新しい働き方におけるセキュリティの考え方とは? - ガートナーが解説

short=

author=山本善之介

lead=テレワークやリモートワークの普及が進み、企業に求められるセキュリティは複雑化している。未来の働き方において知っておくべきセキュリティの要件について、ガートナー ジャパンが11月17日から19日にかけて開催したオンラインイベント「Gartner IT Symposium/Xpo 2020」から、「未来の働き方のためにCIOが知っておくべきセキュリティの真実」と題するセミナーの内容を紹介する。

テレワークやリモートワークの普及が進み、企業に求められるセキュリティは複雑化している。未来の働き方において知っておくべきセキュリティの要件について、ガートナー ジャパンが11月17日から19日にかけて開催したオンラインイベント「Gartner IT Symposium/Xpo 2020」から、「未来の働き方のためにCIOが知っておくべきセキュリティの真実」と題するセミナーの内容を紹介する。


|photo_center
|I@001.jpg,講師の矢野薫氏|


同セミナーの講師は、同社シニア プリンシパル アナリストの矢野薫氏が務めた。

矢野氏は、企業のデジタル化の進展により働く環境がどう変わるかに期待を示す一方で、未来の働き方におけるセキュリティの全体像が見えづらく、セキュアにできるのか不安を感じるCIOやIT部門担当者が多いのではないかと指摘する。


|photo_center
|I@002.jpg,セキュリティの3つのテーマ|


同セミナーのポイントは、IT部門でのセキュリティの活動について、従業員とセキュリティの関係について、経営者に対するセキュリティの訴求についての3点。

2020年は、リモートワーク元年と言える年だった。
なぜ、2020年のリモートワークがセキュリティにとって大きな意味を持つようになったかについて、矢野氏は「セキュリティが十分ではない状態にもかかわらず、多くの企業でリモートワークあるいはテレワークが、突然始まることになったからなんです」と解説する。
しかも、その対象は企業の中の一部ではなく、ほぼ全従業員を対象とするような広範囲なものだった。

同社にも4月から6月まで、リモートワークのセキュリティに関する問い合わせがかなり多く寄せられ、その多くは時間や予算が無いといった緊急性が高いものが多く、内容としても混沌としているものが多かったという。

7月以降も問い合わせは多く受けているが、少し様子が変わってきたと矢野氏は感じている。
「4月から6月がセキュリティに対する緊急対応だとすれば、7月から今に至るリモートワークのセキュリティに対する議論は、恒久的なセキュリティ対応といえます」(矢野氏)。

今回のリモートワーク普及は新型コロナウイルス感染症(COVID-19)のパンデミック(感染拡大)から始まったが、そもそも日本は2021年に東京オリンピック・パラリンピックを控えていることに加えて、元々自然災害が多いという特徴がある。
矢野氏は、「リモートワークやそのセキュリティを進めることは、企業のバリューや競争力に直結することにもなるのです」と説く。


|photo_center
|I@003.jpg,従来と今後のセキュリティの違い|


未来の働き方におけるセキュリティは、これまでのセキュリティとは大きな違いがあると矢野氏は指摘する。

これまでのセキュリティは、矢野氏によると「What」、すなわち何をやるべきかを追求する議論が主流だったという。
ベストプラクティスや他社事例が重視される背景には、このWhatの一覧が容易に入手できるメリットがあったと矢野氏は語る。

しかし矢野氏は、今後のセキュリティではベストプラクティスや他社事例があまり使えないかもしれないと指摘する。
その理由は、Whatではなく「How Much」、どのくらいやればセキュアになるのかを追求していくのが今後のセキュリティの活動なのだという。

また、新しい働き方ではその形は会社によって異なり、扱うデータや業務も異なり、従業員のセキュリティに対する認識度合いも異なるため、他社のベストプラクティスをそのまま適用するのは難しいとのことだ。


|photo_center
|I@004.jpg,新しいセキュリティの4つのポイント|


では、従来の手法が通用しないこれからのセキュリティにおいて、何をすればいいのだろうか。

その議論の前に、今後のセキュリティではベストプラクティスも他社事例も通用しないとのコンセンサスを取ることと、セキュリティの議論の領域を最初に定義することが重要だと矢野氏はいう。
コンセンサスとは、従来の情報漏洩対策に加えて、成りすましや不正侵入、業務の阻害といったポイントも含めて議論すべきということだ。


|photo_center
|I@005.jpg,新しいセキュリティの全体像|


矢野氏は、新しいセキュリティではセキュリティと利便性のバランス調整が肝要であり、その調整の前段階として、セキュリティの最小要件を実装しておく必要があるという。
セキュリティの最小要件として矢野氏は、ユーザー認証、アクセス制御、データ保護、脅威分析の4点を挙げる。


|photo_center
|I@006.jpg,ユーザー認証の要件|


1点目のユーザー認証では、今後は2要素認証が前提になると矢野氏は説く。

2要素認証として固定パスワードにワンタイムパスワード(OTP)を加えて運用している企業もあるが、難しさを感じているケースもあるのではないだろうか。
しかし矢野氏は、少しテクノロジーに特化した認証技術を使えば、ユーザーの負担を減らせる可能性があるという。

