境界防御の“壁”の有効性が薄れる一方、社内にはセキュリティ対策の障害となる組織的な“壁”がある――どう突破すればよいのか:ITとセキュリティをシンプルにする全体最適化
「新常態」におけるセキュリティ変革を考えるオンラインセミナー「ITmedia Security Week 2021冬」が開催された。セミナーでは、ゼロトラストやSASEのポイントと、新しい時代に向けてITとセキュリティを全体最適化するアプローチが多数紹介された。
テレワークが広がり人々の働き方が大きく変わる中、新しい働き方を支えるためのITインフラの見直しが始まっている。その中で注目されているのが「ゼロトラスト」や「SASE(Secure Access Service Edge)」といった新たなセキュリティだ。
その背景には、ネットワーク機器で「壁」を作り、その壁を越えてくる脅威をブロックする従来の境界防御型セキュリティが限界を迎えつつあるからだ。テレワークは基本的に「壁の外」で行われるため、従業員やデバイス、アプリケーションも働く環境ごとに分散し、社内ネットワークという1つの壁では保護できなくなるのだ。
一方で、既存のITシステムやセキュリティの在り方が組織の「壁」となって、新たな取り組みを阻むという側面も見えてきた。新しいサービスを導入するからといって、既存システムや既存のセキュリティアプローチを全て廃棄することはできないし、中には個別最適化され、サイロ化が進んだシステムもある。
そうした社外、社内の課題を解決し、ITシステム全体を新しい考え方、在り方に発展させるにはどうすればよいのだろうか。
2021年12月6日に開催された「ITmedia Security Week 2021冬」の特別ゾーン「立ちはだかる“もう1つの壁”を突破せよ」では、ゼロトラストやSASEを実践する際のポイントと、新しい時代に向けてITとセキュリティを全体最適化するアプローチが紹介された。本稿では、日本ネットワークセキュリティ協会の高橋正和氏による基調講演と2つの技術セッションの内容をお届けする。
基調講演:「OODAとPDCAをつなぐ」経営的な視点と現場を橋渡しするのがCISOの役割――日本ネットワークセキュリティ協会 高橋氏
ITシステムは今やビジネスの基盤であり、セキュリティ対策は重要な経営課題の一つだ。そして、セキュリティを統括するCISO(最高情報セキュリティ責任者)の重要性は増すばかりとなっている。
基調講演には、日本ネットワークセキュリティ協会(JNSA)副会長 CISO支援ワーキンググループリーダで、Preferred Networks 執行役員 最高セキュリティ責任者を務める高橋正和氏が登壇。「事業推進とセキュリティ対策、その壁を突破するアプローチ〜CISOに求められる業務執行としてのセキュリティ〜」と題して、自らの経験や取り組みとJNSAの取り組みをまとめて上梓した『CISOハンドブック──業務執行のための情報セキュリティ実践ガイド』(技術評論社)の内容を基に、CISO視点からのセキュリティへの取り組み方をアドバイスした。
高橋氏はまず「セキュリティは、単にけん制するだけではなく、事業戦略の中に組み込むことが重要です。その際には、けん制組織としての壁、規範の壁、技術の壁を突破することが求められます。戦略に沿った標準、ベストプラクティスの活用と、開発や運用の実情に沿った技術的な対策が必要です」と主張した。
組織の壁の一つに、事業推進担当と情報セキュリティ担当の「対立」がある。事業推進に対してブレーキをかけるのがセキュリティ担当となりやすく、話もかみ合わないことが多いという。
「双方で異なる考え方やKPI(重要業績評価指標)を橋渡しする役割が求められます。経営的な視点と現場の視点をつなぐのがCISOの役割の一つです」(高橋氏)
CISOはビジネスのイネーブラであり、経営に参加する技術者でもある
現場と経営をつなぐ際に参考になるのが、業務階層をプロスポーツのように考えることだと高橋氏は説明する。プロスポーツでは、現場の選手は目の前の状況に対応する「OODA(Observe:観察、Orient:適応、Decide:意思決定、Act:行動)的」な行動を取る。監督は、試合中はOODA的でありつつ、シーズンを通して「PDCA(Plan:計画、Do:実行、Check:評価、Act:改善)」を併用する。そして、フロントは経営的な視点からPDCAを実行する。この例では、チームの監督とフロントの橋渡しをする役割がCISOとなる。
