今必要なのは、「点」ではなく「全体」で考えるセキュリティ：サイバー世界の生き残り戦略 鍵はサイバーレジリエンス

サイバー攻撃の被害に遭う企業が相次いでいる。「国や企業がサイバーセキュリティに取り組まなければ、取引先から外されるリスクも生じかねない」と有識者は指摘する。では、今、どのような取り組みを進めるべきなのか。

[PR／＠IT]

PR

サプライチェーンなどさまざまな観点で求められるセキュリティ対策

　企業の顧客情報や知的財産を狙ったサイバー攻撃は増加の一途をたどっている。攻撃の数そのものが増えていることに加え、手口が複雑化し、巧妙になっていることも被害拡大の要因となっている。ひとたびサイバー攻撃の被害に遭えば、直接的な損失はもちろん、顧客対応、監督省庁など社外への報告、社内環境の復旧など多くの労力を費やすことになる。社会的信用やブランドの毀損（きそん）も免れない。

　キンドリルジャパンの猿山悦子氏（セキュリティ＆レジリエンシー事業部　カスタマー・テクノロジー・アドバイザー）は「被害は自社にとどまりません。攻撃者の踏み台にされるようなことになれば、自社が“被害者”ではなく“加害者”になってしまう可能性もあります。これまで以上にセキュリティの徹底が必要です」と指摘している。

キンドリルジャパンの猿山悦子氏

　こうした状況を踏まえ、世界各国で、サイバーセキュリティに関する法規制やガイドラインの整備が進められている。日本では「サイバーセキュリティ基本法」「改正個人情報保護法」「経済安全保障推進法」の他、重要インフラ保護に関する法律も施行されている。海外ではEU（欧州連合）の「GDPR」（一般データ保護規則）、「DORA」（デジタルオペレーションレジリエンス法）など、さまざまな法制度が定められている。

　「こうした法規制への準拠はビジネス上、欠かせません。これらの要件を理解し、適切な対策を講じる必要があります」（猿山氏）

　企業がセキュリティに取り組むべき理由はもう一つある。それは「サプライチェーンの維持」だ。

　攻撃者の視点で考えればセキュリティレベルが高い企業より、低い企業の方が攻撃しやすいのは当然だ。取引先企業などの関連会社（サプライチェーン）の中からセキュリティレベルの低い場所を探し、そこからターゲットとなる企業に攻撃を仕掛ける攻撃者もいる。こうしたサプライチェーンセキュリティでは「（自社は問題ないが）取引先のセキュリティは大丈夫か」といった話題になりがちだが、「（取引先から見たときに）自社のセキュリティは大丈夫か」と考えることも重要だ。

　キンドリルジャパンの吉田未樹氏（セキュリティ＆レジリエンシー事業部　テックセールス部長）は「海外では、取引先のセキュリティリスクを評価する動きが進んでいます。評価が低い企業は、取引対象から外される恐れもあります」と話す。

　米国では、米国防総省が全世界の取引先に対し、米国立標準技術研究所（NIST）が発行する「NIST SP 800-171」への準拠を求めている。日本企業にとってもグローバルにビジネスを展開する上で、NIST SP800-171相当のセキュリティ要求事項、その上位の概念に当たる「NIST サイバーセキュリティフレームワーク」（NIST CSF）に取り組むことが不可欠になっている。

単なる監視を超え、予防から対応、復旧までが必要に

キンドリルジャパンの吉田未樹氏

　もちろん企業も黙って指をくわえているわけではない。猿山氏によるとセキュリティを「自分ごと」と捉える企業は増えており、その一環としてSecurity Operation Center（SOC）を設置し、セキュリティ運用、監視に取り組む動きも広がっているという。

　「SOCの在り方は年々進化しています。当初は境界防御が主流で、境界に設置したセキュリティ機器を監視する形が中心でした。しかし、内部脅威が高まるにつれ、SOCを内製化する企業が増えました。最近では、外部に委託して知見を生かすというハイブリッド運用が増えてきています」（猿山氏）

　ただ、幾つかの課題もある。ハイブリッド運用の場合、管理工数は増えてしまう。業務利用が増えているクラウドサービスのセキュリティをどうするかという課題もある。猿山氏によると「国内だけでなく海外の拠点も監視し、グローバルでガバナンスを効かせたい」といった要望も浮上しているという。

　何より重要なのは“包括的な視点”だ。どれほど対策しても侵害を100％は防げない。もしもに備え、インシデントが発生したときの対応と復旧の仕組みや手順を整えておく必要がある。NIST CSFでも、「防御」だけでなく、その前の段階にあたる「予測」、脅威に侵入されてしまった場合の「検知」「対応」「復旧」といった領域にまたがって対策を取るよう求めている。

