経営課題として考える、DX 時代の情報セキュリティ — Microsoft Security Forum 2020 を振り返って

IoT(Internet of Things)、ロボット、人工知能(AI)、ビッグデータなど新たなテクノロジーによってイノベーションを創出することで世の中のニーズに応え、社会的課題を解決する未来の社会コンセプト「Society 5.0」に向けて企業のデジタルトランスフォーメーションが進むなか、一方でデジタル化する社会を標的としたサイバー攻撃も急増しています。その手口は巧妙化、多様化が進み、企業のセキュリティ対策は大きな転換点を迎えていると言えるでしょう。

こうしたなか、マイクロソフトは今年もサイバーセキュリティについての関心を高めることを目的としたサイバーセキュリティ月間(2 月 1 日から 3 月 18 日)の趣旨に賛同し、企業が考えるべきこれからの情報セキュリティの在り方を考えるイベント「Microsoft Security Forum 2020 ~変化に備える、2020 年のセキュリティ対策~」を先月 3 月 12 日に開催いたしました。

なお、今年の Microsoft Security Forum は、新型コロナウイルス感染症対策のために全編をオンラインライブ中継によって実施。予定していた会場の定員を大きく上回る 1500 名以上(最大同時視聴者数)の方に視聴いただきました。

日本マイクロソフト 技術統括室 チーフ・セキュリティ・オフィサーの河野省二によるオープニングトークに続いて行われたのは、内閣官房 内閣サイバーセキュリティセンターの山内智生様による基調講演「Society 5.0 に向け取り組むべきサイバー セキュリティ対策」。日本が目指すべきサイバーセキュリティ戦略のポイントについて、国の取り組みを交えて紹介しました。

  • 経営層・経営企画部門から情報セキュリティ対策に参画を:内閣府 山内様

山内様は、日本のサイバーセキュリティ政策の方針と推進体制、主なガイドラインや啓発活動を紹介したうえで「企業の皆さまにお願いしたいのは、サイバーセキュリティ対策の持続可能性。あるときだけ注力するのではなく、それが続かなければ、そこに必ずセキュリティリスクが発生します。自分たちが何を守らなければならないのか、それがデジタルとどう関わっているのかをしっかりと分析すること、そして誰かが一人でやるのではなく全員が参加・連携・協働して進めることが大切」と、これからの情報セキュリティ対策の基本的な在り方を提示しました。加えて、高度な情報セキュリティ人材の育成だけでなく、経営者層や経営企画層の情報セキュリティに対する意識改革の重要性を指摘しました。

そのうえで、「ここからは私見を含みます」としながら山内様は、デジタルトランスフォーメーションが進む日本の企業社会における情報セキュリティの課題とあるべき姿についてまとめました。

山内様はまず、現状の課題について「企業の経営層はデジタルトランスフォーメーションと情報セキュリティ対策を担当者の仕事だと考えており自分事化できていない。情報セキュリティ対策が経営方針としてまとまっていない。経営企画部門はデジタルトランスフォーメーションと情報セキュリティ対策を業務効率化と防護のためだけに考えており、ポジティブな面を考えていない。そして担当者は運用・保守と対策に追われて常にプレッシャーにさらされている。またよく聞く話が、セキュリティポリシーは策定したが、現実に即しておらず十分に機能しないというものです」と指摘。

そして、デジタルトランスフォーメーション時代における、あるべき情報セキュリティ対策のあるべき姿について、経営層、経営企画部門、現場担当者、そして会社全体について提言しました。

山内様は、経営層がこれから持つべき意識について、「経営層は、デジタルトランスフォーメーションが業務のフロント、バックオフィスにどう影響を与えるのか、そして万が一それが停止した場合に、会社の経営計画にどのような影響を生じさせるものなのか、そのアウトラインを理解していただきたい。それによって、情報セキュリティ対策の意義・目的が明確になると思います」と提言。

そして、経営企画部門については「セキュリティ脅威によって生まれる損失がどの程度のものなのかを把握したうえで、情報資産の管理とセキュリティ監査が連動することでデジタルトランスフォーメーションとどう繋がっているかを知っていただきたい」と指摘。経営に直結する情報セキュリティのリスクを把握したうえで、投資する優先順位をつけることを勧めました。

また現場担当者については「詳細なリスク分析の結果を把握したうえで、どこに障害が生じるとクリティカルなのかを認識していることが重要。それにより、同時多発的にリスクは発生した場合に対応の優先順位を考えられるのではないか」と語り、また会社全体としてデジタルトランスフォーメーションの利点と安全性確保を担保するセキュリティポリシーを策定して、その有用性をIT部門と他部門が検証していくことが重要であることを提言しました。

