CISOがせめぎ合いを乗り越え“セキュリティ運用のサイロ化”を防ぐ全体最適のヒントとは：何のためにシステムを守るのか

「セキュリティ対策は日々複雑化し、新たなキーワードが頻出しているので、今やるべきことが見えない」と嘆いている管理者には、目先の対策をパッチワーク的に行って投資が無駄になる未来しかないのだろうか。「ITmedia Security Week 2021秋」の「脱サイロ化、セキュリティ運用」ゾーンでは、“セキュリティのサイロ化”を防ぐ全体最適のヒントが明かされた。

[PR／＠IT]

PR

カオスな状況の中、変革に向けもがき続けるCISO

アスタリスク・リサーチ
代表取締役
エグゼクティブ アドバイザ
岡田良太郎氏

　アスタリスク・リサーチ 代表取締役 エグゼクティブ アドバイザの岡田良太郎氏は、「CISOが、適切にセキュリティ機能とレベルを決めるには ― 現状維持か変革かを分けるポイント」と題した講演でセキュリティを取り巻く近況を概観。「事業の進め方が変わり、オンラインが前提になり、インシデントレスポンスやテストといったセキュリティもオンラインが当たり前になった。そのインフラを支えるのは困難だ」と、変革を支えるべく日々もがいている多くの人にエールを送った。

　「業務を動かすために多くのサービスが生まれてきた。それらを守るサービスも次々と生まれている。このカオスな状況の中、どうやって企業を存続させ、データを守るのか。情報システム部門の基準としてよくある、『許可のないサービスは使わないでください』といったルールで縛るのが実質的に追い付かない中、CISO（最高情報セキュリティ責任者）はどうにかして情報漏えいリスクと戦わなければならない。そこで、現状を変革するかしないかではなく、どのように変革するかが肝になる」（岡田氏）

●CISO、3つの戦い

　岡田氏らは2021年に書籍『CISOハンドブック――業務執行のための情報セキュリティ実践ガイド』（技術評論社）を上梓したが、それをきっかけに「CISOは一体何と戦っているのだろうか」と考えるようになった。

　まず、間違いないのは「外部の脅威」との戦いだ。データやシステムを人質に取って数千万円、数億円といった金額を要求してくるランサムウェアが一つの例だが、業種、業態ごとに、外部からの脅威との戦いを強いられている。

　ここで無視できないのは、社会の要請とのバランスだ。先日、メッセージアプリの「LINE」が扱うプライバシーに関するデータがどの国で管理されているかが大きな問題となった。いわゆるサイバー攻撃や情報漏えいとは異なる領域だが、こうした社会の動きや、新しい法令などコンプライアンスの変化も企業の事業継続やリスク管理に関わるので、セキュリティの重要な問題といえる。

　もう1つの戦いは、社内の事業部門、つまり「身内とのせめぎ合い」だ。セキュリティ対策を推進しようとしても、ビジネス上の目標や事業部門が希望する手段との衝突が発生し、「セキュリティをやってもうかるんですか、どれだけ利益が出るんですか」と問われることもよくあることだ。CISOはそうした声との戦いも避けられない。

　このせめぎ合いを乗り越えるヒントとして岡田氏は、『Harvard Business Review』に掲載された「安心して助けを求められる組織を作る6箇条」を挙げた。その本質的な目的は、「どのようにして事業部門と共通の目標を持つか」だという。

●週末、数カ月、半年以内で行うべきシフトレフト

　岡田氏はこの問題にヒントとなる事例として、内閣サイバーセキュリティセンター（NISC）が公開した「2020年東京オリンピック・パラリンピック競技大会に向けたリスクアセスメントの取り組み」に関するドキュメントを紹介した。この応用として、3つの期間で行うべき具体的なシフトレフト方策を並べた。週明けにすぐにできることとして、事業の目的と目標を事業部門の言葉で言語化する例を紹介した。

事業の目的と目標を事業部門の言葉で言語化するコンセプト（提供：アスタリスク・リサーチ）《クリックで拡大》

　「セットアップ、デッドラインのあるイベントの遂行、日常の業務環境の確保、ワーカーの安定した業務遂行の支援、顧客にとって利便になること。こういう視点で共通目標を整理して言語化すると共感が得られやすいのではないか。それぞれの項目を、皆さんの企業、事業に合わせたらどういう具体的な言葉になるか、試していただきたい」（岡田氏）

