「オペレーション可能なセキュリティ」とは？ ネットワンのOPSecが目指すもの：スピードを失わずDX戦略を推進するために

組織はデジタルトランスフォーメーションを進めたい。だが、それを阻害しかねない重大なリスクにサイバーセキュリティがある。根本的な課題である境界線の広がりと攻撃面の拡大にどのように対処すべきだろうか。

[PR／ITmedia]

PR

　ネットワンシステムズ（以下、ネットワン）は、「netone Elasticインフラストラクチャー」を推進している。さまざまなユーザーやアプリケーションをセキュアに接続でき、アプリケーションの展開やユーザーアクセスに応じて必要なインフラのサービスを接続環境に依存せず統合的に提供するものだ。

　「ITをビジネスに直結させる、ネットワンが提唱するITインフラ戦略とは」で説明した通り、このアーキテクチャは多種多様なクラウド技術やサービスの活用を促進し、ハイブリッド／マルチクラウドの可視性や運用のギャップを埋め、ITインフラに自動化を組み込むことでサイロ化された運用における相互運用性と統合を提供する。

　ITインフラの機動性を高めることで事業部門のニーズに迅速に対応できるようになり、IT部門はビジネスゴール達成に貢献する組織へと進化できるだろう。

セキュリティのほころびが組織の成長を妨げる

　組織は、生き残りと持続的な成長のためにデジタル戦略を実行したい。しかしビジネス環境の変化と新技術の採用でインフラやセキュリティ環境は急速に変化している。デジタル戦略を進めるほど、セキュリティのほころびが組織の成長を妨げかねない。

　根本的な課題は、人や事業活動が企業内インフラの枠外に分散することによる境界線の広がりと攻撃面の拡大だ。

　事業活動のためのシステムやツールは、社内だけではなく複数のパブリッククラウドやSaaS、エッジに広がっていく。一方、コロナ禍も大きなきっかけとなって従業員が家庭や屋外から業務を遂行する流れはますます強まっている。

　社内外にいる従業員および社外パートナーは、業務ニーズに応じて企業内やSaaS、パブリッククラウド、エッジに機動的にアクセスするようになる。つまりアクセス先とアクセス元の組み合わせが理論的には無限に増大する。

　ソフトウェア開発・連携が活発化すると、コーディングやAPIなどアプリケーションレベルのセキュリティを意識せざるを得ない。

「サイロ化」「可視性のギャップ」「技術の多様化」への対応が急務

　IT環境が複雑化の一途をたどる中で、組織はセキュリティに関して「サイロ化」「可視性のギャップ」「技術の多様化」という3つの課題に取り組む必要がある。

　各対策領域に個別のツールやソリューション、運用体制が存在することでサイロ化が生じている。異なる部門・部署がそれぞれセキュリティ製品を段階的に導入したことでベンダーや機能の組み合わせが複雑化した。運用も異なるベンダーが行う状況になっている。

　次に、これらを連携させ統合的に運用できなければならないが、バラバラな製品やサービス利用が全体的な情報把握を妨げている。全体を可視化して対策の優先度を判断することで、リスクコントロールを効果的にできるようにしなければならない。

　一方、パブリッククラウドやコンテナなどの新技術の採用を一部の部署のみで進める傾向が強まっている。このことでスキルや組織間のコミュニケーションのギャップが生まれやすくなる。クラウドの設定ミスが企業全体にとって大きなリスクにつながることもあり、ギャップへの対応が求められる。

ネットワンが提唱する「オペレーショナブルなセキュリティ」とは

　IT部門は、上記の取り組みを通じて組織としてのセキュリティガバナンスを確保しなければならない。その手助けとなるのが、ネットワンが提唱する「オペレーショナブルなセキュリティ」（OPSec）というアプローチだ。

　OPSecとは、効率的なオペレーションモデルの実現を阻害するツール、運用、組織上のサイロを排除し、継続的な全体最適化を通じてオペレーション可能なセキュリティを実現するアプローチだ。

　オペレーション可能とは、セキュリティ対策が融合されたインフラを通じて、自動化を実現するデザインと組織間のコラボレーションによる一貫性のあるオペレーションができるようになることだ。

オペレーショナブルなセキュリティデザイン（出典：ネットワンシステムズ説明資料）

　まず、幅広いセキュリティ関連リスクから企業を守ることが前提となる。リスクには情報窃取や不正アクセス、サービス拒否攻撃などの従来のITリスクだけでなく、データ収集や保存、共有といったIT運用を取り巻く規制リスク、ベンダーやサプライヤーに起因するサードパーティーリスク、技術の利用から派生するリスクが含まれる。

