「新しい働き方」を実現していこうとしている企業にとっての追い風となった。しかし一方で、企業を取り巻くIT環境の変化は新たな「リスク」も生み出している。環境が大規模に変化する時には、常に「チャンス」と「リスク」が表裏一体で現れる。
こうした状況の中、企業が新たなリスクに屈せず成長を続けていくためには、どのような戦略を立て、どのような領域に向けた投資を行うべきなのだろうか。特にテクノロジーの領域で、有力なソリューションとして注目されているのが「IDaaS(Identity as a Service)」である。なぜ今、IDaaSへの期待がこれまで以上に高まっているのか、IDaaSから企業が得られる具体的な価値とは何なのか。
2023年10月25日に開催されたオンラインセミナー「ZDNET Japan IT DeepDive "Okta"-sponsored by MACNICA」(主催:マクニカ、朝日インタラクティブ)では、主にITセキュリティの切り口から、アフターコロナ時代に企業が直面する新たなリスクと、そのリスクをコントロールしていくための「ゼロトラストモデル」の考え方、そしてゼロトラストの実現に不可欠な技術要素である「IDaaS」について、3つのセッションを通じ、最新の知見とソリューションが披露された。
本稿では、各セッションの内容をダイジェスト形式でレポートする。
「アフターコロナ」のセキュリティリスクに企業はいかに備えるべきか
オープニングセッションは、「コロナ後のビジネスリスクとセキュリティトレンド ~リスクに躓くことなく成長し続けるための方法論~」と題し、リスクマネジメントとセキュリティのコンサルティングを手がけるニュートン・コンサルティングの執行役員 CISO、内海良氏が講演を行った。
内海氏の所属するニュートン・コンサルティングは、1998年にイギリスで日本人によって設立されたITソリューション企業を母体としている。日本では2006年に設立され、サイバーセキュリティ領域を中心としたリスクマネジメントやERM、BCPについてのコンサルティングを手がける企業だ。多くの民間企業、官公庁にコンサルティングを行っている知見を交えながら、現在の日本企業が直面している、主に「サイバーセキュリティ」を切り口としたリスクの現状と、将来的な予測を視野に入れて取り組むべき対策を紹介した。
2020年初頭に世界的な流行が始まり、爆発的な感染拡大期を経て、現在は一応の落ち着きを見せている新型コロナウイルス感染症。多くの国で、人の移動や接触を制限する政策がとられ、人々の社会生活と世界経済に深刻な影響を与えた。“コロナ禍”は、いわば「環境リスク」がインシデントとして具現化したものであったと言える。
コロナ禍によって引き起こされた変化は、現在、そして今後の「リスク」のあり方にも影響を与え続けることになる。内海氏は、世界経済フォーラムがまとめた2023年版の「グローバルリスクレポート」から、今後2年間と10年間に、影響の大きさが懸念される「リスク」のトップ10を紹介した。
一般的な「リスク」は、「環境リスク」「地政学リスク」「社会リスク」など、そのリスクが発生する領域に基づいて分類されている。内海氏は、今後2年、10年の双方において「サイバー犯罪の拡大とサイバーセキュリティの低下」といった「テクノロジーリスク」が挙げられている点を指摘し、「サイバーセキュリティは、世界的にも大きなリスクと捉えられている」とした。
同時に、内海氏は、トップ10に挙げられているようなリスクは、それぞれ独立して顕在化するものではなく、互いに影響しあい「連動」するとした。例えば、「新型コロナウイルスの感染拡大」は、各国政府による「ロックダウン・移動制限」を引き起こし、それに伴って発生する「サプライチェーンの寸断」や「対面サービス需要の減少」は、企業の業績不振、雇用減少を招いて、世界的な「経済の悪化」につながるというわけだ。2022年に始まり、2023年10月現在も続いているロシアによるウクライナ軍事侵攻や、各国の経済政策に連動した記録的な「円安」といった動向も、複雑に影響し合いながら、ビジネスに対する「リスク」を生み出している。
ニュートン・コンサルティングでは、株式を上場している企業が作成する「有価証券報告書」において、各企業がビジネス上の「リスク」として示しているキーワードを抽出、集計し、年度ごとの推移をまとめている。
