「DXの鍵を握るクラウド化」がもたらした新たなセキュリティ課題、どう解決すればよいのか：設計段階から管理を組み込む

ダイナミックに社会情勢が変わる中、デジタルトランスフォーメーション（DX）が推進されている。DXを単なるデジタル化で終わらせないために、何をトランスフォーメーションさせるべきなのか？　その中でセキュリティにどう対応すべきなのか？　「ITmedia Security Week 2021冬」の「デジタルトランスフォーメーションの本質〜クラウドシフトにおけるセキュリティ〜」ゾーンでは、急速に進むDXの本質を再定義し、「クラウドシフト」を例に、DXにおけるセキュリティについて考える講演があった。

[PR／＠IT]

PR

クラウドを活用して小さな成功体験を積み重ね、DXを身近なものに

　「2025年の壁」に警鐘を鳴らした経済産業省のDXレポートをきっかけの一つとして、DXへの関心は高まっている。だが中間報告によると、「レガシーシステムを刷新すればDXだ」という誤解を生んでしまった側面もある。こう話すのは、日本マイクロソフト クラウド＆ソリューション事業本部 Microsoft Technology Center センター長の吉田雄哉氏だ。

日本マイクロソフトの吉田雄哉氏

　吉田氏は「デジタルトランスフォーメーション再考−DXの本質と実践」と題するセッションの中で、「システムを刷新すればDXというわけではない」「システムを導入するとともに、企業文化や人間の活動の在り方、仕事の在り方も変えていかなければいけない」ことを強調する。

　DXを支援する中で吉田氏が感じる壁の一つが、技術的負債だ。特に基幹系のシステムは、問題が起きると企業に大きな影響を与えることから、「あまり手を付けたくない」と考えられがちだ。機械設備と同様の感覚で、長く使えば使うほどコスト効率が良いと捉えられる側面もある。

　しかし、毎日のように小さく、細かくアップデートし続ける方が、タイムリーに不具合を修正でき、使い方に慣れながら機能も追加できる。「更新し続ける方がむしろ低コストだ、という感覚を持つ人が増えています」（吉田氏）

　技術的負債にはコスト以外にも深刻な問題がある。それは、「人が育たない」ことだ。既存のシステムを更新し続ける分には、特に新たな知識を身に付ける必要はない。興味を持って勉強したとしても、その知識を生かす場もない。そうした状況が10年、20年と続くと、知識や経験は外部頼みで人が育たず、組織が弱体化してしまう。そして経験がないが故に、自信を持ってDXなどの新たな取り組みを推進できなくなる。

　この状況を変えるには、ベースとなる知識も必要だが、同時に論理とは別のところで「安心感」を醸成することが必要だ。「経験を積んでいないことが招く心理的な不安、これが企業の活動を蝕（むしば）んでいます。成功体験があまりにも不足しているのです」（吉田氏）

　あまりに高い目標を立てても現実味がない。その代わりに現実的な解として吉田氏は、「ITを使って何かを変える、良い思いをする」体験を積み重ね、小さなステップを踏むことを推奨した。「その意味でクラウドサービスは非常に優れた手段であり、『サービスを使って、どう変わっていくのかを経験し、確かめる』ことを通じて、企業の在り方を改善できるのではないでしょうか」と述べた。

　DXでは当然ながら「デジタル化」が必須の要件となる。アナログの紙や音声、画像をコンピュータが扱える「データ」に変換するだけでなく、「データの入力→処理→出力」という単純なプロセスを連鎖させていけば、人間にしかできないと思われている複雑なことの中にも、コンピュータができることが多々あるはずだ。

デジタル技術の適応とデータ活用（提供：吉田氏）

　「現実のビジネスを因数分解のように単純なステップに区切っていけば、その中でDXに当たるものは何で、どのシステムやサービスを連携されればよいのかについてヒントが得られます。処理と処理を連携させる、つまりサービスを組み合わせるやり方こそがクラウドらしいやり方であり、DXにつながるのではないでしょうか」（吉田氏）

簡単に使えるが故のクラウド、特有のリスクに向けた3つの対処ポイント

　NEC サイバーセキュリティ戦略本部 本部長の淵上真一氏は、「デジタルトランスフォーメーションの落とし穴〜東京2020オリンピック・パラリンピック競技大会のチャレンジ〜」と題するセッションの中で、DXの本質は「デジタル技術を浸透させることで、人々の生活をより良いものに変革し、革新的なイノベーションをもたらすもの」と表現した。

NECの淵上真一氏

　そして淵上氏は、DXを進める中での大きなキーワードとして「クラウド化」を挙げた。それにはもちろん相応の理由がある。クラウドでは高い可用性が確保しやすくなり、オンプレミスと比べてシステムの拡張や構成変更の柔軟性も向上する。「システムをクラウド化することによって、これまでの業務プロセス自体を単純化でき、効率化につながる側面もあります」（淵上氏）

　一方で、クラウドシフト故に起きたセキュリティ事故も報告されている。SaaS（Software as a Service）の設定不備が原因で情報漏えいが発生してしまったり、クラウド移行時のテストに当たって容易に推測できるパスワードに変更して、すぐさま不正アクセスを受けてしまったりといった事故だ。「システムが勝手に立ち上げられて使われてしまうことも、リスクの一つです」（淵上氏）

　淵上氏はDXの中でクラウドを活用する際の3つのポイントとして、「導入だけでなく、正しい設定を維持する運用」「クラウドサービス事業者とユーザーに加え、システムインテグレーターも含めた3者間での責任共有モデルの再構築」「クラウドを利用するルール作りと、それを徹底する体制作りを通じたガバナンスの確立」を挙げた。

