レジリエンシーの視点からセキュリティ対策を“科学的”に評価する方法は：日本企業のセキュリティ体制は「高度だが最新ではない」

サイバー攻撃において金銭以外のものが狙われるケースが増えている。ベンダー中立の視点で企業のセキュリティ対策を支援するKyndrylはこの状況をどう評価し、どう対応しようとしているのか。日米のセキュリティ部門トップに話を聞いた。

[PR／ITmedia]

PR

　2021年9月にIBMのマネージド・インフラストラクチャ・サービス部門が分社化して発足したKyndryl。同社はIBM時代に築いた膨大な資産を引き継ぐとともに、独立後はIBM製品にとらわれないベンダーフリーの立場で企業のITインフラの構築や運用を包括的にサポートする独立系ITサービス企業として、日に日に存在感を増している。

　Kyndrylは近年、セキュリティ関連のソリューションにも力を入れており、多くのセキュリティ製品ベンダーやセキュリティサービスプロバイダーとエコシステムを形成して、従来と異なる独自の強みを生かしたソリューションを展開している。

　同社のセキュリティ事業の戦略や強み、今後の展望などについて、Kyndrylのセキュリティ＆レジリエンシーリーダーでバイスプレジデントのブライアン・サーティン氏と、キンドリルジャパン　セキュリティ＆レジリエンシー事業部　事業部長　増田博史氏に話を聞いた。

Kyndryl　ブライアン・サーティン氏（左）とキンドリルジャパン　増田博史氏（右）

国家やアクティビズムに基づく攻撃が急増

──近年のサイバーセキュリティを巡る状況をどのように捉えていますか。

サーティン氏　10年ほど前までは、クレジットカード情報やネットバンキングのID／パスワードの窃取など金銭を目的とするサイバー攻撃が大半でした。現在でもそうした攻撃は多発していますが、それに加えて国家の関与が強く疑われたり、特定の政治的信条を動機としたりする、いわゆるアクティビズム（積極行動主義）による攻撃が目立つようになってきています。

　社会的インパクトを目的とした攻撃は金銭目的の攻撃とは異なり、地方自治体や地域の医療機関のようにライフラインに関わる組織がピンポイントで標的になることもあります。攻撃手法や実行者が多様化しており、防御側もさまざまな手法で攻撃を検知して防御する必要に迫られています。

Kyndryl　ブライアン・サーティン氏

増田氏　攻撃者側がブラックマーケットを介して世界規模で広大なエコシステムを構築し、高度な分業体制に基づいて組織的に攻撃するようになったのも近年のサイバー攻撃における傾向の一つでしょう。

　グローバルで効率的な体制を築いた攻撃者に対応するのは至難の業になりつつあります。日本は言語の壁もあって、昔はこうした攻撃をあまり受けてきませんでしたが、今や海外と変わらないレベルで高度なサイバー攻撃にさらされるようになりました。

──組織的な攻撃に対応するにはどのような取り組みが必要でしょうか。

サーティン氏　これまでのセキュリティソリューションは、どちらかというと脅威の特定や防御、検知などに重きが置かれていました。しかし、サイバー脅威のリスクがビジネスに及ぼす影響がこれだけ大きくなると、万が一被害を受けた際の「ビジネスの復旧」にも方策を講じることが大切になってきます。

　これまでは「復旧」というと、自然災害やシステム障害に備えるDR（災害復旧）の領域だと捉えられてきたため、セキュリティの世界からは切り離されていました。しかしこれからは、サイバーセキュリティとDRを融合させた「サイバーレジリエンス」の考え方がより重要性を増してくると考えています。

図1　サイバーレジリエンスは従来のセキュリティ対策に加えて「復旧」を重視するアプローチ（出典：キンドリルジャパンの提供資料）

日本企業のセキュリティ対策は「高度だが最新ではない」

──日本におけるサイバーセキュリティについて、特有の傾向は見て取れますか。

サーティン氏　日本の政府機関や民間企業のサイバーセキュリティ対策は、概してレベルが高いと思います。ただし国によって地政学上の条件が異なるため、それに伴いサイバー脅威の傾向や関心領域も違ってきます。

　米国でセキュリティ関連のカンファレンスに行くと国家間紛争に絡んだ攻撃の話題がよく取り上げられます。日本は相対的にそうしたトピックが取り上げられる機会は多くありませんでしたが、最近はアクティビズムによる攻撃が徐々に目立つようになってきました。

増田氏　私も日本企業のサイバーセキュリティ対策は高度で、特にセキュリティ製品の導入に関しては大変進んでいる企業が多いという印象を持っています。ただし、幾つか手薄なところもあると感じています。その一つが先ほども話に出た「ビジネスの復旧」です。

　本来は「どれだけ素早くビジネスを復旧できるか」という観点から逆算して具体的な対策を検討する必要がありますが、多くの日本企業はまだ個別の対策に終始しています。人やプロセス、技術をサイバーレジリエンスの観点から包括的に捉えて効率的なビジネス復旧につなげる取り組みはまだ遅れていると思います。

キンドリルジャパン　増田博史氏

──最近は大手製造業を狙ったと思われるサイバー攻撃の被害がたびたび話題になっています。

増田氏　日本企業のセキュリティ対策の特徴として「高度だが、最新ではない」という点が挙げられます。大手ベンダーの高価な製品は導入していても、体制や運用面などが最新の取り組み方に追い付いていないために侵害を許すというケースが目立ちます。

