企画広告

DX推進にセキュリティ対策をどう組み入れていくのか?

ZDNET Japan Ad Special

2023-03-02 13:00

2023年1月26日、オンラインイベント「ZDNET Japan Security Special Event feat.Splunk&Accenture ~ 全ての企業がサイバー脅威にさらされる今、企業に求められるセキュリティ戦略 ~」が開催された。近年、DX(デジタルトランスフォーメーション)の推進が多くの企業で取り組まれているが、そのなかで無視できないのが「セキュリティ対策」である。セキュリティを十分に担保したうえでDXによるビジネス変革を成功させるための秘訣を探っていく。

セキュリティに必要な経営者のリーダーシップ

 イベントの基調講演では、東海大学 情報通信学部 情報通信学部長・教授 三角 育生氏が登壇した。

 経済産業省などで2020年まで行政において主としてサイバーセキュリティ政策、安全保障貿易審査などに携わってきた三角氏は、「DXの成功に不可欠なサイバーリスクマネジメントとは」というテーマで講演した。

 同氏は、DXによって事業のデジタル化が進めば新しいリスクにさらされることになるとし、DXもサイバーセキュリティも組織レベルで経営層のコミットメント、リーダーシップが重要になると指摘する。

 「リモートワーク・遠隔医療の進展は利便性を高め、リアルなウイルスの感染リスクを減少させました。しかし個人情報の漏えい、不正アクセスなどサイバーリスクを拡大させています。例えばランサムウェア被害は年々右肩上がりで増加しています。この対策としてバックアップシステムを充実させることを挙げられる一方で、攻撃者はデータの暗号化だけでなく情報を窃取しその暴露も脅しの材料にするようになっており、バックアップデータを確保しているだけでは十分な対策とはいえなくなっています。このようにサイバー犯罪は年々高度化しており、経営者として現場の技術担当者任せにしていられない問題となっています」(三角氏)

 このようにDXの成功には、セキュリティとビジネスイノベーションの両立という意識がどうしても必要になってくる。

 三角氏は経営者のセキュリティに対する心構えとして、経済産業省が提示している「サイバーセキュリティ経営ガイドライン」を示した。

 同ガイドラインでは、①経営者はサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要、②自社はもちろんのことビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要、③平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策に関わる情報開示など、関係者との適切なコミュニケーションが必要、という3つの原則を掲げている。

 DXを進めることはセキュリティリスクを抱えることになるが、かといってDXを放棄することはビジネスの停滞を生み出し、競争力を失うというリスクを高める。三角氏は、セキュリティ対策とDX推進のバランスをどうとるかが重要だと説く。

 「DXによって新しい施策を進める際、開発(Development)や運用(Operations)のプロセスにおいて常にセキュリティの手法を組み入れるDev Sec Opsの考え方を定着させることが重要になります。そのうえでDXのためのアジャイルなシステム構築では、クラウド活用を優先していくクラウド・バイ・デフォルトの発想で、一からセキュリティシステムを構築するのではなく、クラウドサービス側が提供するマネージドサービスによるセキュリティサービスを利用していくのがよいでしょう」(三角氏)

 DXにおける開発や運用では、技術的事項だと考えて現場任せにせず、経営レベル、事業レベルなど各レイヤーでのリスクマネジメントを積み上げて調整していくことが重要だ。そのなかで三角氏は、経営者はサイバーインシデントを組織全体の危機につなげないようにすることを常に意識していくべきだと話す。

 「サイバー関連事象はビジネス上のリスクの一要因に過ぎません。しかしその事象が外部の組織やステークホルダーなどにどのように影響するかを考えることはまさに経営者の仕事です」(三角氏)

 そしてもう1つ、経営者が考えるべきこととして三角氏は「残存リスク」を挙げる。サイバーリスクを低減させるためにある対策を行った後にも残るリスクへの対応、例えば、残ったリスクを受容するのか、更なるセキュリティ対策を講じるのか、そのために費やした投資コスト増をどう考えるかなど、さらに、今後新たに起きうるサイバーリスクなどについて、経営層として真正面から取り組んでいくべきだとした。