その内容を見ると、直近3年の間に「感染症」「気候変動」といった環境リスクに加え、「地政学」「ロシア」「サイバー攻撃」といった、地政学、テクノロジーリスクに関連したキーワードが急伸している点が特徴的だという。
「“地政学”“ロシア”は、サイバーセキュリティに連動するキーワードと捉えることができる」(内海氏)
ロシアや中国といった、自由民主主義以外の政治体制を取る国家の動向や、そうした国家が国際社会に対して与える経済的な影響力は大きくなっており、「日本を含む民主主義国家における“安全保障”の裾野が、経済分野、テクノロジー分野にも急速に拡大してきている」と内海氏は指摘する。こうした動きは、日本を含む欧米諸国において既に具体化しており、ファーウェイやZTEといった中国企業が製造した通信機器の調達、販売等の禁止や、米国で続いている中国発のスマートフォンアプリ「TikTok」に対する使用禁止の議論などが、その例となる。
日本においても整備が進む「経済安全保障」の枠組み
日本においても、こうした複合的なリスクに対応する取り組みが進んでいる。2022年5月11日に成立した「経済安全保障推進法」では、国家の安全保障に関わる「重要物資」「基幹インフラ」「重要技術」「特許技術」の安定供給と、国外への流出防止を目的とした制度の整備が掲げられている。
日本企業は今後、この法律や制度への具体的な対応が必要になる。内海氏は「“4つの制度”に対して“4つの対策”の実施が求められるだろう」とした。「4つの制度」は、「重要物資の安定的な供給」「基幹インフラ役務の安定的な提供」「先進的な需要技術の開発支援」「特許出願の非公開」。企業に求められる「4つの対策」は、「基幹インフラの事前審査」「セキュリティ・クライアランス(SC)」「ガイドラインへの準拠」「特許の非公開制度」を指す。
対策のひとつに挙げられている「ガイドライン」は、行政機関が特定の目的に合わせて、専門家による会議で意見を募り、企業の守るべき「規範」として取りまとめるもの。経済安全保障における「ガイドライン」は「国家機密ほどではないが、重要な情報をきちんと守っていくために、企業として守るべきルール」といった意味合いを持つ。
アメリカにおいては、国家レベルで「機密ではないものの、重要であり管理されるべき情報」(CUI、Controlled Unclassified Information)を定め、近年、データの保管場所として一般的な「クラウド」も含めたサプライチェーン全体で、共通のセキュリティ対策を行い、データを保護する仕組みの整備が進んでいる。具体的には、CUIを取り扱うクラウド事業者は「FedRAMP」と呼ばれる認証を取得し、CUIを取り扱う民間事業者においては、セキュリティガイドラインである「NIST SP800-171」をベースとした認証制度「CMMC」(Cybersecurity Maturity Model Certification)への対応が必須となっている。
日本においても、既にアメリカに倣った動きが進みつつある。防衛省外局の防衛装備庁では「防衛産業サイバーセキュリティ基準」を定め、2023年度からの調達において適用を開始している。同庁へ納入を行う企業は、NIST SP800-171に準じた調達基準に準拠する必要がある。また、保護すべき情報を取り扱うクラウド事業者には“日本版FedRAMP”とされる「ISMAP」(Information system Security Management and Assessment Program、政府情報システムのためのセキュリティ評価制度)の認証が求められる。
「今後、経済安全保障の一環として、防衛省関係に限らず、政府関連機関と取引するすべての民間企業にも同様のガイドラインが適用される見込みが高い。そのための準備を段階的に進めておく必要がある」(内海氏)
近年の脅威状況を反映した「セキュリティトレンド」の変化
内海氏は、近年、企業ITの領域において起こっているセキュリティトレンドの変化として「ゼロトラストセキュリティ」への関心の高まりを挙げた。JIPDEC(一般財団法人日本情報経済社会推進協会)が2023年に実施した「企業IT動向調査」では、企業が「重視する経営課題」として挙げた項目のトップ5に「情報セキュリティの強化・ゼロトラストセキュリティの実現」が含まれていたことを指摘する。
