Posted by : 河野 省二
日本マイクロソフト株式会社
技術統括室 Chief Security Officer
デジタルトランスフォーメーションとセキュリティ
働き方改革やAIの活用などを見据え、昨今デジタルトランスフォーメーションが注目されています。一方で、それを実現するための課題としてセキュリティが取り上げられることも少なくありません。これに対してデジタルトランスフォーメーションとセキュリティの両立という言葉を聞くこともありますが、それは正しい考え方でしょうか。両立のためにどちらかを犠牲にしなければならない、トレードオフを考えていくというのであれば、より良い改革は実現が難しくなります。デジタルトランスフォーメーションとセキュリティはお互いに良い影響を与え合い、生産性と安心・安全の両方を引き上げていく関係であると私は考えています。
海外から見た国内のセキュリティの現状
国内のセキュリティについて、そのポジショニングや取り組みの特徴など、多くのレポートが出ていますが、今回私たちマイクロソフトはアジアの他の国との比較などを踏まえ、Frost & Sullivan社と調査を実施しました。調査結果から、特に日本についての特徴は以下の通りです。
- サイバーセキュリティ攻撃の影響は、日本の大企業であれば約37億円。
これは中小企業のおよそ1100倍 - 2017年には企業のほぼ半数 (48%) で雇用への影響が発生している
- サイバーセキュリティへの懸念により、デジタルトランスフォーメーションの計画が遅延しがちである
- サイバーセキュリティ戦略として、AI(人工知能)の活用を促進する企業が増加している
国内では特にデータ漏洩に起因する経済的損失について懸念が大きくなる一方で、メディアの報道等で公となる事故や、実際に企業が自身で把握している事故はごく一部だというのも調査の結果からわかりました。氷山の一角を見ながら戦略を立てたとしても、見えない部分にまで手が届かず、結果として一つの事故に起因するその他の事故やそれに伴う更なる損失が誘発されて、最終的に事故が発生した際の損失総額が大きなものとなっているのです。
事故の全体像の把握とセキュリティ戦略
サイバーセキュリティ攻撃の影響の全体像を把握しにくいのは、攻撃者の真の目的がわからないためです。多くの犯罪では犯人が捕まることによって、その動機を把握することができます。しかし、サイバー攻撃においては犯人の明確な意図を知ることができません。今回の調査では、日本国内ではデータ漏洩・情報漏えいが引き金となって被害の拡大が進むと考えられているという結果が出ています。
実際に国内では電子データの分類が明確に行われていないケースが多く、攻撃者は目的の情報だけを選択して摂取したり、改ざんするのではなく、無差別に攻撃しています。結果だけを見たときに、その狙いがどの情報だったのか、そしてそれがどのように使われて、どのような影響をもたらすのかを推測することが難しいのです。つまり、攻撃者の意図がわからないサイバー攻撃では、誘発される様々な損失について企業側が想定することが難しくなり、過度なセキュリティ対策を行ってしまうケースが多いのではないかと考えられます。
セキュリティ対策の細分化による弊害
国内だけではなく、アジア全般にわたってセキュリティベンダーの細分化が行われていることもわかりました。ネットワーク監視やウイルス感染対策、情報管理における暗号化など、これまで行われてきたセキュリティ対策について専門性が高まる一方で、ベンダーが細分化され、ユーザによるこれらの管理が煩雑になっているという弊害も出ているようです。産業はエコシステムによって連携が始まっているにもかかわらず、セキュリティの現場ではこれがうまく繋がらないということが課題の1つとして挙げられました。事故の対応を行った際だけではなく、業務の方法が変わったり、IT環境が変わったりした際に追加されてきたセキュリティ対策が、複雑に重なり合って、本来は必要なくなったセキュリティ対策をやめることができないというのが現状のようです。また、当時のIT環境では有効だったセキュリティのベストプラクティスも、現状ではそれ自身が攻撃の対象となるなど、より有効なセキュリティ対策を実施するための障害となっていることもあります。これらが、デジタルトランスフォーメーションが進まない理由の1つにもなっているという結果も出ていました。
AIを活用したセキュリティ対策の準備
攻撃者はあの手この手で組織の資産を狙っています。実際には資産そのものではなく、その資産を悪用して金銭を得たいと考えています。一昔前までは、攻撃者は資産を窃取して売って利益を得ていましたが、この対策が普及した今では、ファイルを暗号化して身代金を要求するように変化しています。このことからもわかるように、攻撃者の意図によって頻繁に行われる様々な攻撃手法の変更に対応できるIT基盤、セキュリティ基盤を構築していく必要があります。これに対し、今回調査を行ったFrost & Sullivanからは「セキュリティ対策はシンプルに行うことがのぞましい」という提案がありました。
複数のセキュリティベンダーの複数のソリューションを活用しながら攻撃に対応するには、組織に相応のセキュリティスキルと調整能力が必要になります。また、連携するソリューションが増えれば増えるほど、対応や回復までの時間がかかる傾向にあることも調査からわかりました。現在、これらセキュリティスキルや調整能力の不足を補うために注目されているのがAI(人工知能)です。多くの企業はセキュリティ対策にAIや自動化を取り入れることで、これらの課題を解決したいと考えているようです。セキュリティを効果的かつ継続的に行うためにも自動化は必須の要件だと考えられます。
課題解決のためのデータ&セキュリティガバナンス
事故が発生した際の影響を把握するためには適切な資産管理が必要です。資産の一元管理、分類、ラベル付け、そして状態を把握するための構成管理です。データだけではなく、ヒトやデバイス、そしてアプリケーションなどにも識別子(ID)を割り当てて管理することで、これらの状況を判断することができるだけではなく、自動化のための計算を容易にできます。ガバナンスは統制や統治と訳されることが多いのですが、実際には現場の把握を行い、経営判断のための情報を収集することにあります。経営者が即時に判断を行うことができる情報をいかに収集しておくかが重要なポイントとなります。さらに詳細な影響を把握するためには、自らのネットワークに対する攻撃者の振る舞い情報だけではなく、外部の情報との連携、内部の振る舞いとしての活動データも必要になります。これら全ての情報を紐付け、判断できるような基盤を構築することが急務となっているのです。
シンプルなプラットフォーム構築のための転換
これまで、これらの基盤を構築することは容易ではありませんでした。ネットワークが分離されていたり、仮想化されたネットワークを複雑な形で構築していたり、ネットワークレイヤーでのセキュリティ対策によって、情報を収集したり、集計することが難しかったためです。しかし、クラウドが活発に利用されるようになって、状況が変わりました。自らの組織を把握するためのプラットフォームだけではなく、クラウドサービスプロバイダーが介在することによる情報の共有が容易になったことが要因となって、ガバナンスやそれに伴うセキュリティの自動化が実現できるようになりました。ID as a Serviceを利用したID連携による組織間の信頼性の向上、そして全ての資産がネットワークに紐付けられることによるガバナンス、多くの組織が共通のプラットフォームを利用することによる道の攻撃へのアクティブな対応が可能になったのです。クラウドの時代だからこそできるセキュリティ対策とは何かを知り、既存のセキュリティ対策の見直しを行う時期がきているのではないかと思います。
今後も、マイクロソフトはこのような調査結果をし続けるだけでなく、お客様のデジタルトランスフォーメーションとセキュリティの双方を高めるための戦略・計画づくりのお手伝いをさせていただきたいと考えています。ぜひ、ご期待下さい。
関連情報
Understanding the Cybersecurity Treat Landscape in Asia Pacific (英語)
https://news.microsoft.com/apac/features/cybersecurity-in-asia/
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