具体的には、例えばスマートフォンへのプッシュ通知を使った認証や、顔または指紋といった生体認証などだ。
2要素認証は、従来はIDaaSと呼んでいたSaaS Delivered IAMの領域が該当し、プッシュ通知や生体認証には専門のベンダーの技術が既に存在するので、「テクノロジーを活用した新しいユーザー認証の技術的な評価を、今からすぐ始めてください」と矢野氏は呼びかけた。


|photo_center
|I@007.jpg,アクセス制御の要件|


2点目のアクセス制御について、従来はIPアドレスの指定やデバイス個々の識別により実現しており、これらは今後も重要だと矢野氏はいう。

これらに加えて上層のレイヤーである、アプリケーションレイヤーとユーザーレイヤーでもアクセス制御の実装が必要とのことだ。言い換えれば、ユーザーの権限管理となる。
具体的には、個々のユーザーに付与する権限を業務に必要な部分のみに限定する、すなわち最小権限の法則の適用だ。

「アクセス制御についてはネットワーク、デバイス、アプリケーション、ユーザー、この4つのスタックがちゃんとカバーされていることを、今から確認してください」(矢野氏)。


|photo_center
|I@008.jpg,データ保護の要件|


3点目のデータ保護について、既に通信やストレージの保護といった形で実施している企業は多いのではないか。

矢野氏は、これらも引き続き重要ではあるが、今後は保護すべき領域がクラウドやモバイルなど多様化していくため、ルールの徹底や実際の保護が重要視されると解説する。
そのような保護は既に利用可能だが、データ制御の機能を本格的に使うと、ユーザーには相当数のアラートやメッセージ、通知が送られてくると矢野氏は指摘する。

アラートなどにはユーザー自身が対処する必要があるが、その意味するところはユーザーがルールを知らなければわからないため、データ保護で最も問題になるのはツールの部分ではないという。
矢野氏は、「従業員の人たちがセキュリティ面でちゃんとキャッチアップできているか、こういったところが見ていくポイントとして最も重要になってきます」と解説した。


|photo_center
|I@009.jpg,脅威分析の要件|


4点目の脅威分析では、すべきことは操作ログの取得と異常の検知だという。

このうち異常検知にはCASBやSIEMといったツールを使用でき、従来は担当者の勘に頼っていたような部分を、よりシステマティックに、より合理的に進められるような、アナリティクスのエンジンを持つ製品が多く存在すると矢野氏は紹介する。

「こういったテクノロジーをもっと深く追求することで、よりセキュリティの運用が汎用的になったり属人化を防げたりといったところも見据えることができるので、テクノロジーの評価を今から始めてください」(矢野氏)。


|photo_center
|I@010.jpg,定量的な観測の必要性|


これら4つのセキュリティの最小要件を満たしたところで、ようやく程度の話ができるようになると矢野氏は語る。
「これからのセキュリティでは、私たちはいろんなものをある程度、数値化した状態で、セキュリティの情報を把握できるような環境というものが、これまで以上に大事になってくるんです」(矢野氏)。

とはいっても、難しい話ではないという。
セキュリティの最小要件を満たすツールを導入すると、それぞれのツールがダッシュボード機能を備えている場合がほとんどであり、それらを統合すればいいとのこと。
矢野氏は、その統合もSIEMの機能により実現できると説く。


|photo_center
|I@011.jpg,セキュリティの程度の決定|


セキュリティの程度を数値化すると、例えばルール不足や無駄なルールが見えてくると矢野氏は語る。
その上で、強いものは弱くし弱いものは強くするというセキュリティの調整が必要となり、その指標はセキュリティのこれまでの実測値であり、これが新しいセキュリティの目標値になるという。


|photo_center
|I@012.jpg,転換期にあるセキュリティ|


セキュリティの状況を数値化しチューニングしていくことが今後は重要になるが、難しく感じる必要は無いと矢野氏は説く。

例えば、ゼロトラストの実装においてトラストを上げていくことが今後のセキュリティの主な活動になるが、それと全く同じ話だとのこと。
セキュリティの程度に関するHow muchの部分は、既にセキュリティ担当者がStudyを始めているのではないかと指摘する矢野氏は、「『難しい』『こんなの無理』といった先入観は一旦置いておいて、『こういうことができないのか』『どのぐらいがうちの会社のセキュリティレベルに最適なのか』をどう見たらいいのかという内容について、ぜひ、CIOの皆さん、IT部門の皆さん、セキュリティの担当者の方々とも、会話を今日から開始してみてください」と呼びかけた。


