セキュリティの視点が欠けた、危ういDXにしないために
~よりよいデジタル社会を迎えるための提言~
IoTやAI、生体認証などの技術が新しい製品やサービスを生み出し、人々の暮らしをより快適なものに変えていく。その社会の高度化に貢献する、あるいは新しい社会に対応するために、企業はDX(デジタルトランスフォーメーション)に取り組む。現在の社会は、デジタルと密接な関係にある。だからこそ避けて通れないのがサイバー攻撃への対策だ。セキュリティビジネスを統括する専門家に、サイバー攻撃の最新動向、「クラウドシフト」などのIT環境の変化、そして、それらを背景に変化するセキュリティリスクと対策のポイントを聞いた。
規模や業種は関係ない。あらゆる企業がターゲットになる
私たちの社会はさまざまな課題を抱えている。サイバー攻撃はその1つである。インターネットの普及をきっかけに一気に広がり、悪質化を続けているサイバー攻撃は、社会のデジタル化が加速する現在、より深刻なダメージを社会に与えている。適切に備え、私たちのビジネスや暮らしを守るためにも、改めてサイバー空間で起こっていること、有効な対策について考えたい。
まず、そもそも誰が攻撃を行っているのか。多いのは金銭の窃取を目的に企業や個人をターゲットとした攻撃者だが、それ以外にも、国家が攻撃を主導し、敵対する国家の政府関連組織などから情報を盗んだり、重要インフラを停止させようとしたりすることもある。「ただ最近は、国家が敵対国の企業を攻撃するなど、攻撃者や目的を明確に分類するのが難しくなってきており、それが状況をさらに複雑にしています(図1)」とNECの後藤 淳は言う。
では、どのような企業が攻撃を受け、どのような被害を被っているのか。
警察庁への報告ベースでは、2020年の下期に21件だったランサムウェアの被害件数は、2021年の下期には約4倍の85件に膨れ上がっている。被害企業の規模別の割合では、大企業が34%、中小企業が54%となっており、規模を問わず攻撃の対象になっていることがわかる(※)。
被害内容は、工場の操業を停止した製造業、診療を数カ月にわたって停止した医療機関、攻撃の調査や復旧のために特別損失を計上したコンサルティング会社など、さまざまなケースがあるが、被害額が数億円にのぼったり、長期にわたって事業が停止してしまったりすることも少なくない(図2)。しかも社会や企業のデジタル活用、つまりDXが進み、公共機関や企業のシステム同士が連携することが増えている。このことを背景に、被害が連鎖していく「サプライチェーンリスク」も高まっており、被害規模がさらに大きくなっていくことも考えられる。
IT環境の変化によってリスクも変化。進むクラウドシフトへの対策は
次に有効な対策について考えたい。
対策を考える上で知っておきたいのが国の方針だ。デジタル社会の本格的な到来を控え、自由、公正かつ安全なサイバー空間を確保することは社会の重要な課題。日本政府は、サイバーセキュリティに関する政府方針を「サイバーセキュリティ戦略」としてまとめ、3つの柱の1つに「DXとサイバーセキュリティの同時推進」を掲げて具体的な施策を打ち出している。今後、個人情報保護法が改正されたように、法規制の強化や義務化として企業に課されるものもあるだろう。今後の動きには注意しておきたい。
もちろん、国からの要請を待つだけではなく、企業が自ら継続的にセキュリティ強化を図っていくべきなのはいうまでもない。デジタル活用によって高まるリスクにいかに対応するか──。セキュリティの視点が欠けたDXは、非常に危うく、失敗したり、頓挫したりする可能性が高まる。
しかも現在、企業のIT環境はDXによって大きく変化する転換期にあり、セキュリティ対策も大きな見直しが必要になっている。
「例えば、IT環境の大きな変化の1つにクラウドの利用拡大があります。これまで被害につながったサイバー攻撃の多くはOSやソフトの脆弱性を悪用したものでしたが、最近、ユーザのクラウドサービスの設定ミスに起因するインシデントも増えています。例えば、アクセス権の設定にミスがあり、外部からの侵入を許し、情報が漏えいしてしまうというようなインシデントです。多くの人や企業が利用しているサービスで事故が起こり、管轄省庁や政府機関より注意喚起が呼びかけられるなど、ニュースなどでも報道されていますから、知っている人も多いのではないでしょうか」と後藤は述べる。このことはクラウドサービスの利用状況や設定状況のきめ細かな管理が、セキュリティ要件に新しく加わったことを意味している。
また、クラウドの利用が拡大しているということは、多くのデータが社内ではなく社外に保管されるようになっているということ。しかも働き方改革によって、ユーザもさまざまな場所に分散している。これまでのようにデータが社内にあることを前提とした境界型防御やデータ管理には限界がある。
これらのことを踏まえると、これからのセキュリティ対策は、社内と社外、場所に関係なく、あらゆるデータへのアクセスを常に確認する「ゼロトラスト」の概念をアーキテクチャとして取り入れること、そして、日常の運用においてもIT環境を常に健全な状態に保つ「サイバーハイジーン」の2つが重要な取り組みとなる。これらを確実に実装するためには、システムの企画設計段階から運用まで見据えてセキュリティを考慮する「Security By Design」のアプローチが必要となる。
これらの状況を踏まえて、今後、特に取り組むべきことを、具体的な課題とポイントに落とし込むと次の図3のようになる。
運用を見据えて仕組みを整備すべき。対策の4つのポイント
ポイントの1つ目となる「ID管理」は、ゼロトラストの要となる取り組みでもある。社内システム、クラウドサービスを問わず、あらゆるデータアクセスに認証を義務付け、誰が、いつ、どのデータにアクセスしたかを管理するのである。
