2018年10月26日掲載 ITトレンド全般 InfoCom T&S World Trend Report

デジタル化への対応が求められるエンタープライズ・セキュリティ



セキュリティを巡る状況

「デジタル化」が叫ばれて久しい。一時「デジタル・トランスフォーメーション」が流行となったが、最近では、「トランスフォーメーション」(変態)を済ませた企業も多くなったからか、単なる「デジタル化」と言われることも多くなった。デジタル化により、クラウドを始めとして、新たなITを組み合わせた競争力強化が図られる一方、それに対応したセキュリティ対策も求められるようになってくる。本稿では、デジタル化によって変わりつつある企業のセキュリティ対策のあり方について、クラウド利用と、法令順守・説明責任の観点から検討したい。

セキュリティに関する現状

セキュリティに関する問題は後を絶たない。2017年だけでも、大きな問題がいくつも明らかになっている。「WannaCry」や「NotPetya」などのランサムウェアやマルウェアによる大規模攻撃があり、被害も拡大した。病院や電力会社、国際空港などでも被害が発生し、2018年4月にサンフランシスコで開催された大規模セキュリティカンファレンスである「RSA Conference 2018」では、Microsoftのプレジデント兼最高法務責任者であるBrad Smith氏が、「社会システムのスイッチが切られる」ものだと発言するなど、強い警告がなされた(写真1)。

Brad Smith氏のプレゼンテーション

【写真1】「RSA Conference 2018」におけるBrad Smith氏のプレゼンテーション
(出典:筆者撮影)

また、大規模なデータ漏洩・流出も深刻化しており、件数、内容ともに悪化している。Cambridge AnalyticaによりFacebookの情報が流出した事件では、得られた情報が米国大統領選挙のキャンペーンに用いられたことが特に問題となった。いわゆる技術的な攻撃の問題だけではなく、データの使われ方にも注目が集まることとなった(表1)。

セキュリティ事件の例

【表1】セキュリティ事件の例
(出典:筆者作成)

企業にとってのセキュリティ

企業経営にとっての最重要課題

【表2】企業経営にとっての最重要課題
(出典:Gartner 2018 CIO Agenda)

企業としても、セキュリティが最重要課題の一つであると認識している。CIOに対してGartnerが行った調査でも、もっとも大きな新規・追加投資を行う技術分野としてセキュリティが挙げられている。(表2)

企業にとってセキュリティが維持されている状態とは、事業が安全に継続できることである。そして、そのためには、リスクの把握と、平時はもとより、事故発生時の的確なオペレーションが必要となる。

また、企業の責任はそれだけではない。情報管理に関する法規制への対応や、国際基準、業界に特化した規制への対応が求められる。これには、企業のコンプライアンス(法令順守)として求められるもの、入札資格など、契約条件として求められるもの、投資家、顧客などのステークホルダーに対する説明責任として求められるものなど、さまざまである。とにかく、企業としては、自己流のやり方で自社のシステムや顧客のデータを守っていて、インシデントが起こっていないだけでは不足であり、それをログなどの客観的なデータにより立証し、説明することまでが求められる。

セキュリティ要件の変化

では、デジタル化によってセキュリティ要件はどのように変化したのだろうか。まとめるならば、「24時間いつでも、世界中どこでも、多種多様な端末やクラウド等にある大量の情報をセキュアに管理すること」と言えるだろう。デジタル化が進展すると、(非構造化)データとその流通量の増加、端末数の増加に伴い、守るべきデータの量も、種類も、そのデータが置かれ、流通する場も増えることになる。

加えて、アジリティとスケーラビリティも忘れてはならない。ビジネスが拡大した時には、セキュリティも同時に提供される必要がある。事業を迅速かつ安全に継続するには、新たな端末がつながってから、もしくはつなぎたいと相談されてから延々検討することはできない。また、データ量が増大したために監視が追い付かなくなる事態も避ける必要がある。例えば、チャットツール上でファイル共有する場合に、ファイルが問題ないかをチェックするとして、作成者がファイルの共有操作を行ってから、相手が受け取るのに何分もかかるようになったとしたら、業務にとってはマイナスである。どこまでが許容されるかは個別に異なるだろうが、とにかく、端末数やデータ量、流通量が増えたからといって、セキュリティプロセスのために業務を大幅に遅延させることは許されないだろう。