|photo_center
|I@013.jpg,従業員とセキュリティの関係性における現状と課題|


続くテーマは、従業員とセキュリティの関係性についての解説だ。

矢野氏は、従来のセキュリティ対策はIT部門がやるものという前提があり、これまでの企業の活動は従業員に対する啓蒙や教育に多くを割いていたのではないかと指摘する。
しかし、そこには課題があり、従業員に真の意味でセキュリティを理解させるには、ちょっとした工夫が必要だという。

従業員へ単にルールを強制しても反発を招くため、なぜ必要なのかの理由付けが求められるとのことだ。
既にそうした活動を実施している企業もあり、主な手法としてはテクノロジー面からきちんと説明するというものだが、一般従業員には難しい話なのではないかと矢野氏は指摘する。
従業員の最大の悩みは、「自分たちだけが割を食っているのではないか」という疑念だとのことだ。


|photo_center
|I@014.jpg,セキュリティにおける従業員との新たな関係|


それを払拭するには、会社全体としてどのようなセキュリティ対策を実施していて、その中で従業員が担うのはどの部分なのかといった、全体感のある説明だという。

その際にキーとなるのは、それぞれの役割の説明だと矢野氏は解説する。
IT部門はセキュリティ対策において多くの部分を日常の業務として担っているが、従業員はこれまで説明を受ける機会が無かったため、あまり理解していないとのことだ。

矢野氏は、役割ごとにセキュリティの説明をしていく工夫が肝要だと説く。
目指したい形としては、従来の上意下達型ではなく、会社と従業員が横並びでそれぞれの役割を全うするという、新しい形の関係性をきちんと目にできるように示すことだという。


|photo_center
|I@015.jpg,ビジネスと環境の不整合|


最後のテーマは、経営者に対するセキュリティの訴求についてだ。

コロナ禍により、セキュリティ対策が十分ではないのにテレワークやリモートワークを始めざるを得なかった企業が多いが、それは働き手だけの問題だったのか、あるいはCIOやIT部門だけの問題だったのかと矢野氏は問いかける。

矢野氏は、環境が未整備でセキュリティの対処が不十分だったのにビジネスを継続しなければならず、その方法がリモートワークだったのではないかと指摘する。
これは、環境とビジネスの不整合が生じていたという問題であり、必ずしもセキュリティだけの問題ではなかったとする矢野氏は、未来の働き方におけるセキュリティを考える場合、今後もこのような議論が多く起こるのではないかという。

セキュリティの担当部門ができることは、例えばセキュリティをきちんと実装してセキュアな状態を作っていくことであり、それが別の理由で間に合わないのであれば、ITではなくビジネスとリスクとして消化していく必要があると矢野氏は指摘する。
しかし、その切り分けは経営層はやってくれず、CIOやIT部門、セキュリティ担当者の役割だと矢野氏は語る。

コロナ禍初期のような緊急事態が再度発生した場合、どう対処すればいいのか。
矢野氏は、緊急事態下のセキュリティにおける例外的な対応の大原則は、例外処理の範囲を極力狭めることだという。
具体的には、全従業員を対象とするのではなく、本当に必要な最小限の人数または範囲に最少化しておくことが、IT部門やセキュリティ担当者が経営層に進言できる内容だと矢野氏は指摘する。
「このような形で、セキュリティの部分をセキュリティなりスクと経営的なビジネス上のリスクの2つに区分していくこと、この見極めができることが、今後のセキュリティを考えていく上で私たちに課せられた大きなチャレンジとなります」(矢野氏)。


|photo_center
|I@016.jpg,セミナーのまとめ|


矢野氏はセミナーのまとめとして、従来のセキュリティ対策はWhatを追求するものだったが、今後のセキュリティではどのくらい実行すればセキュアになるのかという程度が問題となり、セキュリティ担当者の多くは既にスタディを始めていると語る。
そして、「ぜひ、現場のセキュリティの方々と話してください。そして、今日お話しした4つのセキュリティの最小要件も忘れずに見直してください。そうすれば、私たちの今後の新しい未来の働き方、新しい世界は、きっとかっこよくスマートで、セキュアなものになると思います」と締めくくった。



;;link;;
/article/20201110-1478485/

/article/20200820-1236468/

/article/20200619-1060867/

/article/20200424-1023129/

/article/20200330-1007165/


;;site;;
ガートナー ジャパン
https://www.gartner.com/jp/

ニュースリリース
https://www.gartner.com/jp/conferences/apac/symposium-japan