セキュリティ脅威の最新動向、ゼロトラストとは？

人々の働き方が大きく変わる中、サイバー攻撃の被害は深刻化の一途をたどっている。個人情報の流出のみならず、業務停止やサプライチェーンの混乱など、その影響が拡大するなかで、いま、企業の経営者はセキュリティとどう向き合うべきなのか。サイバーディフェンス研究所 専務理事/上級分析官の名和 利男 様と、KDDI ソリューション推進本部  ゼロトラスト推進部  副部長 藤田 英世に、経営層が講じるべき具体的アクションについて語ってもらった。

――働き方の多様化が求められ、さまざまな場所で働くことができる仕組みが整ってきましたが、それに伴いセキュリティの脅威は着実に増してきました。サイバー攻撃によってサプライチェーンの停止や業務継続が困難になるケースも多々見受けられます。こうした状況を踏まえ、いま企業の経営陣が認識すべきセキュリティの最新動向について、教えてください。

そして、このような攻撃を経験した企業ほど「ゼロトラスト」の重要性を感じています。「ゼロトラスト」とは「すべてを信頼しない」という考えの下、セキュリティ対策を行うという概念を指しており、「境界内部は安全、外は危険」という従来の考え方とは一線を画します。クラウドサービスの利用やテレワークの増加など、社内外の境界線を引くことが難しくなる中で、「ゼロトラスト」によるネットワーク構築が重要性を増しています。

――現在の日本企業のセキュリティに関する認識についてはどのように見られていますか。

名和様　今でも、10年や20年前のコンプライアンス規定やガイドラインに準拠していれば安全、と思い込んでいる日本の経営者が非常に多いと感じます。

会社として、セキュリティに対する姿勢も問題です。情報システム部の敵は、本来は攻撃者であるべきですが、自社の事業部門が敵になっている企業も散見されます。事業部門が扱うサービスやプロダクトにセキュリティが原因とされるインシデントが起きても、ネガティブな情報が社内外に広まることを恐れて、情報システム部門には全く情報が共有されないケースも少なくないのです。情報システム部が会社を守りたいと思っていても、守らせてくれない状況があると言っても過言ではありません。

現代はインシデント一つひとつの影響範囲が甚大化しています。サイバー攻撃を発端として倒産や事業撤退した企業は少なくありません。情報システム部門だけでなく、経営者や事業部門にこそ、ゼロトラストやセキュリティに関する理解を深め、委託先やサプライヤーも含めてゼロトラスト導入を推奨いただくべきと考えます。

――KDDI では早々に「ゼロトラスト」の概念を取り入れ、セキュリティに関する変革を行ったとのことですが、その背景と概要について教えてください。

三つ目が、サイバー攻撃の高度化への対応です。弊社ではゼロトラストモデルの「セキュアPC (注2) 」を全社導入し、未知の攻撃にも対応できるようにしています。セキュア PCはコロナ禍前から導入計画を立てており、ちょうど準備ができたところでコロナ禍となったので、結果として一気に全社展開することになりました。

――「ゼロトラスト」は比較的新しい概念であることから、誤解を招きやすい側面もあると思います。「ゼロトラスト」を正確に理解する上で、経営者が押さえるべきポイントは何でしょうか。

名和様　KDDI 社のようにコロナがセキュリティ対策を加速させた事例は、日本国内でもよく見受けられます。しかし、そのやり方は二極化しています。旧来のやり方を踏襲している企業も多いのです。

システムを変えるということは、その上で動いている「業務プロセスも変える」ということ。それを理解していない経営者から「そこまでは聞いていなかった」「ソリューションを導入すれば実現できると思っていた」といった声を聞いたことがあります。プロセスを変えるには強い覚悟が必要ですが、それを実行しなければゼロトラストの仕組みを導入しても効果がなくなってしまうのです。

――「ゼロトラスト」の実現には、どのようなポイントを意識すべきでしょうか。

藤田　前提として、ゼロトラストはあくまで手段です。その先にある目的を最初に明確にしておくことこそが重要です。その上で、ゼロトラスト実現に向けたポイントは3つあると思います。

一つ目は、ゼロトラストが経営課題であると認識すること。セキュリティの事故が発生すると、レピュテーションが大きく崩れたり、サプライチェーンに影響が出たりします。弊社では社長が「KDDI新働き方宣言」という形で声明を出しました。この宣言を実行するにあたり、どのような環境が必要で何に取り組むべきかということを検討した結果、ゼロトラストの考え方に行き着いたわけです。経営層の一声は非常に重要であると考えます。

三つ目に、ゼロトラストは一つのプロダクトやサービスで完成できるものではありません。企業によっては、段階的な導入をせざるを得ない場面もあるでしょう。手前味噌ですが、弊社は自分たちでゼロトラストを作り上げた実績がありますので、お客さまの環境にあわせてゼロトラストへの道のりを伴走するコンサルテーション、ロードマップ作成支援を行っています。

――経営者が今後、セキュリティとどう向き合い、どのような経営アクションにつなげるべきか、総括とメッセージをお願いします。

名和様　2011年に発生した東日本大震災の後、いくつかの企業は防災対策へ湯水のようにお金を使い、訓練もきちんと行いました。また、日本では消防法に基づいて現場の従業員が資格を取り、消防訓練をすることが一般的であるなど、他国と比べると過剰にも見える対策をしています。ただ日本人は、地震や火災が多くの人命を奪うことをどこの国よりも知っている。だからこそ、強制的に防災の勉強をさせたり、防災対策の仕組みを導入させたりするのです。

ここから言えるのが、「想像力」の大切さでセキュリティも同じです。特に、リスクマネジメントにおいては、意思決定者の想像力が非常に重要だと言われています。ネット上に出ているインシデント報告は氷山の一角であり、ヒヤリハットを含め日々相当数のインシデントが発生しています。セキュリティに関しても自分の家族、従業員、お客さま、株主が被害に遭う、会社の利益が吹っ飛ぶことを自分ごとに感じることによって、もっと強化されると思います。

藤田　昔はサイバー攻撃というと、その標的は国家機関や大手企業に限られていました。しかし、最近のニュースをみると、中小企業もターゲットにされているので、誰もが標的になり得ることを肝に銘じる必要があると感じます。

また、繰り返しとなりますが会社としてセキュリティ対策の強化に取り組む際は、人事制度や働き方の変革という点でトップから号令を出すことが重要だと思います。その中の一要素として、ゼロトラストやセキュリティがあるという見せ方こそが、ゼロトラスト成功のための第一歩になるはずです。