セキュリティもトランスフォーメーションしていこう

 アクセンチュア株式会社 テクノロジー コンサルティング本部 マネジング・ディレクター セキュリティ日本統括の藤井氏は「DX時代に必要なセキュリティ運用モデルとは」というテーマで講演した。藤井氏はDXを進める企業で発生している「セキュリティ課題」について次のように話す。

 「開発段階ではテストやPoCだからとセキュリティを意識せずにシステムを構築して、いざ上層部に説明をする段階で『セキュリティは大丈夫なのか』と指摘され、なかなか解決策が見いだせないままプロジェクトが中断してしまうといったケースも珍しくありません。組織内のあちらこちらでDXの取り組みがスタートしても、組織内のセキュリティ人材が不足しているためなかなか対応ができず、遅延するプロジェクトが続出するということもあります」

 また藤井氏は、社内のセキュリティ人材が新しい技術に対する知識・経験がないことも、プロジェクトの遅延に拍車をかけると指摘する。日本のセキュリティ人材はネットワーク・インフラを中心にしたセキュリティ対応が中心だったため、DevOps環境やSaaS、マイクロサービスなどアプリケーションよりのセキュリティ知識が乏しいことも少なくない。そのため、さまざまなプロジェクトにおいてスムーズにセキュリティのチェックができないという状態が継続してしまうわけだ。

 こうした状況に対し藤井氏は「セキュリティもトランスフォーメーションしていくことが大切です」と語り、セキュリティトランスフォーメーションの基本的な考え方を次のように話す。

 事業と一体化したセキュリティ対策を進めることを常に意識する。事業部門、戦略部門などと一体化してセキュリティを推進するようにセキュリティ担当者の意識を変えていく。そのうえで、多層防御・要塞化ではなく、ゼロトラスト、クラウド中心でシンプルにセキュリティの仕組みを構築する。ガチガチに守りを固めるのではなく、クラウドベースのシンプルなセキュリティ構成にしていく。さらに国内に閉じるのではなく、グローバルとのコラボレーションができるよう、セキュリティ組織を変えていくことが重要だという。

※セキュリティトランスフォーメーション
※セキュリティトランスフォーメーション

 こうした考え方に沿って、セキュリティ組織を変換し、事業部門のなかにセキュリティ専門家を配置するといったハイブリッドな運用も重要だ。さらに統合されたダッシュボードを使い、あらゆる人材が同じ情報に接しながらセキュリティ対応することも欠かせない。また外部の協力企業に運用業務などを一部切り分けていく発想も重要となるだろう。

 「アクセンチュアでは『セキュリティ運用モデル』を用意して、セキュリティ製品の導入だけでなく、セキュリティ運用支援に力を入れています。SOC(Security Operation Center)、CSIRT(Computer Security Incident Response Team)関連のサービスをはじめ、戦略策定の支援、インシデントレスポンス対応の先にある復旧に関するサポートも行っています」(藤井氏)

 最後に藤井氏は、セキュリティに関わる大きな問題として、自社のIT資産を把握していない組織が多いことを指摘する。攻撃の高度化に伴い、守る側もプロアクティブな対応が必要だ。そのためには、脅威の予兆を予測して未然防止につなげていくための仕組み・アプローチが大切となる。しかし、そもそも自社のIT資産を把握していないと、脆弱性も把握できず、対策もできないままとなる。

 「IT資産を管理する部署とセキュリティ担当部署が別というケースも珍しくなく、うまく連携がとれていないこともあるようです。資産の可視化と脅威の可視化の両方を進め、まずは資産情報と脅威インテリジェンスを掛け合わせて、これから来ると想定される攻撃の対策を行うことが重要です」(藤井氏)

 こうした可視化には、脆弱性管理モデルを活用し、ネットワーク機器やクラウドのインスタンスだけでなく、ミドルウェアやアプリの情報もSIEM(Security Information and Event Management)に蓄積し、それと脅威情報を照合して優先的に対応すべき脆弱性を明確にすることが欠かせない。

 「優先的に対応しなければならない脆弱性は何なのか、その脆弱性を持つ機器はどれか、といったことを把握していく。こういうことをいち早く確認できるプラットフォームを運用することが効率的な危機対応につながるはずです」と藤井氏は話す。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]