そして最後に山内様は、これから企業がやるべきこととして、システム・情報資産の把握とセキュリティ脅威による影響・損害の検証、適切な人材育成、現在のシステム運用・セキュリティ対策の評価、情報アクセス実態の把握、適切なセキュリティポリシーの策定などを挙げました。「現場に任せるだけでは全体像はつかめません。経営戦略・企画に携わる方々にぜひデジタルトランスフォーメーションと情報セキュリティについて考えていただきたいと思います」(山内様)。

  • デジタルトランスフォーメーションの推進に必要な 4 つの要件

続いて行われた基調講演「DX 時代における DX-Ready の考え方と Security-Ready に向けた取り組み」では、日本経済団体連合会 デジタルエコノミー推進委員会 企画部会長で、損害保険ジャパン日本興亜株式会社 取締役専務執行役員 CIO の浦川伸一様が、これからの社会に求められる情報セキュリティの在り方について語りました。

浦川様は、日本の多くの企業が情報システムの構築・運用についてベンダー企業に依存してしまっており、ユーザー企業の IT 人材不足やITリテラシーの不足といった課題が生まれている現状を挙げたうえで、「ベンダー依存体質の強い日本では、この風土が Security Native、AI-Ready、Cloud Native、Agility Native といった欧米のトレンドを推進する上での足かせになっている。ユーザー企業自身が技術力をつけなければデジタルトランスフォーメーションのスピード感に追いつけない時代になっている」と指摘。クラウドやオープンソースを多用してビジネスを推進していくデジタルトランスフォーメーションの時代には、情報セキュリティを含めてさらに多くの課題が生まれることを指摘しました。

そのうえで、企業がデジタルトランスフォーメーションを推進していくことができる状態=DX-Ready の条件として次の 4 点を挙げました。

「特に、デジタルトランスフォーメーション推進の要件に情報セキュリティを据えているのは、他のすべての要件において脆弱性への対応やセキュリティ脅威への対策が抜け落ちてしまう傾向にあるから。情報セキュリティは、どこからでもサイバー攻撃を受ける環境にあることを認識し、網羅的な対策を施すことが求められる」(浦川様)。

浦川氏によると、近年のサイバー攻撃の多くはシステムの脆弱性を狙ったものが多い傾向にあるとのことですが、中でも特徴的なのは自社のシステムではなく協働する企業=代理店や子会社、協力会社などのサプライチェーンのシステムが持つ脆弱性を悪用したサイバー攻撃や、基幹系システムのオープンソース化による脆弱性を狙ったサイバー攻撃が高まっているといいます。

浦川様は Security-Ready に向けて「企業がセキュリティ管理や情報セキュリティに関する重要な判断を下すためには、自社・自組織のシステムの全貌と運用実態の把握、問題となっている攻撃手法の理解、セキュリティ上の脅威が発生した場合の影響範囲の把握が重要」と語った一方で、企業の経営層や管理職層はデジタルトランスフォーメーションへの推進に積極的な影で情報セキュリティは後回しになりがちであるという課題を指摘しました。

そして、DX-Ready を推進する Key Success Factor として、① 日本の制度、業界、企業文化に即したデジタルトランスフォーメーションの理解、② ユーザー企業の IT リテラシーや技術力の向上、そして③ 情報セキュリティを軸にデジタルトランスフォーメーションの推進に必要な環境整備=DX-Ready の実現を挙げました。

  • 情報を適切に守りながらビジネスを成長させるために Microsoft 製品をどう活用しているか

午後のセッションでは、日本マイクロソフト Microsoft 365 ビジネス本部 本部長の山崎善寛が進行役となり、「2020 年からのセキュリティ ~防御から予防へ 持続可能なセキュリティの実現~」と題した基調セッションを展開。お客様事例の紹介として、NTT コミュニケーションズ株式会社 情報セキュリティ部長の小山覚様、株式会社資生堂 情報セキュリティ部長 (CISO) の斉藤宗一郎様に登壇いただき、各社の情報セキュリティに対する考え方や具体的な戦略・取り組みについて語っていただきました。

NTT コミュニケーションズの小山様は、「働き方改革とセキュリティを両立させるゼロトラストとは」と題して、働き方改革やデジタルトランスフォーメーションを支えるための、高度な攻撃に備えるセキュリティ対策や、業務のクラウド化に伴うセキュリティ対策について紹介しました。

小山様によると、同社が働き方改革の推進に舵を切ったのは 2017 年。個人情報保護法が改正され、データの暗号化に関する技術的なガイドラインが明確になったことで「どうすれば社外に持ち出せるパソコンを作れるか」が明確になったことがきっかけになったといいます。

そして、2018 年にはセキュア FAT(同社で高度なセキュリティが担保されたパソコン端末)とクラウドを活用したシステム環境を整備。その環境構築において「Microsoft Defender ATP(EDR)」をはじめとするセキュリティソリューションや One Drive や Office 365 といったクラウド製品を活用したのです。特に、ネットワークセキュリティについては NTT コミュニケーションズ本社だけでなくネットワーク上で相互接続するグループ会社にも導入を推進し、グループ全体でゼロトラストの環境を構築したといいます。