　数カ月のスコープで行うこととしては、これら事業の共通目標とITシステムとの関連をマッピングしてみる、それを基に障害対応への期待と現状の対策のギャップを見つける、ばらばらのものをまとめられる方法を探る、そしてこれらを基にロードマップを作ることという具合にステップアップしていくことを推奨した。その中で、さみだれ式にやみくもにベンダー製品を導入すると管理対象が増えるだけになってしまうことに注意しなければならない。俯瞰して、まとめられるものは統合することで、結果的にサイロ化を回避しつつ管理の手間、ひいてはコスト削減が実現できると指摘した。

　そして、半年以内で行うべきこととしては、社内外ともに、システム利用のユーザー認証と認可が“ざる”になりがちな状況に手を入れることを勧めた。事業を成立させるために必要なデータへのアクセス全てを守っていかなければならない。従来のように、取り扱うデータに『個人情報』があるかどうかだけでセキュリティ施策に傾斜を付けるのは非効率だし、抜け穴になりがちだ。また、さまざまなサービスを調達する際、『ブランドという代理変数』を使うのではなく、事業面とセキュリティ管理面の両方からフィットすべきとの視点を共有していくことが助けになる。このように、事業推進の道に対するガードレールとしてのセキュリティを実現していこうと、岡田氏は講演をまとめた。

データセンターにあったセキュリティ機能をクラウドで提供する「VMware SASE」

ヴイエムウェア
ネットワーク＆セキュリティ事業部
技術統括部
シニアスペシャリストエンジニア
長門石晋氏

　岡田氏も述べたように、コロナ禍は多くの企業のインターネットやSaaS利用形態を大きく変えた。ヴイエムウェア ネットワーク＆セキュリティ事業部 技術統括部 シニアスペシャリストエンジニアの長門石晋氏は、講演「ゼロトラストを実現するVMware SASEのアーキテクチャ」で、こうした変化に合わせた解決策を披露した。

　解決策としてVMwareでは、データセンターに合ったセキュリティ機能をクラウドに配置し、サービスとして利用できるようにする「VMware SASE（Secure Access Service Edge）」の提供を開始している。VMware SASEは、クラウドネイティブで拡張性のあるプラットフォームに広範なネットワークセキュリティ要素をデプロイし、クラウドサービスとして提供することで、セキュアなだけではなくハイパフォーマンスなインターネットやクラウドへのアクセスを可能にするものだ。

　しかも「1つの管理ポイントから広範囲な機能を自由に組み合わせ、シンプルに利用できるので、“セキュリティのサイロ”をなくすことができる。そして、あらゆるアクセスに対してユーザーコンテキストに応じた柔軟なアクセスコントロールを適用できる」（長門石氏）。スモールスタートから大規模な環境に至るまで、幅広いユースケースに対応できることもVMware SASEの特徴だ。

　VMware SASEは、東京も含め全世界150カ所に展開されている「VMware SASE Point of Presence（PoP）」を通して提供される。VMware SASE POPでは、これまでも提供してきた「VMware SD-WAN」に加え、リモートアクセスVPNの「VMware Secure Access」、URLフィルタリングやコンテンツスキャン、マルウェア対策機能などの「VMware Cloud Web Security」という3つのサービスを提供する。主要なクラウドサービスとピアリングすることで、パフォーマンスを損なわずにアクセスできることも特徴だ。

VMware SASEの概要（提供：SB C&S、ヴイエムウェア）《クリックで拡大》

　「今後、SaaSの利用状況を可視化し、きめ細かくコントロールするCASB（Cloud Access Security Broker）や、機密情報の流出、コンプライアンス違反に対してアラートを上げて防止するDLP（Data Loss Prevention）といった機能も実装する予定だ」（長門石氏）

SB C&S
エバンジェリスト
大塚正之氏

　続いて登場したSB C&Sのエバンジェリスト、大塚正之氏は「VMware SASEにEDR（Endpoint Detection and Response）やMDM（Mobile Device Management）といった製品を組み合わせることで、人が使うデバイスやID、その上で動かすアプリケーションの振る舞い、それらが外部とやりとりする通信の宛先や中身を監視し、連動して制御できるようになる。これにより、ゼロトラストアーキテクチャを構築し、あらゆる場所から、あらゆるデバイスで、あらゆるアプリケーションを全ての人が安全にアクセスできる仕組みを提供するのがVMwareの考えだ。ひいては働く人の環境や可能性を広げていく力になる」とした。

