DX推進のための土台はセキュリティ――KDDIとラック様の知見を結集
クラウドやIoTが普及したことで、企業に求められるセキュリティ対策は、これまで以上に広範囲にわたるようになった。こうしたIT環境の変化に対応すべく、KDDIと株式会社ラック (以下ラック) 様の合弁により設立されたのが、KDDIデジタルセキュリティ株式会社 (以下KDSec) だ。日々高度化するサイバー攻撃に備えることはもちろん、クラウドやIoTを活用したDXを安全かつ安心して推進していくために、これからのセキュリティはどうあるべきなのか――。
- ※ 記事内の部署名、役職は取材当時のものです。
KDDIの通信事業者としての経験と、ラック様の知見とのシナジー
通信事業者として長年お客さまの情報を守ってきたKDDIと、インターネット黎明期から日本のセキュリティ業界をリードしてきたラック様。KDSecは、その両社の知⾒とノウハウを結集し、お客さまにデジタル社会における安心・安全を届けるために2018年に設立された。
「通信事業者であるKDDIは、実は日々数多くのサイバー攻撃に狙われています。KDSecでは、KDDIが保有するネットワークやインフラ設備、クラウドサービス基盤への攻撃を監視・対処しており、サイバー攻撃のパターンや傾向などの知見やノウハウを蓄積しています。それを生かして、お客さまのIT環境を守るためのさまざまなサービスを提供しています」と話すのは、KDSecの代表取締役社長の菅 雅道 氏だ。
そのサービス内容は、セキュリティ調査・診断・コンサルティング、セキュリティ製品導入、セキュリティ監視・運用、セキュリティ教育・訓練に至るまで多岐にわたる。
すべての企業が無差別にサイバー攻撃を仕掛けられる時代
代表取締役社長
菅 雅道 氏
昨今、企業規模、業種、地域にかかわらず、あらゆる企業・組織がサイバー攻撃の標的となっている。攻撃者がいたずら半分に攻撃を行っていた十数年前とは異なり、今日では金銭や機密情報を狙ってサイバー犯罪者の組織化、分業化が進み、より高度な攻撃が展開されるようになった。
「RaaS (Ransomware as a Service : サービスとしてのランサムウェア) という言葉が出てきているように、技術力を持ったハッカーでなくても、お金を支払えばサイバー攻撃を行えるようになっています。こうした仕組みを通して無差別に攻撃が行われるため、何か対策をしていなければ必ず攻撃される、という危機感を持っていた方がよいでしょう」(菅氏)
菅氏が言うランサムウェアとは、PCを感染させてロックしたり、ファイルを暗号化して使用できなくし、それらを元に戻すことと引き換えに金銭を要求するマルウェアのことだ。ランサムウェアの増加を受けて、特に最近ニーズが高まっているのが、EDR (Endpoint Detection and Response) というジャンルの製品だ。EDR製品は、ネットワークに接続されているPC、サーバー、スマートフォンといったエンドポイントを監視して、攻撃を検知、被害を受けた端末の隔離、被害範囲の特定などを行うことができる。
「マルウェア感染を狙うメールは数年前に比べて非常に巧妙になっています。実在する人物の名前で届くため、誰でも開封してしまう恐れがあります。いくら教育や訓練を通してリテラシーを高める努力をしても、巧妙な攻撃メールの開封率をゼロにすることはできません。その前提で対策をしていく必要があるのです。EDRで監視しておくことで、仮に開封しても被害拡大を防いだり、状況を確認し適切な対応をとることが可能になり、ある程度は安心して利用できるようになります」(菅氏)
これに加えて、24時間365日体制で専門のセキュリティアナリストが監視する「マネージドサービス」を組み合わせて利用することで、お客さま側でのセキュリティ監視体制の整備や運用における負担を軽減できるとともに、セキュリティの専門家による最新の知見に基づいた対応がとれるようになる。
こうしたサービスを分かりやすい料金体系で提供しているのもKDSecの特長だ。
「セキュリティは、高級な料理店の『時価』のようなもので、簡単に手を出しにくい印象を持たれがちですが、KDSecはそうした慣習を打破していきたいと考えています」(菅氏)
お客さまに代わって、IT環境全体を監視する「マネージドセキュリティサービス」
KDDIとの連携で海外拠点のセキュリティも守る
グローバルな事業展開をする企業で問題となっているのが、海外の子会社やグループ会社が侵害を受け、そこを踏み台にして被害を受けてしまうケースだ。