デジタル化におけるセキュリティ課題

デジタル化の動きの中でも代表的と言えるのはクラウドの活用であろう。

デジタル化が進めば、マルチクラウド・マルチデバイスが前提となる。IoTを含むさまざまな端末と、複数のクラウドが業務に応じて接続され、無数の通信が発生することになる(図1)。

無数の通信が発生している状況

【図1】無数の通信が発生している状況(出典:筆者作成)

このような状況になると、さまざまな課題が生じる。まず問題になるのは、「境界をどこに置くか」である。セキュリティを担保するためには、許可されたユーザーだけがリソースにアクセスできる必要があることから、どこかにアクセス許可/不許可の境界を置く必要がある。しかし、マルチクラウド・マルチデバイスの環境では、従来のオンプレミス時代のように、「オンプレミスとインターネットの境界にファイアウォールを置く」モデルでは対応できなくなってくる。

これまでの企業の基本的な考え方としては、「自社ネットワークと外のネットワークとの間に高い壁(ファイアウォール)を築き、外部の攻撃から内部を守る」のが主流であった。当然社内ネットワークはプライベートとして構築され、リモートで社外から仕事をする場合であっても、VPNで社内ネットワークに接続する、社外のクラウドを使う場合でも、専用接続サービスによりインターネットを経由せず接続するといった形で、インターネットを経由せずプライベートなネットワークを使うことがセキュリティを高めるものとして推奨されてきた。しかし、デジタル化においては、さまざまな場所にある多くの端末と複数のクラウドの接続が発生する。リモートワークの場合など、場所や接続するネットワークがいつも同じとは限らない場合も多い。ファイアウォールで中と外を分けるモデルがなくなる訳ではないとしても、それだけでこのような状況に対応するのは困難である。

また、このほかにも、つながるシステムや処理業務が増えることによる複雑化、高度化する攻撃に対処するノウハウや人材の確保、増やす訳にはいかない予算、自社の管理下にないクラウド事業者のシステムのセキュリティ管理、IT管理部門が認識していないITサービスを勝手に利用されてしまうシャドーITの発生といった課題も存在する。

課題への対策

このような課題に対してさまざまなサービスが出てきている。

代表的なものの一つとして、CASB (Cloud Access Security Broker)が挙げられる。セキュリティもクラウド側で提供することにより、より幅広く高度なサービスを実現するもので、具体的には、クラウド上で、ユーザーの利用状況やデータの運用状況について監視・管理するものである。シャドーITの利用を検知してストップさせたり、企業利用のクラウドに置くべきではないデータを検知してストップさせたり、その他ルールに基づかない行為を把握し、見える化し、補正するといった機能がある。これにより、可視化、脅威防御、データセキュリティ、そしてコンプライアンスが実現すると言われている。CASBという言葉は、Gartnerが2012年に提唱したものだが、クラウドの普及に伴って最近注目を集めており、McAfee(2018年1月にCASBの提供企業であるSkyhigh Networksを買収)、Symantec、そして新興系のNetskopeほか、多くの企業がサービスを提供している。CASBに関し、Gartnerは、現在導入している大企業は10%に満たないが、2020年には大企業の60%がCASBを採用するとの予測を発表している(出典:”Magic Quadrant for Cloud Access Security Brokers” Gartner, 2017/11/30)。

このほか、IDによる管理など、包括的なセキュリティ管理サービスも出てきている。例えば、Googleでは、「Beyondcorp」という取り組みを行っている。これは、CASB、IDaaS (Identity as a Service:クラウドベースのID管理サービス) とContext Aware Accessを組み合わせたもので、ユーザーの識別情報、位置、リクエストの状況に基づくアクセス管理が含まれている。「RSA Conference 2018」では、「Google Cloud」のセキュリティ&プライバシープロダクトマネジメント担当ディレクターのJennifer Lin氏が、「Beyondcorp」においては、例えば、どこからアクセスしているか(本人がいるはずのない場所ではないか)、時間はどうか(その人が働くべき時間か)、そして、どのような内容のアクセスかといった要素から判断がなされ、アクセスコントロールが行われることを説明した(図2)。

GoogleのBeyondcorpに関する説明

【図2】GoogleのBeyondcorpに関する説明
(出典:RSA Conference 2018 (16 April –20 April 2018 | San Francisco, CA)
Google on BeyondCorp:Empowering employees with security for the cloud era
Jennifer Lin, Director, Product Management, Security & Privacy, Google Cloud)

