第2回の対談では、組織におけるセキュリティガバナンスについて議論されました。最終回となる第3回では、昨今のITを取り巻く環境を踏まえた「セキュリティ技術対策」の進め方について、KPMGコンサルティング株式会社(以下、KPMG)のアソシエイトパートナー 稲村 大介とパロアルトネットワークス株式会社の染谷 征良氏の対談を通して解説します。
Q:第1回の対談で、新型コロナウイルス感染症(COVID-19)以降の企業のサイバーセキュリティをめぐる環境変化についてお話がありましたが、技術的な側面から見たとき、どのような変化があるのかお聞かせください。
稲村:これまでの企業のセキュリティ対策は、社内と社外を隔てるネットワーク境界での防御をいかにして高めていくか、ということに注力されていました。これは、働く人も情報資産も、自社内に置かれているという前提に立ったものです。しかしご承知のとおり、新型コロナの影響により働く場所も多様化してリモートワークが当たり前になり、情報資産についてもクラウドサービスの利用が進み、あらゆるところに置かれるようになりました。こうした状況では、従来の境界型防御だけでは不十分ですので、各企業が働き方やIT利用環境に合わせ、セキュリティ対策を見直す必要があります。
Q:そうしたなかで、「ゼロトラスト」の概念が注目されていますが、こうしたものを取り入れた技術対策はどのように進めるべきでしょうか。
染谷氏:やはり、セキュリティ要件の明確化が重要です。何のためにゼロトラストの考え方に基づくセキュリティ対策を行うのか、まずはそこを明確にする必要があります。
事業形態などの諸条件を考慮した上で、インフラ全体としてのあるべき姿を明確にすることです。ビジネス要件を踏まえた上で、ゼロトラストの原則に基づいてすべてのユーザー、デバイス、アプリケーションを、拠点やリモート環境など場所に関係なく同じようにセキュリティチェックできるアーキテクチャを検討することです。
いきなり新しいツールの導入に走るケースがよくありますが、まずは既存投資の棚卸しを推奨します。既存投資のなかで有効活用できるもの、しきれていないものは効果の最大化を検討する、逆に賞味期限切れのものは切り捨てるという選別のフェーズが必要です。今後のあるべきアーキテクチャにフィットしなければ、長期的な視点で同様に切り捨てるという発想も不可欠です。
稲村:ゼロトラストはあくまで概念、考え方ですので、何か具体的な製品を指すものでも、この概念をそのまま導入するようなものでもありません。自社のセキュリティ対策を検討する上での1つの考え方、といった捉え方がよいかと思います。一般的に言われているゼロトラストの構成要素・機能のすべてを企業内に導入することは過剰であるケースも多く、これは業務効率を低下させることにもつながります。
染谷さんのお話のとおり、まずはセキュリティ要件を明確化し、それに対して必要な対策を検討するなかでゼロトラストの考え方を取り入れる、こうしたアプローチが望ましいと考えています。逆にそうしないことで、本質的に必要な対策と実際の対策が更に乖離していく危険性があると考えています。
Q:さまざまあるセキュリティ技術対策のなかで、SASE(Secure Access Service Edge)が特に注目されているように思いますが、SASEを選定、あるいは導入する上でのポイントをお聞かせください。
染谷氏:SASEと一言で言っても、ベンダーによってその定義や機能の範囲はさまざまですが、対策に一貫性を持たせることが重要なポイントになります。ゼロトラストにおいては基本的に、さまざまなユーザーやデバイス、場所、通信をカバーし、それらを一貫したポリシーに基づいて制御できるかどうかが重要です。たとえば国内外の拠点やテレワーク環境でバラバラのセキュリティツールやポリシーを導入しているケースがよく見られますが、一貫性のないものはゼロトラストとは呼べません。その意味では、「セキュリティプラットフォーム」は合理的なアプローチと言えます。
ここでも、インターネット通信にはセキュリティチェックを実施できるものの、オンプレミスのアプリケーションには別製品が必要な上にセキュリティチェックがかからないといったものも市場には存在します。SASEサービスのアーキテクチャの実態、検査できる通信の種類、拠点やテレワークなどカバーできるユースケースを吟味することです。
また、実際の導入は段階的に進めていくことになりますが、インターネット通信、オンプレミスシステムへのアクセス経路、SaaS(Software as a Service)の制御等々、自社のビジネス環境を踏まえ、優先度を付けて実施するとともに、導入の過程で通信の可視化を行い、PDCAサイクルを回しながら改善していくことが重要です。
