いま、企業は情報セキュリティ対策を見直す必要に迫られている。DXやテレワークが浸透したことで、従来型の防御では賄えないリスクが浮かび上がっている。さらにサイバー攻撃などの手口が巧妙化しており、セキュリティ対策ツールを導入するだけでは対応しきれない状況だ。
企業はどのような情報セキュリティ対策をすればいいのか。今回はソフトバンクが3日間に渡って開催したオンラインセミナー「ソフトバンク セキュリティフォーラム2022」(2022年12月14〜16日)から、そのヒントを探る。情報セキュリティの専門家やベンダーが解説した3つのテーマ「サイバー脅威の現状」「ゼロトラスト&SASE」「DX時代のセキュリティリスク」に沿って紹介していく。
サイバー攻撃やランサムウェアの被害が増加の一途をたどっている。もはや情報セキュリティ対策は経営課題の一つであり、法規制や社会規範の観点からも経営者の責務になっている。では、実効性のある対策とはどのようなものだろうか。
セキュリティインシデントを引き起こす大きな原因の一つが、テレワークやハイブリッドワークで従業員が使うスマートフォンなどのモバイル端末だ。常時ネット接続や多様なアプリケーションの利用が前提のため侵入経路が多い上、紛失しやすいという意味でも、セキュリティリスクになるとサイバーディフェンス研究所の名和利男氏(専務理事 上級分析官)は指摘する。
スマートフォンを標的にした攻撃は端末をハッキングする、基地局との通信を傍受する、フィッシングで情報を盗み出すなど幅広い手法がある。さらに本来なら信頼できる正規アプリがスパイアプリにすり替わるケースもある。
「リスクがあるものを24時間365日常に持っている点を再認識して、最低限のセキュリティ対策を徹底してください」(名和氏)
実施できるセキュリティ対策は、予測不能なパスコードを設定する、安全でない公共Wi-Fiへのアクセスを避けるといったものだ。紛失や盗難に備えてデバイスの位置情報と探索機能をONにしたり、管理者によるリモートアクセスを許可したりする対策も効果的で、意識的に行うことが重要だと名和氏はいう。
スマートフォンだけでなく、全体を見ても「サイバー攻撃は年々高度化・巧妙化し続けている」とソフトバンクの澤入俊和氏(法人事業統括 法人プロダクト&事業戦略本部 セキュリティ事業統括部 セキュリティサービス第2部 サービス推進課 セキュリティエバンジェリスト)は警鐘を鳴らす。
国内では、自動車部品メーカーがVPN機器の脆弱性を突かれてランサムウェア被害に遭い、取引先の工場が操業停止に追い込まれた事件があった。また医療機関への攻撃で診療業務に影響した事件では、委託業務者のマルウェア感染が原因だった。サプライチェーン上のリスクに注意し、インシデントが起きた際には早期に発見して対応する体制が必要だと澤入氏は訴える。
企業が取り組む対策として、事前の予防と事後の対処の両方が重要だ。例えば、サイバーリーズン社のEDRは攻撃者の侵入を前提にしている。万全の予防は不可能なので、もし侵入を許してしても封じ込める仕組みを構築しているのだ。ソフトバンクはサイバーリーズン社の製品を日本企業に展開しており、運用管理までサポートしている。
また近年注目を集めている情報セキュリティ対策の考え方が「サイバーハイジーン」だ。脆弱性を把握してサイバー空間の“健康状態”を良好に保つ施策を指す。これをサポートするのが、ラピッドセブン・ジャパンの「InsightVM」だ。脆弱性管理を支援するソリューションで、導入済みのソフトバンクでは数十万を超える機器を自動でチェックして運用管理している。そのノウハウを生かして、企業の導入サポートとマネージドセキュリティサービスを提供している。
1日目では、サイバーリーズンやヴイエムウェア、モバイルOS向けのセキュリティソリューションを手掛けるZimperiumがエンドポイント管理の重要性を解説した他、脅威動向などの情報を対策に役立てる「インテリジェンス」の活用について、日本プルーフポイントとレコーデッド・フューチャー・ジャパンが語った。