「日本はデジタル化が遅れがち」を覆した、東京2020大会のチャレンジ

　クラウドシフトへの挑戦の実例がある。「東京2020オリンピック・パラリンピック大会」だ。

　東京2020大会はコロナ禍での史上初の延期となったものの、事前のリスクアセスメントや丁寧な合意形成を通じ、運営に重大な支障を来すことなく大会が終了した。大会に向けては、ハイブリッドクラウド環境で、さらに複数のパートナーからなるマルチベンダーシステムで100を超えるサービスを提供し、数十会場を結ぶ大規模に分散したネットワーク環境を運用した。それでも無事に200を超える国と地域から1万人以上の選手を迎え入れた。

　これだけでもさまざまな挑戦があった。さらに今回は通常の大会システムに加え、約半年で、選手や関係者の健康状態を把握し、感染発生時の対応や濃厚接触者の特定などを迅速化する「感染症対策業務支援システム Tokyo2020 ICON」の構築も迫られた。

東京2020大会の振り返り（提供：NEC）

　NEC サイバーセキュリティ戦略本部 上席主幹（元 東京オリンピック・パラリンピック競技大会組織委員会 テクノロジーサービス局次長）の林亮平氏は次のように振り返る。

NECの林亮平氏

　「業務の詳細が固まるまで待っていては大会に間に合わない恐れがあったため、適切なガバナンスの下、走りながらシステム化を進めました。国内関係者を含む数十万のアクレディテーション（資格認定）データを中心に、一連の感染症対策のベースとなる見える化システムを構築。関係者との丁寧なコミュニケーションや部門間の連携によって、なんとか無事に乗り切ることができました」（林氏）

　この経験を踏まえて林氏は、「よく、日本はデジタル化が遅れているといわれますが、テクノロジーの力を駆使し、適切なガバナンスの下、業務部門とテクノロジー部門が一つの目標に向かってOneチームで団結できれば、必ず素晴らしいものができます」と述べた。

4つの領域の「管理」を設計段階から組み込むことで解決を

　NEC サイバーセキュリティ事業部 事業部長代理の後藤淳氏は、「直面するリスクにどう対応するか」と題して、DX、クラウドシフトを進める上で特に注意すべきセキュリティリスクへの対策ポイントを4つにまとめた。

NECの後藤淳氏

　1つ目は「ID管理」だ。境界型防御の限界が見える昨今、ゼロトラストモデルが求められている。その中では暗黙の信頼に頼ることなく、ポリシーに基づいた認証、認可、細かいアクセス制御が重要だ。「管理が必要なIDの洗い出し」「オンプレミスとクラウドサービスにまたがるIDの統合管理」、そしてIDとパスワードだけに頼らず強固な認証を可能にする「多要素認証やコンテキストベースの認証」といった要素がポイントとなる。

　「これらの要点を押さえたID管理にはIDaaS（IDentity as a Service）といったサービスの活用が有効です。シングルサインオンや人事システムとの同期、ポリシーに基づく動的なアクセス制御といった機能を備えた『Okta』のようなサービスを活用するのも有効です」（後藤氏）

　2つ目は「情報管理」だ。ゼロトラストモデルの中では、データはオンプレミスに限らず、さまざまなクラウドサービスなどに散在する。その上、クラウドでは「責任共有モデル」が前提で、どのようなクラウドを選ぼうと、データの管理責任はユーザーにある。

　NECは自社での重要情報管理の経験を踏まえたコンサルティングサービスを提供する他、「Azure Information Protection」と「InfoCage FileShell」を組み合わせて利用することで、情報区分に応じたファイル単位での自動暗号化とアクセス管理、トラッキングによる利用状況のトレースを行う対策を提供している。これにより、ポリシーに従った柔軟かつ利便性を損なわない情報管理を実現できる。

　3つ目は「設定管理」だ。企業が利用するクラウドサービスが増え、頻繁にアップデートされている。その一方で、クラウドに精通したエンジニアは不足しており、どうしても管理し切れない部分が生じている。

　解決策の一つとして後藤氏は、「クラウド設定監査ツール」の活用を挙げた。「クラウドの設定を診断し、監査レポートを基に設定不備を是正していくことで、設定ミスが起きない状態を維持できます」（後藤氏）

　最後のポイントは「運用管理」だ。「ゼロトラストモデルでは、監視対象がエンドポイントやワークロード、SaaSなど多岐にわたり、IDなども含めて相関分析しなければならないので、難しさが増しています」（後藤氏）

　この課題を解決する鍵は、システム設計の当初から「どのように監視するか」を意識することだ。単に「監視できること」という要件で済ませるのではなく、設計の初期段階から、守るべきデータと環境を踏まえ、「どう守るか」を理解した上でセキュリティ運用を設計して手順化しておくことが重要だとした。

　「Security By Design」に関する知見や専門資格を持つエンジニアによる「プロフェッショナルサービス」を通して、NECはこうしたコンサルティングから設計、構築、運用に至るまでトータルな支援体制を整えている。「クラウドが複雑化する中では、上流の段階からセキュリティ監視、運用を設計しなければ、なかなか対策はできません。エンドツーエンドでサービスを提供できるベンダーを選ぶことがポイントです」（後藤氏）

NECのセキュリティ プロフェッショナルサービス（提供：NEC）

　既に、同社のプロフェッショナルサービスを活用してクラウド環境も含めたセキュリティ運用監視を設計し、「ActSecure χ」のマネージドセキュリティサービスとしてNECグループ会社インフォセックの高度な運用支援受けている事例もある。「長期的なセキュリティのパートナーとして選んでいただき、しっかり対応している事例だといえます」（後藤氏）