稲村:SASEは一般的にはSWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)、FWaaS(Firewall as a Service)、ZTNA(Zero Trust Network Access)などのセキュリティサービスと、SD-WANなどのネットワークサービスから成り立っていますが、すでに部分的に導入されている企業も多いと思います。
基本的に、導入済み製品を活用し、不足製品を補う形で導入を検討する形が望ましいのですが、SASEを構成するサービスは、染谷さんのお話のとおり、一貫したポリシーで制御すべきであるとともに、それぞれが連携して動作することできめ細かい制御が可能になるため、その辺りの連携性も意識した製品選定、場合によっては既存製品のリプレースも含めた検討が必要なケースも考えられます。
また、これはSASEに限らずですが、製品の導入後、必ず運用が伴います。特に、監視・モニタリング運用が必要な製品、たとえばSWG、CASB、EDR(Endpoint Detection and Response)、SIEM(Security Information and Event Management)等は、自社でそうした運用がリソース、ノウハウの両面から対応可能であるかをしっかりと確認し、必要に応じて外部のManaged Serviceの活用なども検討が必要です。
Q:セキュリティ対策は、継続した改善の取組みが必要になると思いますが、どのように見直していくべきでしょうか。
染谷氏:新しい製品を導入したことで一定の満足感が得られ、要件が明確になっていなかったことで導入後に有効性が確認できないケースが多くあります。セキュリティの運用をするなかで、課題や盲点が少なからず出てきますので、それを早期に見つけ、放置せずに対応するサイクルを業務に組み込む必要があります。変化するビジネスニーズやテクノロジートレンド、脅威動向を踏まえての対応も行う必要があります。
また、自社のビジネスで起こり得るインシデントのシナリオや、それが顕在化した場合のビジネスインパクトを検討し、現状の対策がそのシナリオに対応できるのか、リアル感を持って検証することも重要です。
稲村:セルフチェック、内部監査、第三者評価、これを組織のセキュリティ管理プロセスにしっかりと組み込み、評価・是正していく仕組みが必要です。
ただし、セルフチェックは形骸化しやすく、また、内部監査については自社ルールに基づき対応が取られているか、といった観点での確認は可能ですが、変化する外部脅威に合わせた評価は困難ですので、これについては知見を持つ第三者の評価を受けることが必要になります。
また、少し違う観点として、セキュリティ製品が最適に配置されているか、といった観点での評価も有効です。外部脅威は既存のセキュリティ製品の機能を迂回するなど巧妙化し続けているため、導入済み製品の有効性が失われているケースや、セキュリティ製品側も外部脅威の変化に合わせ、さまざまな形で機能を拡張しているため、複数製品が機能的に重複し、多重投資になっているケースもあります。そうした状況の最適化を図る評価も併せて実施することが望ましいと言えます。
Q:最後に、セキュリティ対策が今後どのように進んでいくのか、将来の展望についてお聞かせください。
染谷氏:さまざまな法規制やサプライチェーンリスク等があるなかで、サイバーリスクがもたらすビジネスインパクトは大きくなっており、ステークホルダーに対して説明責任を果たせるかどうかが、今後より重要なポイントになってくると考えています。説明責任が果たせないと、社会的、経済的、ビジネス的にさまざまな制裁や制限を受ける時代ですから、よりシビアな対応が求められるでしょう。
一方、サイバーリスクの多様化やセキュリティ人材の不足といった現状を考えると、製品を導入して人が回していくことには限界が来ています。
今後は、AIや自動化等の技術がセキュリティ運用の中心的な役割を担っていく流れになっていくと考えています。
稲村:私も、セキュリティ運用へのAIの活用については大いに期待しています。企業のビジネス環境を踏まえ、さまざまなIT活用の形とそれに必要なセキュリティ対策の全体像を描こうとしても、どうしても現状では、セキュリティ人材のリソース不足が足かせとなります。
これまでのセキュリティ対応の現場では、AIや機械学習は、人間に判断材料を与える程度に留まっていましたが、今後、対応業務によっては判断から制御まで、自動化できるところまで進んでいくでしょう。そうした状況も踏まえ、組織のセキュリティ対策において、自社リソース、社外のリソース、テクノロジー、これらの役割・機能を整理し、効率化していく取組みがますます重要になってくると考えています。