サイバー脅威の存在感が増す中、注目を集めるのが「ゼロトラストセキュリティモデル」だ。クラウドサービス活用やテレワークが普及し、従来型の境界防御が通用しなくなっているいま、必要な対策を解説する。
日本も含めて世界で業務の姿が進化している。リモートワークでグローバルなチームと連携し、エンジニアのスキルを発揮できる環境が整い始めた。実は、こうした先進的なワークスタイルを何十年も前から実施している人たちがいる。「それがサイバー犯罪者たちです。彼らは私たちの数歩先にいると理解した上で、備える必要があります」――こう話すのは、基調講演に登壇した圓窓(えんそう)の澤円氏(代表取締役)だ。
では、どう備えればいいのか。オフィスの中と外の境界が曖昧になるいま、ゼロトラストが注目ワードだと澤氏は語る。働き方と情報セキュリティ対策が変わっていく中で、従業員のITリテラシーに依存するのは危険だ。かといって運用でカバーする仕組みは情報システム部門の負担になるだけなので避けたい。
多要素認証を導入する、デバイスのセキュリティアップデートを最新版にするなど、さまざまな対策が必要だ。その上で、万が一何かあった際に素早く立て直すための準備が欠かせないと澤氏は訴える。
実際、ゼロトラストを導入する企業が増えている。国内外でアパレル事業などを展開するオンワードホールディングスもその一社だ。同社の情報セキュリティ対策はこれまで一般的な境界防御の仕組みだった。しかしコロナ禍でテレワークによる社外での業務が増え、さらにWeb会議を多用したことで通信量が急増し、従来の体制では限界があった。
そこでゼロトラストへの移行に踏み切るべく、ネットワークとセキュリティを統合する枠組み「SASE」(Secure Access Service Edge)の導入を決めた。それを実現するソリューションとして目を付けたのがゼットスケーラーだ。コスト面や実績などを高く評価しての選択だった。
実際の導入段階では、ゼットスケーラーだけでなく、ネットワークを一元管理できるソフトバンクのサービス「SD-WAN Type X」を組み合わせることで、複数拠点にまたがるネットワーク構成の情報セキュリティ対策をシンプルかつ強力に実現した。
オンワードホールディングスでは対策の強化と同時に、従業員から要望を聞くなどユーザー目線で利便性を追求した。「情報セキュリティと利便性の実現はトレードオフになりがちですが、ゼロトラストなら両立できます。今後も最適なアーキテクチャを模索し続けます」――こう話すのは、オンワードホールディングスの杉本隼氏(情報システムDiv. インフラ・セキュリティSec. 課長)だ。
各社が情報セキュリティ対策に取り組む中、特に対策が急がれるのが医療業界だ。個人情報の流出やサイバー攻撃による診療停止など深刻な被害が起きている。厚生労働省はガイドラインで、ランサムウェア対策や医療システムと連携する外部サービスの安全性確保などを求めている。
そうした事態を防ぐため、PCやネットワークのセキュリティ対策はもちろん、機密情報の管理やIoT機器への攻撃の対策が必要だと、ソフトバンクの山本史明氏(法人事業統括 法人プロダクト&事業戦略本部 セキュリティ事業統括部 セキュリティデザイン推進室 室長)は説明する。同社ではマネージドセキュリティサービスをはじめ、医療業界の情報セキュリティ対策を総合的にサポートしている。
2日目は、ゼロトラストやSASEをいかに実現するかについてゼットスケーラーやパロアルトネットワークス、Netskope Japan、日本マイクロソフトなどが講演した。
企業がDXを進める上で情報セキュリティ対策は重要だ。データやクラウドの活用を進めるためにはリスクの把握とポリシー策定が必要となる。3日目はDX時代の情報セキュリティ対策を解説する。
