デジタルビジネスのセキュリティ対策は「コスト」ではなく「投資」
経営者が実践すべきサイバーセキュリティの基礎

企業の情報資産を狙ったサイバー攻撃は年々、高度化／巧妙化しており、なかには純利益の半分以上を失う企業が出るなど重大な事件も発生している。経営者が適切なセキュリティ投資を行わず企業や社会に損害を与えてしまった場合、リスク対応の是非、さらには経営責任や法的責任まで問われる可能性もある。その一方で、クラウドがIT環境として広く普及した現在、経営者にはIoTやAI、ビッグデータなどを活用したイノベーションを推進し、企業価値や国際競争力を持ったビジネスを構築していくことが求められている。そうした中、これらのテクノロジーをうまく活用しながら安全かつ安心して使い続けていくために、企業の「情報セキュリティ」はどうあるべきなのか──経営者が率先して取り組むデジタルビジネスにおけるサイバーセキュリティの基礎について、企業のIT戦略アドバイザーを務めるITRのシニア・アナリスト 大杉豊氏に聞いた。

経営者の視線がAIやIoTといったイノベーションに向かう一方、セキュリティへの対応が後手に回りがちで、その影響が一層懸念される

デジタル時代のセキュリティ対策はイノベーション投資の一部

──企業がパブリッククラウドを使うことが当たり前となった今日、企業のデータ資産はネットワークの境界を超えてクラウド上にも置かれるようになりました。ただし、この状況に対して、セキュリティ面で十分な施策をとれていない企業が少なくないようです。実際に各国で大規模な情報漏洩など深刻なインシデントが生じていますが、なぜこのようなことが起きているのでしょうか？

大杉氏（以下、敬称略）　その背景には、大きく2つの変化があると考えています。1つは「ビジネス環境の変化」、もう1つは「セキュリティ脅威の変化」です。

　ビジネス環境の変化とは、昨今のデジタライゼーションの波の中で、ビジネスの変化が以前にも増して早まっていることです。それに追随していくために、特にクラウドの世界では事業部門などビジネス主導でITの活用が進んでいます。 　また、従来のオンプレミスの世界では、システムの構築を始めてから運用開始までに一定の期間があり、その間にセキュリティ対策を検討すればよいと考える企業が多かったと思います。これに対して、クラウドでは短期間でサービスが立ち上がりますが、セキュリティ対策の検討がこのスピードに追いついていないという事情もあるでしょう。

　さらに、最近はアジャイルの考え方を取り入れ、試行しながらサービスを作っていくアプローチが1つのトレンドとなっています。サービスの開発に注力するあまり、セキュリティ対策が後回しになっているといったケースもあるでしょう。

──セキュリティ脅威の変化としては、現在、何が起きているのでしょうか？

大杉　企業がこれまで行ってきたセキュリティ対策は、ユーザーが使うデバイスなどからの情報漏洩の防止を主とする“点のセキュリティ”あるいは“サイロ型セキュリティ”とも呼ぶべきものでした、しかし、現在はサイバー空間上の至るところに脅威が存在しており、これに点のセキュリティだけで対処するのは不可能です。

　また、サイバー空間で起きる攻撃や脆弱性は刻々と変化しており、エンジニアがこれまで蓄積してきた予防策が通用しなくなっているという側面もあるでしょう。そうした状況の中でビジネス主導によるクラウド活用が速いペースが進んでいくことで、セキュリティ対策がさらに後手に回ってしまうわけです。

──今日、多くの企業がクラウドも活用したIoTやAI、ビッグデータなど先進技術の応用に力を入れていますが、これはまさに「ビジネス環境の変化」と「セキュリティ脅威の変化」が重なる領域だと言えます。

大杉　これらの領域では、ビジネスの拡大、そして企業価値の向上を目指す経営者の号令の下に先進技術への取り組みが活発に進み、それによってどのようなイノベーションを起こすか、そのためにITをどう使うかに多くの関心が向けられています。セキュリティへの対応が後手に回りがちであり、その影響が一層懸念されます。

