DXの加速は生産性向上など企業活動に多くのメリットをもたらした半面、それに伴い、サイバーセキュリティリスクが増大してきたのも事実です。巧妙なサイバー攻撃を前に、今、企業がとるべきセキュリティ対策とは-。
連載2回目にあたる本稿では、KPMGコンサルティング株式会社(以下、KPMG)のシニアマネジャー 畠山 誠とSailPointテクノロジーズジャパン合同会社(以下、SailPoint社)シニアセールスエンジニア 佐藤 公理氏の対談を通じて解説します。

Q:企業のセキュリティ対策の課題は、コロナ禍でどのように変化しましたか。

畠山:リモートワークの拡大で、「社内ネットワークのなかに存在するITインフラへのサイバー攻撃を防ぐ」という従来の境界防御の考えから、エンドポイントやクラウドサービスが攻撃面になる可能性を考慮し「すべてのアクセスを信頼せず、常に検証する」というゼロトラストを前提としたセキュリティの考え方にシフトしました。これに伴い、一つひとつのログを取得し、何らかの不正の兆候をすぐに検知し対処できるようにする、といった対策に重きが置かれるようになりました。

ただ、多くの企業はまだ具体的な対策に着手できてはいません。急ごしらえでリモートワークの環境を構築したために、問題を問題として認識できていない面もあり、ゼロトラストに向けてどういう対策が必要か、どの順番で対応するか、ロードマップを策定している段階にあると思われます。

対談写真_畠山

KPMG 畠山

対談写真_佐藤氏

SailPoint社 佐藤氏

佐藤氏:そうした変化のなかで「ID(アイデンティティ)」に注目が集まっています。ゼロトラストを実践するにあたり、(1)各IDに対し、業務上、最低限必要とされるデータやアプリケーションへのアクセス権限のみを与える「最小権限の原則」を徹底しそれを管理し続けること(2)各IDの正しい状態を事前に規定し、チェック体制を整備すること、が重要だからです。

一方、社内のIDの現状を認識する際には「社内のID管理が適切か」ということにも目を向ける必要があるでしょう。ツールを活用すれば簡単に現状を可視化できるので、それを起点に、IDで統制を効かせる「IGA(アイデンティティガバナンス)」を実践することになると思います。

ツールの導入よりアクセス権限の検証を 

Q:ゼロトラストの取組みはどの程度進んでいるのでしょうか。

畠山:企業担当者の多くは、「ID管理は重要で、そこからゼロトラストへと進化したい」と考えていますが、IDの可視化よりも、シングルサインオン(SSO)や多要素認証(MFA)といったツールの導入ありきで議論を進めようとする企業が少なくありません。確かに、そういったツールの導入がセキュリティ対策になる面はあるのですが、十分な対策とは言えないでしょう。

佐藤氏:企業担当者の立場からするとSSOやMFAを導入すると変化がわかりやすいので、ツールから始めたくなることは理解できます。これらのツールによって、たとえば「佐藤は佐藤である」と確認することは、確かに重要です。ただ、実際にゼロトラストを実践するならば、ログイン後、IaaSやストレージ、SaaSのアプリケーション、オンプレミスのシステム側で管理しているアクセス権限を検証することのほうがはるかに重要です。「佐藤はSE職であり、このシステムでこういった権限を持つ」という情報があり、それを検証することのほうが重要だということです。

畠山:ツール導入に向かう理由は、“わかりやすさ”だけではないようです。企業内において、基盤はITインフラ部門が担当し、アクセス権限が紐付いている各業務アプリケーションは事業部門が担当していることが多く、ITインフラ担当は「あくまでITインフラ整備プロジェクトの一環」であることを経営層に説いてからプロジェクトを進めざるを得ない、という事情があると聞きます。

とは言え、ゼロトラストを実践するには、セキュリティ対策はもちろん、ネットワークなども大幅に変える必要があります。IGAから始めるゼロトラスト化は単純なインフラ整備のプロジェクトではなく、「全社を挙げて取り組むべきプロジェクト」との共通認識が欠かせません。

佐藤氏:まさにそうですね。ゼロトラストは「最小権限の原則」の実践が前提になるのですが、基本的には社内のすべての業務システムの情報を適切に把握しなければ、「どこまでが最小か」という議論になってしまいます。こういったことをまとめて把握するとなると、社内に各業務システムの担当者が多数存在する企業や世界中で活動するグローバル企業は特に難易度が高くなると想像できます。

ただ、サイバーセキュリティが経営課題と言われて久しい今日、この難題を避けて通ることはできません。まずは「社内の一番大切かつ脆弱なリソース」であるヒトに関連する情報を集めて可視化し一元化する、という第一歩を踏み出せるよう、当社もさまざまな手段で啓蒙活動にも取り組んでいく必要があると感じています。

IGAの推進には経営層の理解が不可欠

Q:ユーザーにIDを付与し一元管理する従来型のID管理とIGAは何が違うのでしょうか。

佐藤氏:IGAは従来のID管理に加え、「誰が何に対してどのような権限を持つか、持たせるべきか」までを可視化・管理するアクセス統制が必要だ、という考え方に基づいています。日本企業、特に規模の大きな企業内では、SSOやMFAの対象ではないアプリケーションを活用している例も多いので、IGAの重要性は非常に高いと言えます。

畠山:実際に企業の方々と話をする際、おおむね賛同を得られるのですが、「実際に取り組むのは難しい」と話すIT担当者も時々おられます。その背景には、誰かに対してどのような権限を持たせるかを決め、管理できるのはあくまでも業務部門であり、ITインフラ部門はそこまでの統制はできないだろう、という組織の垣根が存在するからだと推察します。同様の社内事情を抱えている企業は少なからず存在するでしょう。現場に対してIGAの啓蒙活動をするだけではなく、経営陣に対しての理解促進も重要になりそうです。

佐藤氏:IGAをITインフラ部門と業務部門の文脈で語るのとDXを語る流れは似ている、と感じました。IGAは「セキュリティの考え方をゼロトラストへと昇華させること」「社内のID管理のトランスフォーメーションの1つ」と言えるので、DXと類似しているのはもっともなことかもしれません。

トランスフォーメーションに向けて舵を切るには、トップダウンの推進力やITインフラ部門と業務部門の意見衝突が起こった際など円滑にプロジェクトを進められるファシリテーション能力を有する人材が必要です。そのような振る舞いができる人がITインフラか業務部門にいればベストですが、適任の人材がいない場合は、コンサルティング企業のような専門知識を持つ第三者的な立場の存在が役割を担うことになるのでしょう。外部の支援を受ける意味を理解してもらうためにも、経営層の理解は必要不可欠だと考えます。

IGAを進めるにあたり、ITインフラ部門が強すぎるのもデメリットがあると考えます。「自分たちが作った」からと、とうの昔に役目を終えたような古い既存のシステムにこだわりすぎるあまり、たとえばオンプレへのシステムに対する要件を満たすことと新たに導入したSaaSやIaaSの要件とを整合させる必要が生じ、コストや負荷が増えてしまう、というケースが考えられるからです。「大胆にトランスフォーメーションする」という考えができるかどうかは本当に重要なことなのです。