　次に、IT部門が事業部門との連携を深めて「DevOps」「NetOps」「SecOps」によるコラボレーションを推進し、ツール間の連携や自動化により迅速かつ確実なセキュリティ対策を可能とする。

　一般的には個別に導入されたソリューションは冗長であるか、連携して機能しない傾向がある。これらが持つデータや情報を統合して有効活用することで、セキュリティ状態の正確な把握とリスク対策に必要となるインサイトが抽出でき、インフラ全体で可視性のギャップを埋めることも可能になる。

　OPSecでは、組織が将来にわたってサイバー脅威とビジネス機会の双方に備えられるようにする。これによって顧客が確実にデジタル戦略を遂行するための支援をすることが、ネットワンにとって重要な命題となる。

ネットワンは知財を最大限に活用してOPSecを推進する

　OPSecの裏付けとなるのが、ネットワンが持つ知財だ。同社は社内だけでなく、多数の大規模顧客やさまざまな市場における経験や取り組みを通じてノウハウ、ベストプラクティス、ユースケースを蓄積してきた。これを生かし、環境や脅威の変化のスピードに追随した運用可能なセキュリティを迅速に展開できる。

　蓄積されたノウハウによってマルチベンダー対応も実現する。顧客が利用しているコンピュータープラットフォームやクラウド、ネットワーク、セキュリティの製品やサービスを活用しながら統合的なセキュリティ運用につなげられる。

　さらにネットワンは、コンサルティングから運用までの支援を一社で提供する「ライフサイクルサービス」を展開する。セキュリティプロジェクトにおいて各フェーズで必要となる機能を提供し、継続的な対策の改善や強化が実現できる。

　OPSecは、上記のような裏付けに基づき、まずインフラとセキュリティ対策を融合する。同時にセキュリティ製品間の高度な連携を実現し、継続的な全体最適化を推進する。これによって効率的な運用モデルを阻害するサイロを排除し、組織変革を支援する。

　ただし、全体最適化は一度で実現するものではない。そこで多様化、複雑化するセキュリティ対策領域のそれぞれについて効果的に対応するための機能や役割をサービスモジュールとして提供する。モジュール化されているので顧客は優先度の高い領域から部分的に始められ、徐々に全体最適へと進むことができる。

　個々のサービスモジュールについて、ネットワンでは図のようなライフサイクルサービスを提供し、これを通じて顧客がPDCAを回していけるよう支援する。

対策の検討および実装におけるライフサイクル（出典：ネットワンシステムズ説明資料）

　ライフサイクルの「計画フェーズ」では、アセスメントを通じた現状とあるべき姿のギャップを基に技術やツールを評価し、あるべき姿のグランドデザインやロードマップを作成する。

　「運用フェーズ」では、マネージドサービスやカスタマーサクセスを中心に現状の利用状況の改善やさらなる要件への対応に向けた利活用の提案などで顧客の成熟度をステップアップする。

　ネットワンは、既に「マネージド・セキュリティ・サービス（MSS）」「マネージド・ディテクション＆レスポンス（MDR）サービス」「マネージドSIEMサービス」「クラウドセキュリティ運用支援サービス」「OTセキュリティサービス」など幅広いセキュリティサービスを提供している。これらのサービスも組み合わせて顧客のセキュリティ運用に関する成熟度向上を支援する。

OPSecによって顧客が得られる価値とは

　では、OPSecを採用することで顧客が得られる価値とはどのようなものなのだろうか。

　第一に、網羅性の高いソリューションおよび適切なサービスモジュール機能の配置で人的リソースや専門性の不足を補うことができる。サービスモジュールを通じたセキュリティ強化で、計画・検討から運用・改善までの各フェーズで必要となるセキュリティ要件を確実に検討できるようになる。

　第二に、自動化された仕組みによる判断とレスポンスで迅速な対応をすることで脆弱性やリスクへの早期対応が実現できる。従来のリアクティブな対応からプロアクティブな対応への切り替えが可能だ。サイバー脅威への確実な対処が行える環境を構築することで、セキュリティ運用を最適化してリスクを軽減できる。

　第三に、継続的なモニタリングや最適化されたセキュリティ対策でインフラ全体におけるセキュリティ状態を視覚化し、効果測定に基づく投資判断が可能になる。デジタルリスクの評価やコントロール、低減によって組織のガバナンスを強化できる。

　結果として組織は確実なセキュリティ対策を講じながら、スピードを損なうことなく自らのデジタル戦略を実行できるようになる。