　そうした意味では、まず経営者がイノベーションへのチャレンジ／投資の一部としてセキュリティを捉え、その対策とセットでクラウドやIoT、AI、ビッグデータなどのテクノロジーを利用するよう指示しなければいけません。セキュリティ対策がおろそかなままでクラウドを使えば、企業価値を高めるどころか、むしろ情報漏洩などによって企業価値を大きく毀損する恐れのあることが、すでに国内外の数々のインシデントによって証明されているわけですから。

企業が守るべきものは「データ」。それを中心にしたセキュリティ対策を

──それでは、企業がクラウドやIoT、AI、ビッグデータなどのテクノロジーを活用しながら新たな価値を創造して企業価値を高めていく際、セキュリティ面で留意すべきポイントを教えてください。

大杉　最近はIoT技術の活用に伴い、システムの企画段階からセキュリティ対策を組み入れる「セキュリティ・バイ・デザイン」の重要性が叫ばれていますが、これはIoTに限定されるものではありません。特にクラウドを使う場合は、新規サービス／ビジネスの企画段階、モノ作り／コト作りの段階からセキュリティ・バイ・デザインなどのアプローチを取り入れ、事業部門が主導する場合でも、そこに情報システム部門も関与しながら進めていくことが肝要です。こういった考え方は、EU GDPR（一般データ保護規則）においても定義されており、情報保護対策としても重要になってきます。

　セキュリティ施策そのものも、従来のアプローチを見直す必要があるでしょう。これまでは個々のデバイスのレベル、あるいはネットワークの境界防御を中心としたセキュリティ対策に重点を置いてきた企業が多いと思います。しかし、現在はさまざまな手段でネットワーク内部に侵入され、攻撃を受けるケースが増えています。

　特にパブリッククラウドの場合、システムそのものを企業ネットワークの外部で動かすわけですから注意が必要です。ファイアウォールの外側にシステムがあるということを踏まえて、守るべきものは何かを明確にしたうえで対策を打つことが必要でしょう。攻撃者が狙っているもの、また漏洩した際に大きな損害を受けるものは何かと言えば、企業各社が持つ機密情報などの「データ」です。

ITRシニア・アナリスト、大杉豊氏。アジャイル開発がトレンドとなり、サービスの開発に注力するあまり、セキュリティ対策が後回しになっているといったケースもあると指摘する。（日本オラクル　撮影）

　今、多くの企業はAIなど先進テクノロジーの活用に競争力の向上を期待していますが、デジタライゼーションがさらに進めば、いずれこれらのテクノロジーはコモディティ化します。そのとき、自社が持つデータこそが企業価値と競争力の源泉だと再び気付くでしょう。それをいかにして守り、活用しやすい仕組みを整えるかが重要であり、とりわけクラウドの活用においてはデータをいかにして守るかを念頭にセキュリティ対策をとることが肝となります。

　組織的な対応も必要でしょう。近年はセキュリティ施策の一環として、情報システム部門を中心にしたCSIRT（Computer Security Incident Response Team）を設置する動きがありますが、これと同様のアプローチで製品／サービスに関するセキュリティインシデントに対応する「PSIRT（Product Security Incident Response Team）」の設置が必要だという声が海外で挙がり始めました。そうした組織を作り、セキュリティ施策の検討や対策の実施、インシデント対応やダメージ・コントロールを行っていくわけです。

　こうした対策のための仕組みを、企業が全て独力で構築するのは大変でしょう。日本企業はセキュリティ専門家を置いていないところも多いですから。幸い、クラウドの世界ではセキュリティ強化のためのさまざまなサービスが登場しつつあるので、それらを積極的に利用するのが現実的だと思います。

欧米では基幹系システムをパブリッククラウドで運用する企業も。セキュリティ対策が一層重要に

──ご指摘のポイントも踏まえ、クラウドの活用に伴ってセキュリティ施策を検討する際のアドバイスをいただけますか。

大杉　まず、クラウドに限らず、オンプレミスにおいても、今後はデータをいかにして守るかという観点でセキュリティ施策を検討／実施することです。これに関しては、データを中心にした情報セキュリティのアプローチをいち早く確立し、ノウハウの蓄積やソリューションの提供に努めてきたという点で、オラクルならではの強みがあると言えるかもしれません。

　また、特にクラウドを考慮した施策としては、先ほどお話しした組織的な対応のほかに、データやアプリケーションが置かれる環境やライフサイクルも踏まえた施策を取ることが不可欠となります。