このような機能が実現すると、従来のように、プライベートネットワークの中にいれば社員とみなす、正しいパスワードを入力していれば本人とみなすといった「大雑把な」管理だけでなく、より精緻なアクセスコントロールが可能になる。他人のなりすましを防ぐのはもちろんのこと、本人がアクセス権限を持つデータにアクセスしている場合でさえも、処理の内容など、別の判断基準によりそれが「正しい」かを判定することも可能である。例えば、「働き方改革」で時間外の業務を抑制しているにもかかわらず深夜に作業しようとしている場合に、それを規制することができる。アイデアとしては、泥酔して操作している場合などに、ミスを起こす可能性のある行為をやめさせるといったことも可能だろう(これと直接の関係はないが、Uberは、アプリの操作から、ユーザーが酔っているかどうかを判別する技術を開発している)。

また、Microsoftでも、IDaaSである「Azure Active Directory」など、すべてのものにIDを付与し、すべてを例外なく記録し、脅威から保護しつつ、ダッシュボードによるリアルタイム状況監視を包括的に可能にするセキュリティソリューションを提供している。同社は、端末(Surface)、OS(Windows)、アプリ(Office)から、クラウドサービス(Microsoft Azure)までといった幅広いカバレッジを活かし、これらの各ポイントでのセキュリティソリューションの提供が可能である。Microsoftの取り組みで特徴的と思われたのは、「CSA Japan Summit 2018」での同社のプレゼンテーションにおいて、従来のセキュリティ管理から脱却すべきとして、企業ファイアウォールをなくすべきとの主張が行われていたことである。そんなものに甘えるから社員のセキュリティ意識が低下する、との考え方だそうである。これは、ファイアウォールの内外という区分をしない意味で、「Beyondcorp」と共通するとみることもできるが、企業として、実際にファイアウォールを撤去するとすれば、抵抗があるだろう。これはむしろ、オフィスにこだわらずどこででも働ける「ワークスタイル変革」を推進するMicrosoftならではのことなのかも知れない(図3)。

Microsoftのクラウドセキュリティに関するダッシュボード

【図3】Microsoftのクラウドセキュリティに関するダッシュボード
(出典:https://docs.microsoft.com/en-us/cloud-app-security/working-with-cloud-discovery-data
2018年9月13日閲覧)

法令順守と説明責任への対応

企業にとっての課題は技術的にセキュリティを維持することだけではない。前述のように、自社のセキュリティを、客観的なデータにより立証し、説明することまでが求められる。

2017年5月25日に、EUにおいて、GDPR(General Data Protection Regulation)が施行された。これは、個人データの処理および保管に当たり適切な安全管理措置を講じることに加え、データ主体に対し、保有するデータに関する情報を適切に通知することなどを求めるものである。EU内で活動する企業だけではなく、EUに関連して事業を行っている企業も対象になることから、グローバルで事業を営む企業にとっても避けて通れない課題となっている。

GDPRは制裁金の高さ(最大で、企業の全世界売上高(年間)の4%もしくは2,000万ユーロのうち、いずれか高い方)から注目されることも多いが、GDPRの本来の要請は、データの扱い方を、よりデータ主体に配慮したものとすることである。そして、情報漏洩時には72時間以内に監督機関への報告が求められることも含め、企業にとって重要なのは、データを公正かつ安全に扱うだけではなく、データがどのように扱われているかの説明責任が常に求められることだと考えられる。

GDPRだけでなく、ほかにも、例えば、EUでの「ネットワークと情報システムのセキュリティに関する指令(NIS指令)」に関連する各国法(2018年5月9日が各国の法制化期限であった)や、米国証券取引委員会(SEC)が2018年2月に発表したサイバーセキュリティに関するガイダンスにおいても、インシデントがあった場合には速やかに報告する義務が課されている。企業としては、データがどのようになっているのかを常に把握する責任が一層増していると言えるだろう。

このことは、セキュリティ管理のあり方にも影響を及ぼしている。旧来のセキュリティ監査は、セキュリティが保たれていることを監査時にスナップショットで確認するものだったが、現在では、常に、いまどのような問題があるか(ないか)をリアルタイムで確認できることが求められる。言い換えれば、システム導入時や、1年に1度などの定期監査の形式的なチェックでは不足ということでもある。このためには、セキュリティ監査自体も、自動化、システム化されている必要がある。

