大西 克美
日本アイ・ビー・エム株式会社
IBMコンサルティング事業本部
技術理事
「セキュリティーの罠」とは?
基幹システムでは、モダナイゼーション後も既存システム同等のセキュリティー機能の実現が求められます。さらにDXを加速し、インターネットを利用した利便性の向上、並びに外部システムとの連携や外部サービスの活用を実現するためには、より高度なセキュリティー機能の実装が必要となります。
しかしながら、多くの既存システムが社内利用者や社内システム連携を前提としたシステムであり、最新のセキュリティー対策が実施されていないことがほとんどです。加えてセキュリティー機能がプログラム・ロジックに組み込まれており、機能の追加や改修が容易に実施できないことが対応を困難としています。これが、モダナイゼーションにおけるセキュリティーの罠と言えるでしょう。
実際に起こっている問題
セキュリティーの罠に関して、もう少し現場目線で課題や問題に関して整理してみます。例えば、モダナイゼーションの検討を開始する前に、次のような不安を感じることがあると思います。
- 閉鎖的であることを理由に、現行システムに対するサイバーリスクは真剣に考えてこなかった。よって、モダナイゼーションしたシステムに起こるリスクを想像することが難しい
- セキュリティーの知識がないので、何を整理するかよくわからない
- セキュリティー人材が不足している。モダナイゼーション後に、安全に運用できるか不安である
次に、隠れていた罠に気づかず、新しい取り組みを行った結果、実際に起こってしまった悲劇を紹介します。
- APIエコノミーに参加したら、新しい通信路、通信先からサイバー攻撃を受けてしまった
- 働き方改革で推進したリモートワークが原因で、社内システムがマルウェアに感染した
- サイバーリスクを整理せずにDXを推進した。強化ポイントはインフラ、アプリ、運用と多種雑多で予算が足りないことに後から気づいた
最後に、モダナイゼーションを実施するために解決すべき課題をあげてみます。
- セキュリティー対策が重要であることに異論はない。むしろ、問題は対策の優先付けができずに困っている
- 市場でもセキュリティー人材は不足なので、最低限の内製化すべき仕事だけは定義したい
- セキュリティー運用サービスも増えてきたが、どの運用を外部委託するか決めたい、またクラウド・ベンダーとの責任範囲がよく分からない
「セキュリティーの罠」の乗り越え方
セキュリティーの悩みはつきないものの、モダナイゼーションにはそれ以上の恩恵もあるのが事実です。実際、どのような解決策があるかを紹介します。
最新サイバーリスクやトレンドを理解し、ソリューション・技術を選択する
- サイバー攻撃にもトレンドがあり、対応するソリューション・技術も日々更新されています。例えば、以前は「防御」に力点を置いたソリューションが多く、近年では「検知」が主流となっています。
- セキュリティー運用は今後の成長分野であり、AI、機械学習を利用したSOC(Security Operation Center)業務の効率化、SOAR(Security Orchestration, Automation and Response)といった技術、ソリューションが注目エリアになります。
以前はクラウド移行に関してセキュリティーは最大の懸念でした。しかしながら、近年のクラウド・セキュリティー・ソリューションは非常に多彩で、機能としても十分とも言えます。インフラ・セキュリティーに限らず、認証基盤、暗号などのデータ保護およびバックアップ・サービス、SIEM(Security Information and Event Management)などのログ管理サービスのようにセキュリティー対策で標準的な機能が充実しています。クラウド・サービスの多くがISMAP (Information system Security Management and Assessment Program)(IBM外のWebサイトへ)認証を取得していることは、その証明ともいえます。
Security by Design(SbD)を実践する
- 近年のセキュリティー対策は法律対応、業界ガイドライン遵守だけではなく、リスク分析をベースにしたボトムアップ的に要件を整理するのが有効です。