　例えば、最近はパブリッククラウドを開発／検証用途で利用し、完成したアプリケーションをそのままクラウド上に配備して運用するケースが増えています。これを実践している企業で起きているセキュリティインシデントで気になるのが、開発／検証作業をスムーズに行う目的でサービスやソフトウェアのセキュリティ設定を緩くし、そのことを忘れて設定を直さないまま本番環境で運用してしまっているケースです。

　また、アプリケーションで利用しているオープンソース・ソフトウェアなどについても、これまで以上に脆弱性情報に注意する必要があります。ファイアウォールに守られたオンプレミス環境とは異なり、クラウド上では脆弱性が既知となった瞬間に攻撃を受ける可能性がありますから。

　欧米では、いよいよ基幹系システムをパブリッククラウド上で大規模に運用する企業も出てきました。この動きは日本企業にも波及し、もしかしたら今年が「基幹系クラウド元年」とでも呼べるような年になるかもしれません。そうなれば、データ／アプリケーションのライフサイクルと、それらが置かれた環境を考慮したセキュリティ施策はより一層重要になるでしょう。

ビジネスのスピードを損なわずにクラウド利用の安全性を高める施策を

──クラウドセキュリティの具体的な施策としては、どこから手を付けるべきでしょうか？

大杉　力の入れどころはクラウドの使い方によって異なると思いますが、さまざまなクラウドサービスを連携させて利用する際に多くの企業で必要となるのはアイデンティティ管理です。クラウド間のみならず、オンプレミスと組み合わせて使う場合でも、まずこれに関してしっかりとした基盤を整えることが必要です。

　また、ビジネスのスピードを追求していくために、事業部門が主導して個々のクラウドサービスを活用していく動きは今後も変わらないでしょう。この動きを阻害することなくセキュリティを担保するための手段として、複数のクラウドサービスをまたいだマルチクラウド環境の利用状況の可視化とセキュリティ管理を実現する「CASB（Cloud Application Security Broker）」に対応したソリューションを活用することも必要になるでしょう。

──オラクルも、先頃マルチクラウドとオンプレミス環境をまたがりセキュリティを管理／強化するためのクラウドサービスを発表しました。このサービス群では「Oracle Identity Security Operation Center」のフレームワークに基づいて実装されており、大杉さんが指摘されたクラウドとオンプレミスをまたいだアイデンティティ／アクセス管理やCASBによるクラウド間の利用状況の可視化／セキュリティ管理を可能にする機能のほかに、企業がクラウド／オンプレミス環境で蓄積するさまざまなログ・データを自動収集し、機械学習も用いた相関分析によってセキュリティ上の脅威を検知／可視化する機能や、セキュリティインシデントへの対応を自動化する機能など包括的に提供します。

©Oracle

大杉　クラウドセキュリティのための総合的なソリューションの提供は、オラクルが企業のクラウド活用の支援に本腰を入れていることの証でもあり、高く評価します。近年は事業部門主導によるIT活用の弊害が“シャドーIT”として懸念されていますが、そうした活動の利点を損なわずにセキュリティを担保するうえでも、マルチクラウド環境に加えて、オンプレミスも含めたセキュリティを一元的に監視／管理できるソリューションの登場は歓迎すべきことですね。

──こうして必要な道具立てが整いつつある中、事業部門や情報システム部門が安全なクラウド活用の実践に向けて動き出すために必要なことは、経営者の理解と決断だということでしょうか。

大杉　そのとおりです。繰り返しになりますが、デジタル化社会も通じて企業価値を高め、事業を拡大していくためには、デジタル化されたさまざまな情報を安全に扱える仕組みを整備することが不可欠です。これまで、セキュリティへの投資は、ややもすると軽視されがちでした。しかし、これをおろそかにすることで受ける金銭的あるいは社会的な損失というデメリットと、十分な施策を実施することによる信頼性やビジネス・スピードの向上といったメリットを鑑みれば、軽視できるものではありません。これは経営者の皆さんに十分に理解していただきたいことですし、事業部門や情報システム部門の皆さんから経営者に強く訴え続けていただきたいことでもあります。

参考リンク：

• 　98%は誤判定!? マネーロンダリングの未然防止に寄与するAI、ブロックチェーン