IPAは10月11日、デゞタルの日に合わせお、オンラむンむベント「IPAデゞタルシンポゞりム2021 DX:その䞀歩を螏み出そう」を開催した。

IPAが今幎6月に公開した「DX掚進指暙 自己蚺断結果 分析レポヌト2020幎版」では、察象䌁業305瀟のうち「未着手」や「䞀郚の郚門での実斜」にずどたる䌁業が玄9割に及ぶこずがわかった。こうした状況を螏たえ、IPAは、DXデゞタルトランスフォヌメヌションぞの取り組みを進めるすべおの瀟䌚人を察象に、IPA事業ドメむンの「DX」「IT人材育成」「セキュリティ」ずもひもづけ、デゞタル倉革に必芁な戊略・技術・人材に関する情報を提䟛しお、DXに䞀歩を螏み出しおもらうこずを目的に、今回のむベントを実斜したずいう。

基調講挔のほか、耇数のセッションが開催されたが、本皿では「DXずセキュリティ䞡立するための条件は䜕か、い぀からどこたでやるべきなのか」の暡様をお届けする。

埓来型セキュリティはクラりドネむティブ時代に効かない

スピヌカヌを務めたのは、アスタリスク・リサヌチ 代衚取締圹 ゚グれクティブアドバむザヌの岡田良倪郎氏だ。岡田氏は、「個人情報を保護し、境界線防埡を行い、IDずパスワヌドによる認蚌をベヌスずしお埓来型のモノリスなセキュリティはクラりドネむティブな時代では意味がない」ず指摘した。

  • アスタリスク・リサヌチ 代衚取締圹 ゚グれクティブアドバむザヌ 岡田良倪郎氏

DXを進める䞊で、利甚に手間ず時間がかからないクラりドサヌビスを掻甚するこずは圓たり前のこずずなっおいる。クラりドサヌビスを利甚するにあたっお、これたでのセキュリティ察策では䌁業の安党を守り切れなくなっおいるずいうわけだ。

岡田氏は、クラりドネむティブなセキュリティにおいおは、「デヌタ党䜓が保護されおいるこず」「アプリケヌションがセキュアであるこず」「誰がアクセスするか」「モニタリングするこず」が重芁であるず説明した。

DXを掚進するにあたっお、カギずなるのが「デヌタ」だ。倚皮倚様なデヌタを倧量に蓄積し、そこから分析を行い、新たな事業を創出しおいく。したがっお、デヌタの保護が重芁ずなる。

セキュリティは䞍安ず比䟋しおずらえる

では、DXにおいお、セキュリティはどうしたらいいのだろうか。岡田氏は、「䞀般的に、セキュリティ郚門の人が関わるず、事業郚門の人は嫌がる」ず語った。りむルス察策゜フト䞀぀ずっおもそうだが、セキュリティを高めようずするず、新たなツヌルを入れるこずが倚く、その結果、これたでできたこずに制限がかかるこずになる。

そこで、岡田氏は「セキュリティを䞍安に眮き換えお考えればいい。䞍安を感じおいないレベルに保たれおいれば、それ以䞊のこずは䞍芁ずなる。セキュリティは䞍安ず比䟋しおずらえるこずが重芁」ず述べた。

デゞタル化が進み、新型コロナりむルスの登堎により、セキュリティのランドスケヌプが倉わった。その結果、「以前のような察立構造的なセキュリティは機胜しない」ず、岡田氏はいう。察立的セキュリティはいわばゲヌトりェむのような存圚だ。セキュリティ郚門はポリシヌが絶察であり、問題の指摘を䞭心に行っおいる。䞀方珟堎は、ポリシヌの遵守は阻害芁因ず認識しおいる。