「高度なセキュリティを施して働き方改革の環境整備を行った結果、作業時間は 24%~40% 削減し、クライアント環境コストは 65% 削減、セキュリティ上のインシデントに対応する時間も 53%~82% 削減できた。社員の作業快適性も高まった」と小山様はその効果を紹介。また、Microsoft Teams を社内コミュニケーションに活用することで紙資料の印刷枚数が削減されるなど、ワークスタイルそのものにも変化が生まれているのだそうです。

加えて、社員が利用したいクラウドサービスを Azure Active Directory を基にした認証基盤と連携して、不正監視や暗号化といった運用に乗せていく「サンクション IT」の推進について紹介。ゼロトラストのセキュリティ基盤を構築することで、社内外で活躍する社員に最適な ICT 環境を高い自由度によって提供できるといった生産性向上のメリットを指摘しました。

一方、資生堂の斉藤様は、「資生堂が目指す情報分類・活用・監視のガバナンス」と題して同社の情報管理の実例を披露しました。

斉藤様は「見えないものは管理できない。管理できないものは守れない」という情報セキュリティの基本方針を紹介したうえで、情報資産の棚卸と重要度のラベリング、そしてラベリングに応じた管理方針の策定をしていく重要性を指摘。どうすれば社内規定を形骸化させずに機能させるか、セキュリティを担保しながら情報をビジネスに活用するためにはどのようなツールを活用していく必要があるか、データの所在変化にどう対応しているかなどについて、同社の取り組みを紹介しました。

このなかで情報の分類とラベリングについて、斉藤様はマイクロソフトの Azure Information Protection(AIP)を活用している事例を紹介。社員がドキュメントに対する機密レベルを分類してラベル付けをするだけで、そのラベルと情報セキュリティポリシーに応じて AIP が適切にデータを保護してくれることにより、社内規定の遵守意識が高まり形骸化を防いでいるのだそうです。また、AIP はデータを移動する際にもアクセス期限を設定したり、データの変遷をトレースでき、分類とラベリングを適切にすることでデータを適切に管理・保護できているといいます。

「資生堂では、“LOVE THE DIFFERENCE” というスローガンのもと、ダイバーシティを積極的に推進しているが、文化や価値観が異なる環境下で重要な情報を適切に保護することは容易ではありません。適切に情報セキュリティの規約を策定して周知しても、人材の流動化などにより形骸化していく恐れもあります。こうした環境下でも従業員が最低限の労力で規約を遵守できるよう、ツールを導入し活用しています。ただし、最終的にこうしたツールを動かすのは人です。セキュリティにゴールはなく、習慣になっていかなければなりません」(斉藤様)。

セッションの進行役を務めた山崎は、お二人のプレゼンテーションを補足する形で、Microsoft Defender ATP のマルチプラットフォーム対応やポスト EDR=xDR のニーズに対応した統合型セキュリティ製品 Microsoft Threat Protection の特長、また社内のコンプライアンス違反に対応する内部不正検出ソリューションなどを、デモンストレーションを交えて紹介。

今後はエンドポイントセキュリティにおける検知の精度や質を高めることに加えて、国内外の拠点と連携して広範囲に大量の情報を収集して脅威インテリジェンスを形成していくことが重要である点や、外部からの脅威だけでなく企業内部の不正、ルール違反、ハラスメントなどへの対応として社内の人(情報にアクセスする ID)、データの動き、接続するデバイスを統合的に管理するインサイダーリスクマネジメントの重要性を提起しました。「マイクロソフトのソリューションでは、セキュリティやコンプライアンスの分野だけでなく働き方改革や生産性向上に貢献できるツールもすべて同じデータソースを活用して部門連携を実現していきます」(山崎)。

  • デジタルトランスフォーメーションと情報セキュリティは経営課題として考えよう

今回ご紹介した講演を通じて、企業活動の原動力となる情報やデータを適切に管理し、その情報セキュリティ戦略を考えることは、デジタルトランスフォーメーションの時代において、情報システム部門の現場に任せることではなく、経営課題として経営層、経営企画層のレイヤーから全社的に考えていく必要があること、そして、必要なセキュリティ対策はビジネスの一部の側面の対してのみピンポイントでするものではなく、連携する外部企業との関係を含めたシステム構成全体からデータ管理の分類と評価、現場の社員がどのように適切に情報を扱うかという社内規範に至るまで包括的に考えていく必要があることが示されました。

加えて、こうした“経営課題として情報セキュリティを考えること”を実践している企業では、それぞれの企業風土やビジネスの特性に即した情報セキュリティの在り方をとりまとめ、そしてそれを実践する基盤としてマイクロソフトのセキュリティソリューションをご活用いただいています。今後もマイクロソフトは、多様化する脅威に対して企業がどのような情報セキュリティ戦略で挑むべきか、製品・サービスの提供を通じてサポートしていきたいと考えています。

本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。

Tags: ,

関連記事