セキュリティ運用では、ポリシーやルールを押し付けるだけの規範に偏ったセキュリティでは限界がある。完璧なセキュリティが実現できても、会社がつぶれては意味がない。リスク、脅威の視点を取り入れ、事業全体をマネジメントする発想と仕組みが重要になる。
そのために専門用語を共通言語化したり、財務的な視点を持ったりすることも重要だ。例えば、財務諸表については、銀行や格付け会社目線で安定性を見るための「財務健全性指標」、投資家目線で資本効率を見る「ROE(自己資本利益率)」、経営者目線で収益性、成長性を見る「ROI(投資利益率)」という3つの目線で理解することに努める。
高橋氏は「CISOは、攻撃と向き合うだけではなく、組織内のステークホルダーとも向き合う必要があります。また、CISOはビジネスのイネーブラであり、経営に参加する技術者でもあります。ワーストケースとベストケースの想定と準備を行い、財務諸表を理解して『ゲーム』の在り方を知り、結果を計測して、事業を運用することが重要です」と述べ、セキュリティ責任者自ら動くことが「壁」を打ち破ることにつながると訴えた。
技術セッション:「より簡単に、より迅速に、より賢く」――VMwareがセキュリティを再定義
技術セッションには、ヴイエムウェアの大久保智氏(セキュリティ事業部 シニアセキュリティセールスエンジニア)が登壇。「VMware Securityはじめました 〜ITとセキュリティをシンプルに〜」と題して、VMwareが新たに提供を開始した「VMware Security」について、その狙いやロードマップ、活用のポイントを詳しく紹介した。
最初に大久保氏は、基調講演で高橋氏が説明したCISOが持つ課題について次のように補足した。
「VMwareが日本で実施した調査によると、『システムの破綻を認識しているが対応が取れない』というCISOが59%も存在します。攻撃対象範囲の急増、多くのツールによる運用の組織のサイロ化、コンテキストの欠如がセキュリティの大きな課題です。ITとセキュリティをシンプルにしなければなりません」(大久保氏)
そこにVMwareが提供するのがVMware Securityになる。マルチクラウドセキュリティ、ネットワークセキュリティ、エンドポイントセキュリティを統合する製品で、そのコンセプトはセキュリティを「より簡単に、より迅速に、より賢く」だ。
「セキュリティをビルトインの分散型サービスとして提供します。また、連携によってツールとサイロ化を削減し、ゼロトラストを実現します。さらに、脅威インテリジェンスとインフラのデータを基に迅速かつ正確に対応します」(大久保氏)
VMwareのセキュリティ戦略は、VMwareが持つ幅広いポートフォリオにセキュリティを組み込むことにある。これにより、エンドユーザーはもちろん、エンドユーザー向けサービスチーム、情報セキュリティチーム、ネットワークチーム、クラウド/インフラチーム、開発チームの全てがセキュリティの恩恵を受けられるようになる。
VMware Securityを構成するのは、VMware SASEや「VMware Workspace ONE」「VMware Carbon Black Cloud Workload」「VMware Carbon Black Cloud Endpoint」などだ。それらに加え、ネットワークを保護する「VMware NSX Security」や、VMwareが新たに発表した概念「EASE(Elastic Application Security Edge)」、セキュリティ製品とオペレーションを統合する「XDR Vision」などで補完する。
「より簡単に、より迅速に、より賢く。VMwareがセキュリティを再定義します」(大久保氏)と訴え、セッションを締めくくった。
技術セッション:流行中のゼロトラストとSASEに振り回されない、求められる全体視点
もう1つの技術セッションには、ヴイエムウェアの高瀬洋歩氏(エンタープライズSASEセールス セールススペシャリスト)が登壇し、「流行りのゼロトラストとSASEに振り回されない、求められる全体視点とは」と題して、SASEを正しく理解することの重要性と、IT基盤への最適な適用方法を解説した。
テレワークが普及する中、自社環境に構築したゲートウェイやVPN接続から「SASE」にシフトする動きが進んでいる。高瀬氏は「ゼロトラストやSASEはトレンドワードとして捉えられることが多く、どんなメリットやデメリットがあるのかを見失いがちです」と現状を説く。