　猿山氏は「セキュリティ運用の在り方を変えていく必要がある」と述べる。

　「セキュリティ製品からのアラートを『検知』して通知する体制は整いつつありますが、“そこまで”というのが実情です。あらかじめ自社への脅威を『予測』して『防御』策を講じておく、有事における『対応』や『復旧』の手順を整備し、定期的に内容を点検、演習するなど、全体を意識した対策ができている組織はほとんどありません」（猿山氏）

ライフサイクル全体にまたがり対策を支援

　これからのSOCに求められるのは「点ではなく、全体を横断的に分析、保護するセキュリティ」だ。キンドリルは、こうした課題を支援するセキュリティサービスを提供している。

　サービスの軸となるのは、顧客の情報セキュリティ統制をサポートする組織「CTRaC」（Client Trust, Risk and Compliance）と、顧客を個別の担当者が支援する「セキュリティフォーカル」だ。キンドリルはセキュリティフォーカルを介してマルチベンダーの機器を一元的に管理、問い合わせができるようにしている。サポートについても「セキュリティ・マネジメント・センター」（SMC）に集約し、「より多くの顧客を支援する体制を整えている」という。

　キンドリルのセキュリティサービスは、顧客内のさまざまな組織、ステークホルダーと連携しつつ、ライフサイクル全体を支援するサービスになっている。その範囲はコンサルタントによる要件整理や現状評価に始まり、手順や体制作り、システム構築、運用にまで至る。

　「全体を見た上で、お客さまの状況が現在どうなっていて、どこが喫緊の課題か、どこが中長期的な課題なのかを洗い出します。長いスパンで考え『どうすればセキュリティレベルの底上げができ、サイバーレジリエンスを高められるか』を支援する取り組みです」（猿山氏）

　NIST CSFなどグローバル標準と照らし合わせ、自社での対応の成熟度合いをアセスメントすることも可能だ。

　セキュリティフォーカルを介してキンドリルは、監視や防御だけでなく、予防から対応、復旧の部分も支援する。「キンドリルがこれまで培ってきた運用サービスの知見を生かし、お客さまの組織、システムの壁を越え、セキュリティとシステム運用をつなぎながら全体を見据えたセキュリティを支援できることが最大の価値です」と吉田氏は語る。

　そもそもキンドリルは、2021年にIBMのITインフラの構築や運用を担う事業が独立した組織であり、運用に関して豊富な知見と経験を持っている。

　「システム運用のアウトソーシングを担ってきた中で、お客さまに寄り添ったセキュリティ管理を担当してきたチームがCTRaCです。お客さまから預かった環境をどのようにセキュアに保つのか、という観点で培ってきた知見や経験を提供しています」（吉田氏）

　活用が広がるクラウド環境についても、設定の不備をチェックするCSPM（Cloud Security Posture Management）のサービスを展開している。その他、クラウドセキュリティに関するガイドを作成するなど、クラウドをセキュアに活用できる環境作りを支援している。

　ある顧客企業は「散らばっている監視対象を一元的に管理し、監視したい」「内製化したいが、コストの問題で一気に実施できない。既存のリソースをうまく生かしながら実現したい」など複数の要望を持っており、キンドリルは包括的なセキュリティパートナーとしてその要望に応えた。

セキュリティ支援の実施例

統合プラットフォームも提供し、本業に専念できる環境を実現

　キンドリルは「セキュリティはビジネスを円滑に進めるための手段の一つ」と考えている。現在のようにセキュリティにばかり労力が費やされている状況は本来の姿ではないということだ。キンドリルはセキュリティを維持しつつ、そこに掛かる労力を減らすことで顧客が本業に専業できるように支援する。

　「最近『現行の業務で手いっぱいで、他にやりたいことがあっても手をつける余裕がない』といった声を聞く機会が増えました。部分的にツールを入れて自動化、効率化を図ったつもりが、運用全体では以前より管理工数が増えていたそうです。キンドリルに相談してもらえれば、IT運用、セキュリティ運用の知見を持つメンバーが全体を見据えて、お客さまの悩みを軽減し、本当にやりたいことができるように支援します」（猿山氏）

　キンドリルは今後、SMCをより体系立てた形で提供する計画を立てている。吉田氏は「お客さまが自前でSOC用のインフラを用意しなくても、キンドリルが提供するSOCプラットフォームを使ってもらうことで、柔軟で高度化されたセキュリティ運用を実現する仕組みを用意します」と説明している。

　「今やITシステムは、企業の存続の根幹であり、業務継続に直結する問題です。事業継続という観点でどう盛り込んでいくかが問われています」（猿山氏）

　キンドリルは今後も「The Heart of Progress」（社会成長の生命線）というミッションに基づいて、顧客のためにフルライフサイクルのセキュリティサービスを提供し、サイバーレジリエンス向上を支援する。