社内のチャットやテレビ会議にサイバー攻撃者が存在し得る時代――従来のIT運用がゼロトラスト/クラウドと相性が最悪な理由:ITmedia Security Week 2022夏
ITmedia Security Week 2022夏のDay6「クラウド&ゼロトラスト」ゾーンの基調講演で、川口設計 代表取締役 川口洋氏が「ゼロトラスト対応の前に皆さんのクラウド対応はどうですか?」と題して講演した。ともすると、バズワードというだけでゼロトラスト導入を検討しようとしている組織に対し、その前に必ずチェックしておきたいこと、そして真に検討しなければならないことに関して、@ITでの連載も大好評だった川口氏が斬り込むセッションだ。
サイバー空間に依存した社会、「サイバー」はどう変化した?
20年前ならば紙を前提としたワークフローが作られ、残業を駆使し、ビジネスは回っていた。しかし、いまや医療や金融、電気水道などのインフラを含め、ITの力なしには仕事が回らない。ITが活用される世界とは、セキュリティとは無縁ではいられない世界でもある。
川口氏はまず、国会会議録から「サイバー」というキーワードが何回登場したかを集計したグラフを提示した。これによると、「2000年の九州・沖縄サミットでサイバーという言葉が多用され、これが転換点の一つだった」と川口氏は述べる。しかし、意外なことに内閣サイバーセキュリティセンター(NISC)の設置や、続く洞爺湖サミット、大手重工業や衆参議院に対するサイバー攻撃が発生しても、その数値はほぼ横ばいのままだった。
次なる転換点は2013年にある。これは国家安全保障戦略の決定のことで、川口氏は「情報セキュリティが、サイバーセキュリティに変わった」と述べる。「これは大きな転換点。サイバーセキュリティは、誰かがわれわれの情報を狙うのを防ぐもの。誰かが狙うことで、われわれの事業、情報が毀損(きそん)されるということ。これは国益に反するもので、だから国が口出しをするようになった。サイバーセキュリティの問題は国益の問題なのだ」(川口氏)
そして、社会はいまだコロナ禍の影響を受けている。これによって、ITが活用されるシーンが増え、コミュニケーション、サービス、社内オペレーションのやり方は大きく変化してきた。あっという間にテレワークが普及し、それに伴いシステムや業務の在り方が変わる。「そこで注目されているのが“ゼロトラスト”だ」と川口氏は述べる。
「そもそもゼロトラストという言葉に引かれる人は、いまはゼロトラスト環境ではない人」と川口氏は指摘する。スタートアップや先進ベンダーならば、われわれが想像するような“ゼロトラスト”を既に導入し、当たり前のように運営しているだろう。しかし、それはITそのものを本業とするような業種のみであり、世間の大多数の企業はこれまで投資してきたオンプレミスのシステムがあり、「ゼロトラストをこれからどうするか、検討中」というフェーズにいる。そのステージには、その人たちの課題が残っている。
これまでのセキュリティは「境界」を作り、システム、ネットワークなどがあるオフィスの中に従業員が入り形成されていた。これは全ての資源がオフィスにあり、出社することが前提の仕組みだ。現在のIT環境は、そのオフィスだけでなく、自宅などにいる従業員、そして外部にあるクラウドサービスとつなげることとなる。
特に、コロナ禍では外部のサービスを活用することに拒否反応もなくなりつつある。
「例えば自社でテレビ会議システムを一から作っている企業はほとんどない。機密性にこだわりがなければ、よく聞くWeb会議サービスでやっているはず。それをきっかけに『クラウドサービスを使ってもいいのではないか』となった。Excelファイルをメールに添付してやりとりするよりも、オンラインのスプレッドシートを共同編集することを選ぶ企業も増えている。コロナ渦の影響でリモート環境を前提で考えるようになり、この“箱”の中にだけこだわらない形態に変わっている」(川口氏)
そのような状況となると、もはや攻撃者が狙うのは従業員の端末だけではなく、クラウドサービスだ。もしこれまでのセキュリティ投資のままオフィスだけを守っていると、クラウドが攻撃されている状況をモニタリングできないままとなる。川口氏はこの環境の変化に「セキュリティは追従できているか?」と問い掛ける。
ゼロトラスト、クラウドをシステムに導入するモチベーションのギャップ
テレワークをきっかけにVPNやクラウドの導入を検討する企業が増えている。しかし、多くの企業は苦悩しているのが現状ではないだろうか。そこには、「ユーザーとITベンダーとの間でギャップが発生しているのではないか」と川口氏は述べる。
「ユーザーもクラウドを入れ、一通り運用できた。しかし目指している姿を見失っているようにも見える。これはSlackをはじめ新しいツールを入れていても、社内の文化を変えないままの場合が多い。ITベンダーにしても、クラウドで最新のソリューションを提供すると掲げつつも、これまでのシステムが導入され、運用は別の担当者と下請けの別企業がマニュアルに沿うのみ。ベンダーに対しても不満が発生している」(川口氏)
クラウドサービスといえば、特にSaaSでは気が付いたらアップデートされ、画面構成や機能そのものが大きく変わることも多い。それは日本におけるITシステムの考え方と、相性が最悪だ。「クラウドサービスは変わることが特徴の一つだが、日本における“業務が変わらないこと”を重要視する人や組織と相性がとにかく悪い。これまでの運用チームのように厳格な手順書を要求し、それと1文字でも違うと作業ができないという“責任回避”や“丸投げ体質”の文化とは相いれないものだ」と川口氏は述べる。これが、クラウドの導入を阻害し、そのメリットを最大化できないポイントでもある。
「何かあると、すぐ『報告書を出せ』『やれ原因は何なのだ』という組織は改めた方がいい。報告書で責任回避を狙うような組織は、自分たちが『クラウドに合ってない』と気が付いていない場合も多いのではないか。これは発注側と受注側が離れていることが問題だと考えている。責任を回避できるモデルにはなっているが、デジタルトランスフォーメーション(DX)、業務改善、新規サービス開発には手間やお金や時間がかかってしまう。皆さんの組織はどうだろうか」(川口氏)
ペネトレーションテスターから見たゼロトラストは「おいしい」
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ゼロトラストは今どうなっているのか? セキュリティとネットワークの最前線
2020年の春、コロナ禍の始まりとともに「ゼロトラスト」がバズワードとなり、注目を集めた。それから2年たった2022年の今、ゼロトラストとそれに関連する企業のネットワークはどう変わったのか。現状と今後について述べたい。 - シャドーITや設定ミスによる情報漏えいなどを防ぐ「クラウドセキュリティ」は統合されてゼロトラストの一部となる
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。 - 日本の「ゼロトラストに向けた取り組み」は後れを取っている NRIセキュアテクノロジーズがセキュリティ実態調査の結果を発表
NRIセキュアテクノロジーズが実施した「情報セキュリティ実態調査」によると、日本は米国やオーストラリアに比べて、ゼロトラストセキュリティに向けたソリューションの導入で後れを取っていることが分かった。