しかし、ただ実践しただけでは、複雑な管理によってユーザの利便性が大幅に低下。セキュリティがビジネスの足をひっぱる典型的なケースにおちいり、手間をいやがるユーザの反発を招いたり、抜け穴をつくられたりしてしまう可能性がある。
そのため、カギとなるのはID管理の徹底と効率化の両立。複数のシステムやサービスへのログイン情報の一元管理と、多要素認証の機能を併せ持つアクセスコントロールソリューションをうまく活用したい。
2つ目の「情報管理」は、文字通りデータをいかに管理するかである。
「私たちはデータガバナンスと呼んでいますが、これからはデータに対する意識、管理方法を大きく見直す必要があります。ゼロトラストのID管理などによって重要な情報を保護するのはもちろん、例えば『安全と安心のギャップ』のような問題にも対応しなければなりません。あるサービスを提供している企業が、海外にデータを保管し、その国の従業員に利用者情報へのアクセスを許可していたとします。対策がきちんと行われていれば安全ですし、海外だから危険と判断する根拠はありません。しかし、海外にデータを置く、海外でデータが管理される、そう聞くだけで、不安を感じる人が多ければ、安全であっても安心とはいえません。企業のデータガバナンスは、ルールを守ったり、安全性を高めたりするだけではなく、データを委ねているユーザの心情にまで配慮しなければならず、それだけ複雑な状況に置かれています」(後藤)
ほかにも、米国クラウド法が適用される事業者のクラウドサービスの場合は、利用企業の都合に関係なく、米政府のデータ開示に応じられてしまう可能性がある。サービス選定は、慎重に行う必要がある。さらに転職者が社内に不正なデータを持ち込んでしまうなど、企業は意図せず加害者になってしまう可能性があることも視野に入れてデータガバナンスに取り組まなければならない。
3つ目は「ワークロードの設定管理」である。これは、前述したクラウドサービスの利用状況や設定状況のきめ細かな管理、サイバーハイジーンの取り組みを指す。
利用や設定状況の管理、健全性の維持は、これまでもやってきたと考える人もいるかもしれないが、クラウド化が進む現在のIT環境においては、複雑さも難易度も格段に高くなる。例えば、オンプレミスのシステムのアップデートはIT管理者が主導できるが、クラウドサービスはそうではない。事業者が決めたタイミングでアップデートが行われる。しかも、多くの企業のIT環境はマルチクラウド化しており、管理対象となるサービスは複数にわたるからだ。従って、1つ目のID管理同様、ツールをうまく使って効率化を図らなければ、管理の不備、ひいてはインシデントにつながりかねない。クラウド設定管理ツールを積極的に活用すべきである。
最後の4つ目の「運用管理」は、1~3つ目までのポイントも含めて、システムを導入、構築する際は、設計の段階からセキュリティ運用・監視を見据えるべきということ。利用しているシステムに脆弱性が見つかったことをきちんと把握していても、パッチ適用の運用プロセスがうまく機能していなければ不十分。実際、それが原因でインシデントを招き、重大な被害に発展してしまった事例もある。
現場で磨かれたノウハウを活かし、実践的な支援を提供
NECは、長年、Security By Designの考え方にもとづき、お客様へセキュアな製品、システム、サービスを提供してきたが、現在は「ゼロトラスト アセスメント・導入支援」「グローバル認証基盤」など、テーマや直面している課題ごとにコンサルティングから実装、運用までをトータルにサポートする「オファリングメニュー」を提供している。
最大の特長は、各オファリングメニューは、すべてNEC自身が取り組んできたセキュリティ強化施策、そしてお客様支援の経験から価値を抽出し、パッケージ化していること。現場で磨かれ、確立された方法論やノウハウを活かして、極めて実践的なサポートを実現している(図4)。
もちろん、ここで紹介してきたID管理やワークロードの設定管理などのポイントに対応するオファリングメニューや、それを実行するための実際のソリューションやサービスの提供も行っており、先日は「SaaSセキュリティ設定管理プロフェッショナルサービス」というSaaSの適正な利用をサポートするサービスの提供開始を発表した(図5)。
「DXとセキュリティは同時に取り組むべき課題。システムを導入したり、構築したりする段階からセキュリティ監視・運用を視野に入れるべきとお話しましたが、最近は、NECのDXコンサルティングチームとセキュリティチームが連携して、お客様のDXプロジェクトに参画することも増えています」と後藤は言う。
セキュリティについては、リスクも重要性も理解しているつもりだが、とにかく専門的なスキルを持った人材がいない──。多くの企業が直面している人材の問題についても「サイバーセキュリティ人材育成プログラム」を提供。「システムの内製化が進んでいるお客様にも、DXを進める上で自組織内のセキュリティ実装力を高めるプログラムを用意しています。いずれもNECグループの従業員を対象に実施したものをベースにした実績十分なプログラムです」と後藤は続ける(図6)。
人々の暮らしをより快適なものに変えていくために、ますます進むデジタル化。デジタル化する社会との向き合い方は、企業によってさまざまだが、セキュリティリスクや対策の重要性の高まりは、あらゆる企業に共通する経営課題である。整理したポイントを活用して、ぜひ対策の最適化を進めて欲しい。
NECでは、セキュリティスペシャリストチームによるコンサルティングとシステム構築(SI)を軸に「セキュリティ プロフェッショナルサービス」を提供。
お客さまが安全・安心にDXを進めるために必要なセキュリティ対策を用意し、ビジネス継続を支援します。