「ゼロトラスト」は、従来の主流であった、企業ネットワークの「内側」と「外側」を分け、その境界上で「内側」への攻撃を防ごうとする「境界型」のセキュリティモデルとは異なり、ネットワークの内外を区別せず、自社で管理するITリソース(データやアプリケーション、ネットワークなど)へのアクセス要求ごとに、認証・認可を行う新しいセキュリティモデルである。
「クラウドコンピューティングの普及からコロナ禍を経て、従業員が働く場所も、ビジネスに関わるデータやアプリケーションが存在する場所も拡散を続けている。こうした状況において、企業ネットワークの“内側と外側”の存在を前提とする従来の境界型セキュリティモデルは効力を失いつつある」(内海氏)
サイバー攻撃を行う犯罪者は、こうした企業ITの環境変化を見逃さず、そこに生じる「弱点」を巧みに突いてくる。内海氏は、セキュリティベンダー各社の調査レポートの内容から、今後、増加が予想されるサイバー攻撃の傾向を示した。
中でも「多要素認証を回避する攻撃」「アクセス情報窃取」「リモートワーク環境の脆弱性を悪用」「ダークウェブを活用した情報公開・販売」といったものは、情報へのアクセスに対する「認証・認可」に関連したサイバー攻撃として、特に注意すべきだと指摘した。
「企業のサイバーセキュリティ対策がゼロトラストに向かうべきであることは間違いない。技術的な対策だけでなく、バランスの良いルールや体制の構築、個人のリテラシー向上などをバランス良く進めながら、企業全体のセキュリティレベルを底上げしていく取り組みは不可欠だ」(内海氏)
内海氏は、その前提で「ゼロトラスト+αの視点も、今後必要になってくると見ている」とする。ゼロトラストの最も基礎的な基盤となるのは、主にユーザーのID/パスワード管理機能を提供する「IDP」(Identity Provider)もしくは「IDaaS」(Identity as a Service)、そしてクラウドサービスへのアクセス管理を行う「CASB」(Cloud Access Security Broker)といった「認証・認可」に関わる一連のソリューションである。
内海氏が「+α」として挙げるのは、各種クラウドサービスのセキュリティ設定を自動的にチェックする「CSPM」(Cloud Security Posture Management、クラウドセキュリティ動態管理)や、ネットワーク全体の状況を可視化し、脅威を検出する「NDR」(Network Detection Response)と呼ばれるソリューションである。
「今や、クラウドサービスは企業のITポートフォリオにおける重要な構成要素のひとつ。クラウドのセキュリティ設定を適切に管理するためのCSPM、ネットワーク全体の状況を把握して脅威を検出するNDRといった仕組みの重要性は、認証・認可の基盤となるIDaaSやCASBなどと同様に、今後高まっていくと考えられる。これらの仕組みに記録されるログデータをSIEM(Security Information and Event Management、セキュリティ情報イベント管理)に集約し、脅威への監視と対処を自動化していく仕組みづくりが、今後、さらに複雑化と活発化が進むサイバー攻撃への対応において、重要になってくるだろう」(内海氏) 内海氏は、こうした環境を実現するための具体的なステップとして「ユーザー認証の強化」「アプリ認証の強化」「デバイスの強化」「インシデント検知・分析能力の強化」を段階的に進めていくことを示した。
「ゼロトラストなITセキュリティを目指すのであれば、最初のステップとして重要なのが、IDP(IDaaS)による認証・認可に関わる部分のコントロールになる。次の段階として、アプリケーションへのアクセスを管理する“IAP”、クラウドへのアクセスを管理する“CASB”の活用。その後、デバイス認証の強化や、SIEMへの統合による脅威分析やアラートの自動化へと進み、インシデントをいち早く察知し、対処できる体制を築いていくというのが王道になるのではないだろうか」(内海氏)
