「ICT×セキュリティ」モデルで攻めと守りを強化する

2018 12/5

多くの企業がセキュリティ対策を取っているのに、さまざまなサイバー攻撃の被害が後を絶たない。課題解決に向け、ICTとセキュリティを融合させたソリューションを提供するために、KDDIとラックの両社が共同出資で設立したKDDIデジタルセキュリティ (以下、KDSec) は2018年4月に事業を開始した。その価値とお客さまのメリットについて、同社トップの森岡秀と三浦康弘に話を聞いた。

無菌状態のIoTが新たなリスクに　セキュリティは普段の備えが大事

─　近年テクノロジーの進化が加速し、ICT環境が大きく変化しています。それに伴って、企業が直面するリスクをどのように見ていますか。

森岡　多くの企業が新たな価値創造に向けて、デジタルトランスフォーメーションに取り組んでいます。これを進める上で欠かせないテクノロジーのひとつがIoTです。車や家電、工場の設備などの「モノ」はこれまでセキュリティとは無縁だった、いわば無菌状態。それがIoTを導入することで、それらがインターネットにつながり、外部からの攻撃にさらされることで新たなリスクが発生します。

三浦　セキュリティリスクといえば、例えば、身代金型ウイルス (ランサムウエア) は情報を暗号化し、暗号化を解除する鍵と引き換えに金銭を要求することはよく知られていますが、最近は必要な情報を搾取したら、ICT基盤を破壊することを目的としているものも出始めています。

2017年に発生した情報セキュリティ事案をまとめたIPA (情報処理推進機構) の「情報セキュリティ10大脅威 2018」によれば、ランサムウエアによる被害は第2位と、高い水準にあります。そのほかにも、さまざまなサイバー攻撃があふれている昨今、それらが無菌状態のIoTに入り込んだら、想像するだけでも恐ろしい事態が起こりえます。

─　そうしたセキュリティリスクが深刻化する中、企業はどのような課題を抱えているのですか。

森岡秀

別々に構築・運用されているICTとセキュリティの融合を図れば、「1＋1＝2」の答えが「3」にも「4」にもなります。

三浦　日本は海外に比べ事業リスクに対して、セキュリティに投資をしない傾向にあります。また、ビジネスの展開や業務を行う上でICTとセキュリティは表裏一体の関係にもかかわらず、両者は運用するシステムも人も別々であるケースがほとんど。リスクは次々押し寄せてくるのに、両者で連携を取ることが難しい。守りは固めていても、十分に守り切れない。システムも運用も別だから、コストも膨らむという状況を生んでいます。

森岡　セキュリティは人の健康管理と同じです。普段から生活に気を付け、体力をつけたり、健康増進に努めたりする。それでも病気になってしまったら、すぐに病院で診てもらい、適切な処置をしてもらう。世の中に万能薬というものはありません。まずは自助努力に注力し、手に負えない場合は専門家の力を借りることが大切です。

セキュリティにもこうしたスタンスで臨む必要があるでしょう。ICT環境の変化に機敏に対応できるセキュリティ環境を構築し、監査・防御・監視・検知・復旧のルーティンを回していく。そうすればさまざまなリスクに対応できるし、万一「病気」になっても重症化を食い止める、すなわち被害を最小限に抑えることができます。

ICTとセキュリティの融合を図り環境構築から運用まで包括支援

─　セキュリティ課題に対し、KDSecはどのような支援ができますか。

森岡　「セキュリティ・バイ・デザイン (Security By Design)」による対策のもとにセキュリティをトータルに支援できることが最大の強みです。「Security By Design」とはシステムやソフトウエアの企画・設計・開発の段階からセキュリティ対策を組み込む考え方のことでICTとセキュリティを一体化したシステムおよび組織の構築・運用を支援します。KDDIグループのシステムは、この「Security By Design」に基づいて守られています。

KDSecではKDDIグループにおけるセキュリティ体制構築で培った技術やノウハウを外販事業にも活用して、お客さまに提供していきます。例えば、セキュリティの監査・診断や脆弱性対策、24時間365日の運用監視、インシデント対処支援、CSIRT (Computer Security Incident Response Team) の構築・運用支援などはその一例です。

KDDI デジタルセキュリティの現場では、セキュリティの専門家が最新の情報を共有しながら、24時間365日の運用監視やインシデント対応を行っている

─　KDSecのソリューションは、お客さまにどのようなメリットをもたらしますか。

森岡　お客さまのメリットは、「Security By Design」に基づきICTとセキュリティを一体的に構築・運用することで新たな脅威への柔軟な対応が可能になることです。つぎはぎの対策ではないために後から「あれがない、これがない」と慌てずに済むようになるのです。

三浦　ICTとセキュリティを別々に考えると、それぞれ個別に投資が必要になりますが、最初からセキュリティを考えたICT環境や体制をつくっておけば、投資も最適化できます。セキュリティの強靭化を図りつつ、中長期的な運用を考えていけば、トータルコストの低減につながります。

─　今後注力していく取り組みや目指すべき方向性について教えてください。

三浦康弘

KDDIグループとラックのノウハウや技術力を組み合わせ、ICT環境の変化へ機敏に対応できるセキュリティを提供します。

森岡　IoTが進展していけば、監視ポイントが膨大になり、今までのシステム構造では守り切れなくなります。ICTの進化やリスクの多様化に柔軟に対応できる「Security By Design」に基づくソリューションを中心に、お客さまのセキュリティ課題の解決を支援していきます。これに加え、AI (人工知能) やRPA (Robotic Process Automation) を積極的に活用し、KDSecが持つ技術・ノウハウの自動化とシェアリング化を目指します。

三浦　自動化・シェアリング化が進めば、より低価格で高品質なセキュリティサービスを提供でき、SMB (中堅・中小企業) のお客さまでも導入しやすくなります。大きなネックとなっている「コスト」というハードルを越え、価値提供を図る。これもKDSecが目指す重点施策のひとつです。

森岡　IoTの広がりとは別に、大企業でも子会社やグループ会社を狙ってサイバー攻撃が仕掛けられている昨今、これからはサプライチェーン全体でセキュリティ対策が必要です。低廉で高品質なセキュリティサービスを提供することで、企業の規模を問わず、より多くの企業のセキュリティ強化を実現する。KDSecはこうした活動を通じ、お客さまビジネスの成長と産業の健全な発展に貢献していきます。