　最新化への対応が遅れ、マルウェアに侵入され、取引先企業への攻撃を許してしまうケースもよく見聞きします。ITだけでなく、工場などのOT環境で稼働している装置の制御システムに潜む脆弱（ぜいじゃく）性を狙い撃ちした攻撃が目立つ点も、日本の課題でしょう。攻撃側は弱みを目ざとく見つけて突いてきますから、対策を強化すべきポイントです。

ビジネスへの影響をデータに基づく「リスクの定量化」で評価する

──セキュリティ対策の課題を抱える企業に、Kyndrylはどのような解決策を提供していますか。

サーティン氏　Kyndrylはサイバーレジリエンスの観点に立ち、セキュリティ侵害を受けた場合のインシデント対応やシステム復旧だけでなく、いち早くビジネスそのものを正常な状態に復旧することを重視します。ビジネスの復旧に必要な一連のプロセスを、包括的かつエンドツーエンドで支援する枠組みを「サイバー・レジリエンス・フレームワーク」として体系化して提供しています。

図2　サイバー・レジリエンス・フレームワーク（出典：キンドリルジャパンの提供資料）

　例えば、脅威の特定に関しては「セキュリティアシュアランスサービス」、防御に関しては「ゼロトラストサービス」、対応については「セキュリティ・オペレーション・レスポンス・サービス」、そして復旧については「インシデントリカバリーサービス」として体系化しています。各サービスは複数のソリューションで構成されており、ユーザーは自社のニーズや状況に応じて必要なサービスを取捨選択して導入できます。

──他企業でもマルチベンダーでレジリエンシーを重視するサービスを提供できる可能性があります。Kyndrylがこのメニューを提供する意義はどこにあるのでしょうか。

サーティン氏　ビジネスの早急な復旧に向けて、最も効率良く経済的な判断を下すには根拠が必要です。われわれが提供するセキュリティアシュアランスサービスは、企業のサイバー脅威を数値化して評価します。企業が自社の脅威状況を正確に把握してリスクを特定し、有効な対策を講じるにはリスクの定量化が極めて重要です。

　Kyndrylは各社の事業特性や資産、アプリケーションやネットワークの構成、さらには地政学上の条件などを加味したデータドリブンなアプローチによって各種セキュリティリスクを定量評価しています。この情報を基に、大小さまざまに報告されるセキュリティリスクの中から顧客企業の事業形態に即して何を優先すべきか、どこまで対策すべきかといった優先順位付けを支援しています。

　グローバルで顧客を抱えるわれわれならではの強みとして、顧客企業が同業他社と比較してどの程度リスクを抱えているか、対策が遅れていないかどうかといった情報を可視化するサービスも提供しています。予算や時間が限られる中で重点的に対処する項目を論理的に整え、リスクを最小化するアプローチです。

統合プラットフォーム「Kyndryl Bridge」の提供を開始

──世界中で数多くの企業のセキュリティ対策を支援してきた中で、膨大な量のデータや知見を蓄積している点は貴社のセキュリティソリューションの大きな強みなのではないでしょうか。

サーティン氏　そうですね。実はこうした強みを生かした新たな統合プラットフォーム「Kyndryl Bridge」を2022年9月に発表しました。これは、われわれの強みである専門知識や特許技術、データに基づく知見といったアセットを生かしてこれまでにないITソリューションを提供する統合型オープンプラットフォームです。

　Kyndryl Bridgeを活用することで、企業は自社のデジタルビジネスとその遂行のために必要な技術の間に“橋”を架けられます。ITインフラのプロビジョニングをより早く実行し、最新の技術やサービスをより取り込みやすくなるといったメリットを享受できます。

増田氏　これまで企業がITインフラやセキュリティ基盤を構築して運用するには、ゼロからフルスクラッチで開発するか、もしくは100％アウトソースするフルマネージド型サービスを契約するかでした。フルスクラッチはとても大変ですし、固定化されたマネージド型サービスだとカスタムしにくいなど、どちらにも課題がありました。

　Kyndryl Bridgeは「出来合いのソリューションを効率良く活用したいが、ある程度自社に合わせてカスタマイズしたい」「既存のIT資産を生かしつつアドオン的に導入したい」といった要望に柔軟に応える「セミカスタムプラットフォーム」のような位置付けです。

図3　Kyndryl Bridgeの概要図（出典：キンドリルジャパンの提供資料）

サーティン氏　私たちKyndrylは、「最も信頼できるオペレーター」として最先端の技術を提供する会社になろうとしています。Kyndryl Bridgeは、マルチベンダーでソリューションを提供できる私たちの強みを最大限に生かし、顧客課題や既存資産の状況を加味して最適解を提案する仕組み全体を指します。

　個々の課題に対するポイントソリューションを組み合わせたとしてもわれわれKyndrylがプラットフォームとして機能することで一貫性を持ち、統一されたエクスペリエンスとしてセキュリティサービスを提供しようと考えています。われわれがプラットフォームとして機能してさまざまなサービスと顧客をつなぐことで、ナレッジを集約して最適解を素早く皆さまに提供する仕組みが実現すると思っています。

　さまざまなリスクにさらされる中で、これからの企業セキュリティは全てに完璧に対処することに固執せず、ビジネスへの影響を軸に経済合理性に基づいた対応を求められる場面が増えるでしょう。

　定量的に評価した上で、どこにどこまでの対策を施すか、どのソリューションを採用するかを個別に判断していくことになります。Kyndryl Bridgeのような枠組みでの支援は今後広く求められるはずです。マルチベンダーに対応し、グローバルでの実践例や情報を多く持つKyndrylこそ、目的に忠実な方法を提案できると確信しています。