ハイブリッドワークの普及でゼロトラストの導入が加速
初めに登壇した米国マイクロソフト セキュリティ製品担当ヴァイスプレジデントのスー・ボーン氏は、同社が推進するゼロトラストセキュリティについて説明した。
同社が昨年行った調査によれば、すでに31%の顧客がハイブリッドワークを導入しており、未導入の顧客の91%が今後5年以内での導入を検討しているという。一方、94%の顧客がハイブリッドワークのセキュリティに懸念を示し、72%の顧客がコロナ禍によってゼロトラスト戦略を加速させたと回答した。
ゼロトラストの導入を、多くの企業はIDから始める。複数のデバイス、オンプレミスとSaaS、ハイブリッドな仕事環境といった複雑な企業IT環境で個々のユーザーを特定するものはIDであり、「IDを守ることがスタート地点となる」(ボーン氏)からだ。
その保護を強化するうえで重要な仕組みの1つが「多要素認証」である。マイクロソフトは生体認証機構「Windows Hello for Business」や多要素認証アプリ「Microsoft Authenticator」などの提供によって多要素認証の導入を容易にしているが、まだ多要素認証を利用していない経営者やIT管理者が少なくないという。ボーン氏は、「多要素認証によりID関連の攻撃を99.9%軽減することができます。多要素認証を使いましょう!」と強く訴えかけた。
なお、マイクロソフトのゼロトラストアーキテクチャは、IDやデバイスだけでなく、アプリケーション、データ、インフラ、ネットワークまでカバーしている。例えば、三井物産は2019年よりゼロトラストの導入を開始してAzure Active Directory(AD)に移行し、次にSaaSアプリをAzure ADに接続してシングルサインオンを実現。さらにAzure ADの条件付きアクセスを有効にしてセキュリティを強化しているという。
「サイバーセキュリティ戦略」最新版はDXのセキュリティ強化に注力
ボーン氏に続いては内閣官房 内閣サイバーセキュリティセンター 副センター長 内閣審議官の吉川徹志氏が登壇し、内閣官房長官を本部長とするサイバーセキュリティ戦略本部が策定して2021年9月に閣議決定した「サイバーセキュリティ戦略」の最新版(以下、2021年戦略)のポイントを解説した。
2021年戦略は、「社会におけるデジタル変革の進展」や「コロナ禍に伴うテレワークやオンライン教育の浸透」「社会に大きな影響を及ぼすサイバー攻撃や国家の関与が疑われるサイバー攻撃の激化」などを受けて、「『Cybersecurity for All(誰も取り残さないサイバーセキュリティ)』というコンセプトの下、次の3つの指針で強化が図られています」と中野氏は説明する。
- デジタルトランスフォーメーションとサイバーセキュリティの同時推進
- 公共空間化と相互連関/連鎖が進展するサイバー空間全体を俯瞰した安全/安心の確保
- 安全保障の観点からの取組強化
このうち、「デジタルトランスフォーメーションとサイバーセキュリティの同時推進」に関しては、経営層の意識改革や地域/中小企業における“DX with Cybersecurityの推進”のほか、サプライチェーンなどの信頼性確保に向けた基盤作り、誰も取り残さないデジタル/セキュリティリテラシーの向上と定着といった施策に力を入れているという。
最新版ソフトウェアの維持がセキュリティを高める
マイクロソフトは毎年、サイバー攻撃のトレンドや戦術、戦略などを紹介したレポート「Microsoft Digital Defense Report」を発行しているが、同レポートの最新版では「多要素認証の適用」「最小権限ポリシー」「最新環境の維持」「アンチマルウェア」「データ保護」の5つの対策によって攻撃の98%を防げるとしている。
基調講演の進行を担当した日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野省二氏は、例として「最新環境の維持」に触れ、「例えば、2017年に猛威を振るったWannaCryに感染したのは古いOSばかりでした。2019年に流行したEmotetも、感染したのはダウンロード版Officeのユーザーで、クラウド版であるOffice 365のユーザーは感染していません。Office 365には、さまざまな最新のセキュリティソリューションが組み込まれているからです」と説明。最新環境を維持することがセキュリティ強化につながると強調した。
日清食品グループのセキュリティ施策は「ゼロトラストのその先へ」
基調講演では、ゼロトラストセキュリティの事例として、日清食品ホールディングス 情報企画部次長兼サイバーセキュリティ戦略室室長の中野啓太氏により日清食品グループの取り組みも紹介された。
中野氏が中途入社した2014年当時、日清食品グループは食品業界23社で平均月間残業時間がワースト2位、有給取得率では最下位、1人当たりの平均年間総労働時間は2,197時間と、「昭和の『24時間戦えますか?』の世界を引きずっているような会社」(中野氏)だったという。これを改革すべく、同社は働き方改革とDXを推進してきた。
その取り組みの1つである「Future Office Project」では、Microsoft 365の導入に始まり、SharePoint Onlineによるイントラネットの刷新、Power BIやSurface、Teamsの導入を進め、昨年はViva Insightによる従業員コミュニケーションの分析を行うなどして改革を進めてきた。
これらの取り組みは数値的な成果としても現れており、2013年度から2020年度までで営業利益が倍増したほか、1人当たりの年間総労働時間は約243時間短縮。テレワークの浸透も進んでおり、昨年2月に実施した社内アンケートでは85%以上が「コロナ禍後も現在以上の頻度でテレワークを利用したい」と回答したという。
これらを支えるセキュリティ施策として、同社はゼロトラスを推進してきた。「クラウド化とモバイルデバイスの利用を前提に、侵入されることを想定して即時検知/対処を行う仕組みを構築しました」と中野氏は説明。具体的には、Azure ADによるID管理、Windows Defender ATPによるAIを用いた監視/検知と、Security Operation Center(SOC)による即時対応などの仕組みを導入している。
また、昨年9月には中野氏を室長とする「サイバーセキュリティ戦略室」を立ち上げ、経済産業省の「サイバーセキュリティ経営ガイドライン」に準拠した経営視点でのセキュリティ強化を推進。「ゼロトラストのその先へ」として「サイバーハイジーン」の考え方を導入しようと検討を進めているという。