VMware SASE、VMware Workspace One、VMware Carbon Black Cloudとエンドポイントの連携で分散された働き方を支援する（提供：SB C&S、ヴイエムウェア）《クリックで拡大》

セキュリティを「より簡単に」「より迅速に」「より賢く」がVMwareの戦略

ヴイエムウェア
セキュリティ事業部
シニアセキュリティセールスエンジニア
大久保智氏

　VMwareというと多くの人が「VMware vSphere」や「仮想化基盤」をイメージするだろう。実は、VMwareはセキュリティ分野にも力を入れており、EDR製品を提供してきたCarbon Blackをはじめ、Lastline、Octarineなどの企業を相次いで買収するとともに、XDR（eXtended Detection and Response）構想を掲げてセキュリティ戦略を強化している。

　ヴイエムウェア セキュリティ事業部 シニアセキュリティセールスエンジニアの大久保智氏は、「VMwareは3つのことを考えている。セキュリティを『より簡単に』『より迅速に』『より賢く』というビジョンだ」と話す。

　VMwareはこのビジョンの下、これまでの同社の製品やプラットフォームにセキュリティ機能をあらかじめ組み込んだ形で提供していく。製品を調達してインストールし、展開して初めて使えるようになるのではなく、機能をオンにするだけで、その場ですぐセキュリティ機能が利用できるようにする。同時に、インフラを支えてきた立場を生かし、インフラから取得したさまざまな情報を活用することで、コンテキストに沿ったセキュリティを提供する。

　その一例が「VMware Carbon Black Cloud」だ。VMware vSphereの仮想マシンなどにどのような脆弱（ぜいじゃく）性があるかを確認し、セキュリティチームだけではなくインフラチームもその情報をコンソール上で確認して、共同で次のアクションを決めることができる。このように、VMwareの多くの製品にセキュリティ機能を組み込むことで、チームごとにバラバラだったサイロ化された状態を解消する。

Carbon Black Cloudの概要（提供：SB C&S、ヴイエムウェア）《クリックで拡大》

　Carbon Black Cloudの機能は、アクセスやネットワークといった領域でも活用可能だ。VMwareはこれまでもセキュリティ機能をソフトウェア化し、個別に必要な機能を提供する考え方に基づいてEast-Westトラフィック（末端間通信）を監視してきた。ここに、サーバ上のプロセスを監視するCarbon Black Cloudの機能を組み合わせることで、「不審なプロセスが新たに立ち上がったので、その情報を『VMware NSX』と共有して通信内容を監視する」といった連携が可能になり、外部への情報漏えいなどを未然に検知、ブロックできる。これが、同社が掲げるXDR構想だ。

　これらに加え、もう1つの講演で紹介したVMware SASEによって、さまざまなセキュリティ機能をソフトウェア化して柔軟に提供する。

　「既存のさまざま製品にセキュリティ機能を組み合わせて『VMware Security』として提供していくビジョンを、今後も加速させる」（大久保氏）

　続けてSB C&Sの大塚氏は、金融系や新興企業、サービスプロバイダーといった企業でCarbon Black Cloudの導入が進んでいることを紹介した。フルクラウドですぐに導入でき、さらにVMwareのパートナーが提供するSOC（Security Operation Center）と併用することで、少人数でも運用できることなどが評価されているという。

　ただし、VMwareがセキュリティを手掛けるポイントは、単に「EDRが使える」ことだけではない。「セキュリティ運用が複雑になるという問題を解消しようとしているのがVMwareだ」と大塚氏は説明する。

　VMwareは長年にわたって、物理サーバを仮想化、抽象化することによって、ハードウェアの運用管理にまつわる複雑さを解消してきた。これと同じことを、クラウドインフラの管理やそこで動作するアプリケーションの実行環境、デバイスといった3つの領域でも実現し、あらゆる境目をなくし、管理をシンプルにして俊敏性を高めたり、ガバナンスの一貫性を確保したりしようとしている。

　さらに、そのプラットフォームには最初からセキュリティ機能を組み込むことによって、「セキュリティを抽象化してシンプルにし、運用のサイロ化をなくすことができる」と大久保氏は強調した。

VMwareの目指すビジョン＝3つの“Any”（提供：SB C&S、ヴイエムウェア）《クリックで拡大》

関連ホワイトペーパー

SASEで実現、場所やデバイスに縛られない安全かつ高パフォーマンスの通信環境

セキュリティ強化で生まれる「複雑さとサイロ化」、シンプルな運用の解消法は？