クラウドサービスの利用拡大やコロナ禍によるテレワークの急速な広がり、DX推進によるデータ利活用の進展など、組織のIT利用環境の変化に対応するサイバーセキュリティ対策はどうあるべきか、また、どのようにアプローチすべきか、KPMGコンサルティング株式会社(以下、KPMG)のアソシエイトパートナー 稲村 大介とパロアルトネットワークス株式会社の染谷 征良氏の対談を通し、3回にわたり考察します。
サイバーセキュリティをめぐる日本企業の環境
Q:新型コロナウイルス感染症(COVID-19)以降、企業のサイバーセキュリティをめぐる環境はどのように変化してきましたか。
染谷氏:新型コロナが始まってからの約3年間、局面ごとに、セキュリティが求められる程度や導入を進めるドライバーが変化してきたという印象があります。新型コロナの初期では、全社で急速にテレワークを開始したことでVPN接続が逼迫して業務影響が出るので、これを早く解決したいという短期的なものでした。
2年目以降はオフィス回帰や、テレワーク等ワークスタイルの多様化を踏まえ、ITインフラに付随した根本的な課題をどう解決していくのか、という観点が芽生え始めたように思います。3年目を過ぎた辺りから、これまで個別最適でさまざまなツールを導入した結果、ITインフラやセキュリティインフラが重層化・複雑化したことに加えて、地政学リスクや原料高騰などの経営課題、半導体不足による設備投資の不透明感もあり、「経営コストの最適化」を検討したい、という観点も見られるようになってきました。
稲村:経営層が 「コロナ禍を契機としたワークスタイルの変化が一過性のものではなく、恒久的な変化となり、テレワークも働き方の1つになる」 ということを受け入れたという意識変容が感じられます。
働く人も、業務で使うシステムも、社内から社外へと移行するなかで、セキュリティをどう担保していくかを考えた時、これまでの対策を抜本的に見直す必要がある、ということも強く意識されています。そうしたなかで、概念として以前から存在していた 「ゼロトラスト」 が再び脚光を浴び始めたと言えるでしょう。
企業によるサイバーセキュリティ対策
Q:コロナ禍で、企業はどのようなサイバーセキュリティ対策を取られてきたのでしょうか、またどういった課題があるのでしょうか。
稲村:テレワークを前提としたセキュリティ規程、ガイドラインの改定、組織の貸与端末へのEDR導入等のエンドポイントセキュリティ対策、あとは、社内アクセスのためのVPNの増強、社内ネットワークを経由しないセキュアな外部通信のためのFWaaS(Firewall as a Service)の導入等でしょうか。
ただ、こうした変化のなかでは、組織が置かれている状況とリスクを見直し、それを踏まえた上で対策の全体像を描いて進めていくべきですが、これまでは局所的な対応に留まっていて、それらが対策全体のなかで何を守るために導入するのか、どのように人・組織が運用していくのかが定義されていないケースも多く見られます。
染谷氏:ゼロトラストや新しいツールの導入は有益になり得るものの、それ以上に重要なのは、「自社のなかで、何のためにやるのか」 を明確化することです。「ゼロトラストはやる必要があるのか?」といった問いも依然として少なくありません。
「企業にとって守らなければいけないものは何か?」 という問いからスタートし、たとえば、重要なデータやシステムがサイバー攻撃を受けた場合、ビジネスにどの程度のダメージを受けるか、といったことを明確化した上で、それに基づきセキュリティ対策の在り方を考えていくことが重要です。
ただ、なかにはそのような問い自体が「しっくりこない」という意見もあります。「サイバーリスクは対岸の火事」と思っている傾向もありますし、大きなインシデントが起こっても対策を考える段になると意見がまとまらない、ということもよくあります。
稲村:「導入すべきソリューションは何か?」 といった技術的な側面から検討を始めているケースが非常に多いと感じていますが、これは上手くいかないパターンの典型です。
セキュリティ対策は、企業の現在の業務の在り方や、ITの利用環境、就業環境、サプライチェーンなど、さまざまな状況を把握し、検討していく必要があります。ゼロトラストなどは、セキュリティ対策の1つの技術的な概念に過ぎませんから、ゼロトラストを実装することが目的ではなく、自社の現状を踏まえて対策目標を設定し、その実現のために、そうした概念を取り入れていくアプローチが重要であると思います。
さらに、セキュリティ対策を進める上では技術面以上に、人的、組織的な対策がより重要であると考えています。特に日本企業は、祖業に関する事柄には精通している一方、それを牽引するために不可欠となっているITや、セキュリティ対策を行うためのリソースが圧倒的に足りていません。また、携わる人材に対する適切な評価制度が整備されていないことも多くあります。
Q:本質的なセキュリティ対策が打てていないということでしょうか。
稲村:日本企業は良くも悪くも横並びの意識が強く、他社の対策水準を横目に見ながら自社の対策を進めることも多いため、結果的にレベルの底上げができている面もあると思います。ただ、本質的なところまで理解して、「自社に必要だからこの対策を行っている」 と言い切れる企業は多くはないと思います。
染谷氏:競合他社以上の取組みは予算面も含めて、経営層に対して説得材料を揃えるのに苦労する、結果として同意が得られないため「平均以上は望まない」というネガティブな意向もあります。業界がどうあろうと関係なく、自組織の事業特性やリスクに対する温度感を踏まえて「我々はこうあるべきだと思う」という発想が求められ始めています。
Q:本質的な対策を進める上で、企業はどういったアプローチで進めるのがよいでしょうか。
染谷氏:やはり、目先のビジネス要件に対して都度個別最適を図るのではなく、全体的な観点を持って対策を進めていく必要があります。そうした観点を持たないために、メディアやベンダーの情報に振り回されて、自社で運用が困難なソリューションを導入したり、運用監視のSOC(Security Operation Center)サービスをいくつも契約したりするような多重投資が生じているケースも多く見られます。
この問題は、企業側のセキュリティ対策の外部依存度が大きいということと、企業側のセキュリティ人材の不足も原因だと考えられます。組織はより主体性を持って、経営と現場の相互理解のなかで対策を進めていく必要があると考えています。
稲村: 全体的な観点を持って対策を進める必要がある点について全く同感です。
我々も企業のセキュリティアセスメントを実施するなかで、個別最適の結果、実質的に機能していない対策製品やサービス、機能重複による多重投資、効果と運用負荷のアンバランス等の課題を発見することが非常に多いです。こうした状況を是正していくためには、自社にセキュリティの「目利き」を持つことと、特定のサービスやソリューションに縛られない、中立的な視点で評価ができる第三者の存在が重要です。
まずは、技術的な側面だけでなく、人的、組織面、ルール等の制度面も含めた、自社のセキュリティ対策の現状を正しく認識することと、それに基づいてセキュリティガバナンスを効かせていくための対策の全体像やロードマップを策定し、個別施策を当てはめる形で対策を推進していくことが重要だと考えています。
(第2回に続く)