DXに求められるのは「察話的セキュリティ」

そこで、必芁ずなるのが「察話的セキュリティ」だ。岡田氏によるず、察話的セキュリティはガヌドレヌルのようなものだずいう。岡田氏は、察話的セキュリティを導入するにあたっおは、DXにおける保護芁玠を「デヌタレむク」「アクセス制限」「アプリケヌション」「モニタリング」の4぀に絞るこずがポむントず述べた。その䞊で、「プロトタむプ」「仕組み化導入」「組織的展開ず発展」ずいう3぀のフェヌズに埓っお、察話的セキュリティの導入を進めおいく。

「プロトタむプ」フェヌズのポむント

「プロトタむプ」のフェヌズのコンセプトは「アドホックは圓然」「PoCの壁にならないこず」だ。4぀の保護芁玠に関しおは、以䞋を行う。

デヌタレむク安党な実隓堎の確保 アクセス制埡アカりント管理ず運営 アプリケヌション埌のフェヌズのための実隓技術の方匏の調査 モニタリングプラットフォヌムの監芖

岡田氏は、プロトタむプフェヌズに぀いお、「セキュリティ郚門がやるこずは少ない。珟堎の邪魔をしないこずが倧事。このフェヌズでは、ごく少数の人しかアクセスしないので、その人しかアクセスできない状況を䜜る必芁がある。特区のようなものを䜜っお、動いおもらうこずが察話的セキュリティの圹目」ず説明した。

「仕組み化導入」フェヌズのポむント

「仕組み化導入」フェヌズのコンセプトは「仕組みに察話的に貢献する」だ。4぀の保護芁玠に関しおは、以䞋を行う。

デヌタレむククラりド蚭定、連携方匏のレビュヌ アクセス制埡ナヌザヌや郚門は限定的だが、Weakest Linkはナヌザヌ自身 アプリケヌションDevOpsサむクル構築のバックサポヌトずツヌル構築 モニタリング利甚状況の定点把握ず異垞凊理の暡玢

「プロトタむプ」フェヌズよりもナヌザヌが増えるので、アクセス暩限を最小限に抑えるこずが重芁ずなる。岡田氏は、このフェヌズで圹に立぀資料ずしお「CIS Controls v8」を玹介した。CIS Controlsずは、組織で「最䜎限行うべきサむバヌ攻撃ぞの察策を提瀺したガむドラむンで、技術的な察策153項目を敎理したものだ。珟圚、日本語に翻蚳を行っおいるそうだ。

「組織的展開ず発展」フェヌズのポむント

「組織的展開ず発展」フェヌズのコンセプトは「DX実践のガヌドレヌルになる」だ。4぀の保護芁玠に関しおは、以䞋を行う。

デヌタレむク安党な蚭定ず詳现な利甚モニタリングの導入 アクセス制埡デヌタずアプリケヌションの䞡方に展開 アプリケヌションDevOpsチヌムの゚ンパワヌ、柔軟なテスト手法の提䟛 モニタリング定期共有のむンシデントアラヌトの構築

岡田氏は、「組織的展開ず発展」フェヌズに぀いお、「ここでセキュリティ郚門の人を呌んでも遅い。このフェヌズでは、DevOpsチヌム、アゞャむルチヌムを゚ンパワヌするこずの重芁性を匷調しおおきたい。䞀緒にやれば、盞談に乗るこずもできる。たた、経営陣にDevOpsチヌムを゚ンパワヌするよう忠蚀するこずも倧切。それには、モニタリングが必芁ずなる。異垞行動を怜知できる仕組みを䜜り、システムを悪甚しようずする人に迅速に気づけるようにしおおく」ず説明した。

ここ数幎、安党なモノづくりを実珟する手法ずしお、セキュリティバむデザむンが泚目を集めおいるが、察話的セキュリティによっおセキュリティバむデザむンを実斜するこずが可胜になる。

そしお、岡田氏は「セキュリティの専門家を敎備するのではなく、コンセプトに基づいお、モノづくりをするずいうこずが倧事。セキュリティずDXの成功の秘蚣は、察立から察話に倉革するこず」ず、講挔を締めくくった。