VMwareでは、いわゆるニューノーマルな働き方をサポートし、多様な働き方を実現する「Anywhere Workspace」という考え方を提案する。その中で重要な役割を果たすのがゼロトラストやSASEになる。
「Anywhere Workspaceは、多様な従業員の在り方の管理や、分散化されたエッジの保護、ワークスペースの自動化がテーマです。そして、それを具体化するテクノロジーの一つとして『VMware SASE』を提供しています」(高瀬氏)
VMware SASEは、分散化されたクラウドやサービス環境に対して、ユーザーの新たな利便性とセキュリティモデルを提供するものだ。VMware SASEの主要コンポーネントとしては、「Secure Access」「Cloud Web Security」「SD-WAN」の3つがある。
「IT、ネットワーク、セキュリティを網羅する統合テクノロジーで、従業員の環境やエッジ、ワークスペースの自動化を図ることが重要です」(高瀬氏)としてセッションを締めくくった。
分散された働き方を支え、エンドツーエンドでのゼロトラストを実現する「Anywhere Workspace」
前述の2つの技術セッションに登壇したSB C&Sの大塚正之氏(エバンジェリスト)は、それぞれでAnywhere Workspaceを解説。1つ目のセッションでは「どこから始める?ゼロトラスト身近な視点から考えてみよう」と題して、VMware SASEを用いて、Anywhere Workspaceを実現する具体的なアプローチを紹介した。
大塚氏はまず、今日の働く環境について、「ユーザーが出社から社外に活動の場を移したように、デバイス、ID、通信、アプリケーション/データも、利用の前提条件が分散された環境に変化しました。分散環境で鍵になるのは、デバイスの健全性、本人性確認、アクセス手段です。そこで、適切なエンドポイント管理、認証基盤、通信制御を施すことが重要になります」と分析する。
適切なエンドポイント管理と認証基盤のために、VMwareは「VMware Workspace ONE」を提供している。SaaS(Software as a Service)やモバイル、業務アプリなど、さまざまなアプリケーションの管理とそのID/パスワード管理、Windows PCやMac、スマートフォンなどのデバイスを統合管理できる。
通信制御において重要な役割を果たすのが、VMware SASEだ。Secure Access、Cloud Web Security、SD-WANを連携させることで、安全なリモートアクセスの実現やインターネットアクセスに潜む脅威の検知、防御を可能にする。
「VMware Workspace ONEとVMware SASEは、各コンポーネントが強力に連携することが特徴です。また、EDR(エンドポイントでの検出と対応)機能として『VMware Carbon Black』を利用することもできます。通信、デバイス、アプリケーションを適切に管理、保護しながら、分散された働き方を支えるAnywhere Workspaceを実現します」(大塚氏)
2つ目のセッションでは、「分散された働く環境を支えるAnywhere Workspace」と題して、VMware Securityのユースケースや実装例を紹介。特に、ワークスペースに関しては、VMwareの各コンポーネントを連携させて、Anywhere Workspaceを実現できると説明した。
「デバイス認証、通信制御、アプリ管理が連携したエンドツーエンドでのゼロトラストを実現できます」(大塚氏)
まだまだ先行きが不透明な状況の中、企業にはゼロトラストやSASEを正しく理解し、セキュリティの「壁」と組織的な「壁」を打ち破ることがより強く求められるようになる。本セミナーは、そのことをより強く認識できる良い機会となっただろう。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- 「生産性とセキュリティをてんびんにかけてはいけない」――セキュリティの勘所
- 安全性と利便性 「どちらか一方」ではなく「両方取る」方法とは
- CISOがせめぎ合いを乗り越え“セキュリティ運用のサイロ化”を防ぐ全体最適のヒントとは
- ニューノーマル時代の「分散した働き方」をどう実現するか
関連リンク
提供:SB C&S株式会社、ヴイエムウェア株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2022年1月28日