「日本本社の守りを固めていても、海外拠点やサプライチェーンを構成するパートナーが攻撃にあうというケースもあります。結果として業務が止まってしまい、事業継続性を脅かすリスクとして重くのしかかっています」と、菅氏は警鐘を鳴らす。
こうした深刻化している海外現地法人・子会社のセキュリティ対策という課題に対しても、グローバルで通信事業を展開してきたKDDIのカバレッジを生かせることがKDDIグループとしての大きな強みとなっている。
KDDI執行役員 ソリューション事業本部 ソリューション推進本部 副本部長の丸田徹は、次のように話す。
「国ごとにデータ保護に関するルールは異なります。そうしたルールを知らずに違反してしまうことは、お客さまにとって大きなリスクです。私たちのようなセキュリティの専門家にご相談いただくことで、各国の各種法規制を遵守しながらセキュリティ対策ができます。KDDIの強みであるネットワークセキュリティに関するノウハウと、多様なセキュリティベンダーが提供している製品を適材適所で活用することで、お客さまにとってベストな選択をご提案できます」
執行役員 ソリューション 事業本部
ソリューション推進本部
副本部長
丸田 徹
DXを推進するための土台としてのセキュリティ対策
ランサムウェアをはじめとするサイバー攻撃への対応も喫緊の課題となっているが、コロナ禍を契機に一気に広がったリモートワークへの流れなど、働き方の変化に対応するためにもセキュリティへの投資は重要となっている。
「セキュリティの事故は、ほとんどがネットワーク経由で発生します。コロナ禍以前の主として社内で仕事をしていた時代は、ファイアウォールで囲まれた社内のイントラネットの中は『安全』だと言えましたが、ハイブリッドワークが当たり前になった今、どのようにして多層的に守っていくかが求められています」(丸田)
さらに、多くの企業がDXを推進するなかで、さまざまな業務でパブリッククラウドやSaaSサービスを利用したり、ネットワーク経由で取引先とコラボレーションしたり、クラウドやIoTを活用したビジネス変革を進めるようになっている。こうしたDXを進める際には、同時にセキュリティについて十分に考慮しておくことが不可欠だと丸田は指摘する。
「セキュリティは弱いところから狙われます。クラウドなどを利用してDXを始めようとするときに、十分なセキュリティ対策をしておかなければ、真っ先に攻撃を受けてしまうでしょう。セキュリティは『Nice to have (あればいい) 』と思われがちですが、そうではなく、DXを推進する際には必ず『Must have (必須) 』で考えておく必要があるでしょう」
また、菅氏も「サイバー攻撃者は、古いバージョンのソフトウェアの脆弱性を突いてきます。コロナ禍によりリモートワークが増えたときも、企業の古いVPNの口が狙われました。今後は、ある一定比率でセキュリティには投資をしていくべきだと考えています」と続ける。
何も信頼しない「ゼロトラスト」で、セキュリティを考える
アクセス権を持つ人が、どこからでも安全にアクセスできることがDXを推進する際の土台となるわけだが、それにフィットするセキュリティの考え方が「ゼロトラスト」だ。文字通り「何も信用しない」という前提に立って、システムやデータにアクセスしてくる人や端末を認証することで、脅威を防ごうというものだ。
KDDIとKDSecでは、ゼロトラストを構成するためのセキュリティコンポーネントやID認証基盤に加え、効率的なネットワークインフラやデバイスも組み合わせて提供することができる。
「製品ありきで、さまざまなツールを試していくというアプローチもありますが、それには多くの負荷がかかります。いつの間にか、DX実現という本来の目的と、ゼロトラストという手段がすり替わってしまう可能性もあります。そうした事態に陥らないよう、またいままで構築して活用してきた環境を生かしながら徐々にゼロトラストへ移行していくことが大切です。KDDIとKDSecでは、お客さま環境に応じたゼロトラスト移行のプロセスを支援していきます」(丸田)
そもそもDXとは、一人ひとりがよりよい働き方を実現して生産性を上げ、企業の業績を上げていくためのものだ。それをセキュリティ事故によってつまずかないようにするためにも、自社のセキュリティを改めて見直してみてはいかがだろうか。
- ※ IAM : Identity and Access Managementの略称。ID管理や認証、SSO、アクセスコントロールなどを行う。
- ※ SASE : Secure Access Service Edgeの略称。SaaSやオープン・インターネット上のサイトへの安全なアクセスを行う。
ゼロトラストの実現方法
