検索
連載

社内のチャットやテレビ会議にサイバー攻撃者が存在し得る時代――従来のIT運用がゼロトラスト/クラウドと相性が最悪な理由ITmedia Security Week 2022夏

ITmedia Security Week 2022夏のDay6「クラウド&ゼロトラスト」ゾーンの基調講演で、川口設計 代表取締役 川口洋氏が「ゼロトラスト対応の前に皆さんのクラウド対応はどうですか?」と題して講演した。ともすると、バズワードというだけでゼロトラスト導入を検討しようとしている組織に対し、その前に必ずチェックしておきたいこと、そして真に検討しなければならないことに関して、@ITでの連載も大好評だった川口氏が斬り込むセッションだ。

Share
Tweet
LINE
Hatena

サイバー空間に依存した社会、「サイバー」はどう変化した?

 20年前ならば紙を前提としたワークフローが作られ、残業を駆使し、ビジネスは回っていた。しかし、いまや医療や金融、電気水道などのインフラを含め、ITの力なしには仕事が回らない。ITが活用される世界とは、セキュリティとは無縁ではいられない世界でもある。


川口氏が独自に調べた、国会会議録から「サイバー」を含むキーワードの出現回数(川口氏の講演資料から引用)

 川口氏はまず、国会会議録から「サイバー」というキーワードが何回登場したかを集計したグラフを提示した。これによると、「2000年の九州・沖縄サミットでサイバーという言葉が多用され、これが転換点の一つだった」と川口氏は述べる。しかし、意外なことに内閣サイバーセキュリティセンター(NISC)の設置や、続く洞爺湖サミット、大手重工業や衆参議院に対するサイバー攻撃が発生しても、その数値はほぼ横ばいのままだった。


川口設計 代表取締役 川口洋氏

 次なる転換点は2013年にある。これは国家安全保障戦略の決定のことで、川口氏は「情報セキュリティが、サイバーセキュリティに変わった」と述べる。「これは大きな転換点。サイバーセキュリティは、誰かがわれわれの情報を狙うのを防ぐもの。誰かが狙うことで、われわれの事業、情報が毀損(きそん)されるということ。これは国益に反するもので、だから国が口出しをするようになった。サイバーセキュリティの問題は国益の問題なのだ」(川口氏)

 そして、社会はいまだコロナ禍の影響を受けている。これによって、ITが活用されるシーンが増え、コミュニケーション、サービス、社内オペレーションのやり方は大きく変化してきた。あっという間にテレワークが普及し、それに伴いシステムや業務の在り方が変わる。「そこで注目されているのが“ゼロトラスト”だ」と川口氏は述べる。


みんな大好き(?)ゼロトラスト(川口氏の講演資料から引用)

 「そもそもゼロトラストという言葉に引かれる人は、いまはゼロトラスト環境ではない人」と川口氏は指摘する。スタートアップや先進ベンダーならば、われわれが想像するような“ゼロトラスト”を既に導入し、当たり前のように運営しているだろう。しかし、それはITそのものを本業とするような業種のみであり、世間の大多数の企業はこれまで投資してきたオンプレミスのシステムがあり、「ゼロトラストをこれからどうするか、検討中」というフェーズにいる。そのステージには、その人たちの課題が残っている。

 これまでのセキュリティは「境界」を作り、システム、ネットワークなどがあるオフィスの中に従業員が入り形成されていた。これは全ての資源がオフィスにあり、出社することが前提の仕組みだ。現在のIT環境は、そのオフィスだけでなく、自宅などにいる従業員、そして外部にあるクラウドサービスとつなげることとなる。


現在はオフィスという“箱”以外にも、リソースが点在している(川口氏の講演資料から引用)

 特に、コロナ禍では外部のサービスを活用することに拒否反応もなくなりつつある。

 「例えば自社でテレビ会議システムを一から作っている企業はほとんどない。機密性にこだわりがなければ、よく聞くWeb会議サービスでやっているはず。それをきっかけに『クラウドサービスを使ってもいいのではないか』となった。Excelファイルをメールに添付してやりとりするよりも、オンラインのスプレッドシートを共同編集することを選ぶ企業も増えている。コロナ渦の影響でリモート環境を前提で考えるようになり、この“箱”の中にだけこだわらない形態に変わっている」(川口氏)

 そのような状況となると、もはや攻撃者が狙うのは従業員の端末だけではなく、クラウドサービスだ。もしこれまでのセキュリティ投資のままオフィスだけを守っていると、クラウドが攻撃されている状況をモニタリングできないままとなる。川口氏はこの環境の変化に「セキュリティは追従できているか?」と問い掛ける。

ゼロトラスト、クラウドをシステムに導入するモチベーションのギャップ

 テレワークをきっかけにVPNやクラウドの導入を検討する企業が増えている。しかし、多くの企業は苦悩しているのが現状ではないだろうか。そこには、「ユーザーとITベンダーとの間でギャップが発生しているのではないか」と川口氏は述べる。

 「ユーザーもクラウドを入れ、一通り運用できた。しかし目指している姿を見失っているようにも見える。これはSlackをはじめ新しいツールを入れていても、社内の文化を変えないままの場合が多い。ITベンダーにしても、クラウドで最新のソリューションを提供すると掲げつつも、これまでのシステムが導入され、運用は別の担当者と下請けの別企業がマニュアルに沿うのみ。ベンダーに対しても不満が発生している」(川口氏)


ユーザーとITベンダーには考え方にギャップが生まれている(川口氏の講演資料から引用)

 クラウドサービスといえば、特にSaaSでは気が付いたらアップデートされ、画面構成や機能そのものが大きく変わることも多い。それは日本におけるITシステムの考え方と、相性が最悪だ。「クラウドサービスは変わることが特徴の一つだが、日本における“業務が変わらないこと”を重要視する人や組織と相性がとにかく悪い。これまでの運用チームのように厳格な手順書を要求し、それと1文字でも違うと作業ができないという“責任回避”や“丸投げ体質”の文化とは相いれないものだ」と川口氏は述べる。これが、クラウドの導入を阻害し、そのメリットを最大化できないポイントでもある。

 「何かあると、すぐ『報告書を出せ』『やれ原因は何なのだ』という組織は改めた方がいい。報告書で責任回避を狙うような組織は、自分たちが『クラウドに合ってない』と気が付いていない場合も多いのではないか。これは発注側と受注側が離れていることが問題だと考えている。責任を回避できるモデルにはなっているが、デジタルトランスフォーメーション(DX)、業務改善、新規サービス開発には手間やお金や時間がかかってしまう。皆さんの組織はどうだろうか」(川口氏)


クラウド活用の本当の課題は組織にあるのではないか(川口氏の講演資料から引用)

ペネトレーションテスターから見たゼロトラストは「おいしい」

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  5. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  6. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  7. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  8. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  9. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  10. CrowdStrike、約850万台のWindowsデバイスで発生したブルースクリーン問題を謝罪 原因と対処法を公開
ページトップに戻る