- リスク分析、評価を行う手法としてSecurity by Design(IBM外のWebサイトへ)が近年注目されています。デジタル庁、内閣サイバーセキュリティセンター(NISC)からもガイドが出ており、Threat Modelingの実践を推奨しています。
- SbDを実行することで、リスクによる影響度、重要度が明確になります。その結果をもとに、セキュリティー対策の優先付けを行うことが有効です。
ゼロトラスト・セキュリティー・アーキテクチャーを考える(図表参照)
モダナイゼーション、働き方改革やクラウド活用の促進により、保有する情報資産の配置場所や、アクセスするデバイスの場所は多様化しています。この変化により、従来の境界型対策モデルでは対応が厳しくなっており「ゼロトラスト・セキュリティー・アーキテクチャー」が脚光を浴びています。
ゼロトラストを含む、時代の変化に応じたセキュリティー実装を進めるには、(1)認証の強化、(2)信用する範囲の最小化、(3)脅威に応じた動的対処、および(4)セキュリティー運用、脆弱性マネジメントでの外部情報の積極活用が鍵となります。
図:ゼロトラスト・セキュリティー・アーキテクチャー
育成すべきセキュリティー人材とは
企業が優先的に育成するセキュリティー人材は次の通りです。
- CISO
CIOと連携しシステムの安全性に責任を持ち、社内のセキュリティー規定の整備、人材育成、アウェアネスを高める活動を行います。 - リード・セキュリティー・アーキテクト
システムを鳥瞰的に考え、End to Endでリスクの軽減策を考える役割を担います。またインフラやアプリケーション担当の各アーキテクトと連携し、SbDを実行し、投資効果を考えながら、必要な個所に効果的なソリューションを配置する役割を担います。 - セキュリティー・アーキテクト
開発V字モデルを参考に、調達・委託時にセキュリティー要件を提示し、受領時には要件が充足していること、脆弱性が残っていないことを監督、指示する役割です。 - SIRT(セキュリティー事故対応チーム)
事故対応マニュアルを整備し、セキュリティー運用者と協業します。事故発生時は「火消し」リーダーとして、CISOと連携し社内の統制を行います。また平時には、脆弱性情報の収集や社内啓発活動を担当します。
外部サービスを積極的に採用する
「餅は餅屋です」。セキュリティー運用にはアウトソース・外部委託も積極的に検討することをお勧めします。人材不足をお金で解決することに抵抗があるかもしれませんが、内製での育成の難しさを考えると、外部委託は現実解であるとも言えます。次の業務が比較的外注しやすいと思います。
- SOC運用
非常に高度な専門性が要求される反面、インシデント発生頻度が低く稼働率が高くないのが実情だと思います。近年はオンプレミスのSIEMサーバーを遠隔から監視するサービスも登場していますので、検討してみてください。 - セキュリティー・テスター
Code Scan作業はツールで検証できますが、脆弱性検査には相応の専門性が要求されます。セキュリティーの中でもかなり専門性の高い分野だと言えます。 - セキュリティー・アーキテクト補佐
SbDの知見がない、セキュリティー有識者がいない場合には、外部コンサル/アーキテクトに土台を作ってもらうことが効果的であると思います。 - ITセキュリティー運用の課題はクラウド・サービスを利用することで軽減できる場合があります。クラウド・ベンダーが定義している責任共有モデルを理解し、自社で最低限行うべきセキュリティー対策を定義することが有効です。
まとめ
モダナイゼーションを考えるときに、サイバーリスクを意識しながら、適切な対策を講じることが必要です。間違いなくセキュリティーの知見は蓄積されており、社会的問題になっている今だからこそ、豊富なソリューション、サービスも登場しています。モダナイゼーションしたら「セキュリティーが心配」と考えすぎず、ITベンダー、コンサルティング会社に相談していただければ、相応の解決策がきっと見つかるはずです。
本ブログでは、モダナイゼーションを進めるうえで陥りがちな10の罠について、IBMの経験に基づき、傾向と乗り越え方をシリーズでお伝えしております。今後の解説もぜひご覧ください。
次の記事『モダナイゼーション10の罠|8.文字コード・属性の罠』を読む