「20世紀は『石油の世紀』でした。21世紀のいま、価値の源泉はデータです。DXや政府が掲げる『Society 5.0』を支えるデータの真正性やデータ基盤の信頼性を確保することが大切です」――こう話すのは、慶應義塾大学の手塚悟氏(環境情報学部 教授)だ。
いま社会や経済活動を形作るデータの正当性を確認し、改ざんや送信元のなりすましを防止する仕組み「トラストサービス」の重要度が増している。具体的には、個人や法人が本人であると証明する電子認証や電子署名、改ざんを防ぐタイムスタンプ、データを送受信する際の安全性の確保などだ。
DXの視点では、社内システムや情報へのアクセス権限をユーザーIDごとに適切に管理することで、デジタル化やデータ活用を進められる。これはゼロトラスト的な考え方に通じるものがあると手塚氏は説明する。そして現在、トラストサービスに基づくデータ流通を進める国際的な枠組みも登場しており、日本でもSociety 5.0など次世代型社会の基盤に組み込まれている。企業もこうした視点での対応が求められていると手塚氏は解説した。
DXが進む中、企業の事業成長に必要なデジタル化は4つの基盤に分けられるとソフトバンクの芝田文氏(法人事業統括 法人プロダクト&事業戦略本部 セキュリティ事業統括部 セキュリティサービス第1部 サービス企画1課 課長)は話す。それが社内の情報共有を支えるコミュニケーション、業務効率化につながるオートメーション、事業拡大に寄与するマーケティング、企業活動の基礎になるセキュリティだ。
特にDXにおいてはインフラの整備が不可欠で、それを守る情報セキュリティが重要になる。さらにセキュリティ対策製品を導入して終わりでは済まず、有事に備えた監視や被害の食い止めを担う運用体制が必要だ。
しかし知見や人的リソースの不足から、これら全てを自社で行うのは難しいケースも多い。そこで、専門家が運用システムの管理や監視を担うマネージドセキュリティサービスを活用するのが現実的な選択肢になる。特にソフトバンクでは、各種資格を持つ専門のセキュリティ人材や技術者がチームになって、脆弱性対策から内部不正対策まで幅広くセキュリティ対策を担うサービスを展開している。これをうまく活用することで、有事に備えた体制を確保しつつ、DXや企業の成長に向かって進んでいける。
3日目に登壇した企業は、IaaS環境を守るチェック・ポイント・ソフトウェア・テクノロジーズ、OT環境を守るNozomi Networksなどだ。またラピッドセブン・ジャパンが脆弱性管理のマネージドサービスを、セキュアワークスがコンサルティングサービスを、日本プルーフポイントが内部不正対策ソリューションを紹介した。
「情報セキュリティ対策はいま、大きな分岐点にあります。自社の防御だけでなく、セキュアな社会を作っていくことは、皆さまの企業の発展につながります。ぜひ一緒に取り組んでいきましょう」――ガートナージャパンの熊倉一徳氏(エグゼクティブ パートナー)は、こう締めくくった。
DX推進の要になる情報セキュリティ対策のヒントや、ゼロトラストへの取り組み方など、本セミナーでは多くのノウハウが共有された。情報セキュリティ対策の進め方に課題を感じている読者は、ぜひ参考にしていただいたい。そして困った時はソフトバンクに相談すれば、親身に課題解決を手伝ってくれるだろう。
今回紹介したソフトバンク セキュリティフォーラム2022は、3月17日までオンデマンド配信している。多様な専門家が3日間に渡って情報セキュリティ対策の勘所を解説しており、具体的な対策の進め方やソリューションの活用方法などのノウハウを学べるはずだ。視聴は無料なので、こちらから視聴して自社の対策に生きるヒントを得てはいかがだろうか。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ソフトバンク株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2023年3月14日