クラウド化も監査のあり方に影響を及ぼしている。ほとんどのクラウド事業者は、ユーザー企業による施設やシステムの現地査察を認めていない。そもそもデータセンターやデータの所在地を明らかにしていない場合や、データがシステム的に分散している場合もありうるが、仮に所在地が明らかでデータが一つの場所に置かれているとしても、ユーザーがデータセンターに立ち入って監査を行うことは困難である(ただし、重要顧客などに対する例外的な対応はありうるようだが)。クラウド事業者は、そのような外部者の立ち入りを認めないことこそがセキュリティ確保にとって重要とのスタンスをとっている。クラウド事業者にとっては、外部者の立ち入りを認めないことで、入館者対応コストを節約し効率化ができるメリットもある(例えば、データセンター内のラックにドアをつける必要がなくなり、空調効率も向上するなど)。ただし、ユーザーに監査不能とみなされると、ユーザー側のデータ管理義務やセキュリティポリシーに反し、クラウドが利用されなくなってしまうので、代わりに自ら外部機関の認証を取得・提示したり、各国の法規制に対応していることを表明したりしている。また、さまざまなセキュリティ機能や、リアルタイムで状況が把握できるダッシュボードの提供などにより、ユーザー企業が自社で対応するよりも高いセキュリティに加え、上述のようなリアルタイムでの監査機能が確保できるとのアピールを行っている。

今後の予測

これまで、クラウド導入の障壁の一つとされてきたのがセキュリティの問題であった。特に、他社とサーバーなどのリソースが共有され、インターネットからもアクセスが可能であることは、企業がクラウドの導入を躊躇する大きな課題であった。そして、通信事業者やSI事業者、一部のベンダーなどは、その不安への対処として、たとえユーザーがパブリッククラウドを利用する場合であっても、プライベート接続による安全の確保をうたい、ハイブリッドクラウドソリューションを勧めるなどして、「クラウド事業者+インターネット」にすべてが移行してしまうことにより自分たちの役割が減ることを防いできたとも言える。しかし、CASBやIDaaSなど、クラウド側でセキュリティまで提供してしまう動きは、そういった取り組みを無効化するものとみることもできるのではないだろうか。データや業務はインターネット上にあるのが前提であり、ファイアウォールすらない、つまり、社内ネットワークとオンプレミスのシステムもないとなれば、企業のIT投資のあり方は大きく変わるだろう。まさに「クラウドファースト」の完成形(クラウドオンリー)とも言える。実際には、社内ネットワークやオンプレミスのシステム、ファイアウォールに守られたシステムがなくなることはないだろうが、セキュリティを理由にクラウドが拒絶されることはますます少なくなっていくだろう。もちろん、だからといってセキュリティレベルの低下を甘受することはありえず、むしろそれを超える機能が求められる。

一方、企業は、常に自らのデータのセキュリティについて把握し、説明可能とすることがますます求められるようになってきている。システムが高度化、複雑化する中での新たな課題であり、ITサービスの提供側にとっては新たな機会でもある。各サービス事業者は、その立場を問わず、外部機関の認証等により自らの信頼性をアピールするだけでは不足であり、ユーザ企業の法令順守、説明責任に関する課題解決を積極的に支援する必要があるだろう。

企業のITシステムにおけるセキュリティは、プライベートネットワークに壁を築いてインターネットから隔絶するだけでなく、ログインアカウントやデータ、業務処理の場所にかかわらず、操作者や行為そのものに関する監視を行い、その状況をリアルタイムに把握するものに変貌しつつある。今後は、いわゆる「サイバー攻撃」だけでなく、AIの判断に基づく処理やボットの応答内容など、人以外による操作をチェックの対象とする必要も出てくるだろう。Cambridge Analyticaのケースのような、データの利用意図なども対象となりうる。デジタル化に対応し、新たな要求を取り込みながらセキュリティの維持、向上を図ることは、企業にとって引き続き最重要課題の一つであり、ITサービス企業にとっては、これを効率的に行うソリューションを提供することが、企業に対するサービス提供の鍵の一つとなると思われる。

※この記事は会員サービス「InfoCom T&S」より一部無料で公開しているものです。

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS