DAY3のパネルディスカッションでは「2021年に繋がる情報システムの次の一手とは?」をテーマに モデレーターとしてアスタリスク・リサーチの岡田 良太郎氏を、またゲストには伝説の一人情シスとして知られ「ひとり情シス虎ノ巻」著者である 黒田 光洋氏、元内閣官房のサイバーセキュリティセンター員を務めた東京電機大学 CySec Pro講師 CISSP 伊藤 潤氏を迎え、MOTEXのCISOである中本 琢也との4名で、2021年に繋がるテクノロジーや考えについて、それぞれの立場で意見交換が行われた。
COVID-19が引き起こした革命的変化について
岡田氏は、このパネルディスカッションのミッションは、2020年を振り返りつつ、2021年に備えることだと設定し、まずはCOVID-19対応で急激に拡がったテレワークの取り組み状況について尋ねた。
従業員600名ほどの規模の組織で一人情シスを担う黒田氏は「フリーアドレスが始まった時にノートPC1つで仕事ができるように変えてきていました。そのため、急にテレワークになっても割とスムーズに移行できましたが、従業員によっては苦労している方もいるようです」と個人ごとに差があると述べた。
伊藤氏の職場では、2年前にコミュニケーションツールをOffice365に変えたタイミングをきっかけにリモートワークはすでに実施していた。それでも、情勢の変化により「この4月以降はリモートワークになったことで移動時間が無くなったため生産性が上がっている」と説明した。
こうした変化の中で、システム面で推進しやすくなった点はあったのだろうか。中本は「緊急事態宣言で出勤しないと決まってからは、いろんなものの導入が早くなりました。例えばパソコンが無いとなったときは、次の日にAmazonのWorkSpacesを準備するスピード感になった」と振り返る。
さらに、伊藤氏はクラウドサービスの導入増加は、まさにCOVID-19が引き起こした革命だとし、「今まではPCの持ち出しすら御法度だったり、クラウドは危険という話もありましたが、今となっては一切なく、むしろリモートワーク全体でどうセキュリティを高めるかという議論に移りました」と述べた。
黒田氏は、かつて組織的にハードルが高かったクラウドの利用が急激に変化した要因に、リモートワークで社内システムに繋ぐ回線が渋滞してしまったことがきっかけだったと述べる。「コミュニケーション系をクラウド化したことで、半分ぐらいは社内に接続しなくても仕事ができてしまうようになった」
2020年乗り越えたセキュリティ面での困難とは?
そこで、岡田氏はこのような状況下でのシステム対応の足かせになった点について問いかけた。
中本は「全社員でビデオ会議を使って行う全体会議でネットワークが重すぎて使えなくなるという課題があった」と振り返った。伊藤氏は、この期間のセキュリティ侵害の大きなニュースとして、放置されていたVPN装置の脆弱性を悪用するものが挙がっていたことを取り上げながら、「VPNを十分持っていない組織が、利便性のためリモートデスクトップをインターネットに公開してしまうというさらに危険な手段をとった組織もありました」と指摘した。
また、これらネットワークセキュリティの課題に対し、既存のレガシーなシステムからクラウドサービスへの移行なども実施した組織も多く見受けられた。
「攻撃者は脆弱性を狙ってくる。レガシーシステムは脆弱性が残っていることが多いので、可能な業務をクラウドサービスに移していくことで、脆弱性対策はサービス提供ベンダーにしっかりやってもらう方が効率的であることが明らかになってきた」と伊藤氏はいう。
それでも、社内の対応リソース面での苦労は大きかった。リモートワーク対応のため情シスの業務が切迫する中、どのように機動性を確保したのだろうか。「まず業務を止めないことを最優先にして、優先順位を付けながら各種対応を進めました。また、緊急事態宣言が出てから毎日2回、社長を含めた本部長会議を行い、その日出た問題はその日のうちに解決するようにしました。これが非常に心強かった」と中本は述べる。黒田氏は一人情シスという限られたリソースの中でも、全体を把握することや、それに基づいて迅速に判断できることの大切さを示した。
COVID-19対応の経験をとおした変化として、単なる一辺倒の防御から、セキュリティの優先順位づけ、重み付けを踏まえた、リスクアプローチの浸透が期待される。「リスクに対応する時は優先度が重要ですね。本来セキュリティ対策はリスクベースでやらないといけないのですが、今までの日本はISO27001というチェックリスト型のセキュリティ対策を実施してきました。チェックリストベースだとやることが非常に増える。そのため、ややもすれば形骸化しがちだ。しかし、リスクベースだと本気でやるべきポイントを見つけ出し、適切な対応をとることができる。これは、ひいてはリソースの効率化にも繋がる」(伊藤氏)
2021年 どうなる?対応できる情報システムとは?
2020年の経験を振り返り、黒田氏は「今回のコロナの件で、いざというときにベンダーに頼っても手が回っていないせいか助けを得ることができなかった。自分たちで何とかしないといけない場面があった」と述べ、今後は内製化が進むのではないかとした。
続けて伊藤氏は外部環境のリスクが高まってきていることに対して、情シス自身が責任を持ってやる部分と、クラウドやベンダーに任せる部分との棲み分けを明確化すること、そうして限られたリソースでいかに効率よく対応するかが重要だと述べた。
今後、やめるべきこと・強化・挑戦していく点についてはどうだろうか。「こういう時期だからこそ、資産管理や個人認証などベースの対策をしっかりするべきだ」と黒田氏は話す。そのためには情シスがもっと力を付けていかないといけない。柔軟に対応する考え方の変化も重要だとした。
また伊藤氏も、在宅勤務が進む中で「端末管理は、端末1台1台が管理対象になること」を挙げた。これは労務管理の面からも重要だ。中本もリモートワークの環境においても「エンドポイントの構成管理やパッチ管理が大事」と述べ、あわせて「在宅勤務の課題の一つである労務管理に対して、操作ログを活用することもできる」と加えた。
パネリストから皆様への提言「次の一手」
ディスカッションの最後に、岡田氏は、パネリストに「すぐ行える次の一手」を尋ねた。
黒田氏
「物事を学ぶ時に、まずはこれからどうなるのかをロジカルに考えたり、こういった外部セミナーを聞いたりして沢山情報を集めたりすると自然に学ぶべきコトが見えてきます。様々な情報をメモして見返すと、目的ややるべきコトが見えてくると思います」
伊藤氏
「2014年に初版が出版されたNISTが出したサイバーセキュリティフレームワークという書籍を教科書にしているのですが、そこにはサイバーセキュリティリスクは脅威と脆弱性によって成立すると書かれています。ユーザーとしては攻撃者を捕まえることはできないので、脆弱性を如何に守るかということになります。さらに脅威も理解する必要があります。ランサムウェアがどのように攻撃してきたかを過去の事例から学んでいって欲しいと思います」
中本
「ぜひ、チームのみんなと次の一手は何が良いのかを話し合ってみて欲しいです。我々も情シスのメンバーで、我々が考える最強のインフラをブレストしました。その上で、じゃあ次の一手をどうするのかを議論してみてはいかがでしょうか。それを進める上で、世界が変わってきていますので、自分や自社だけでなくコミュニティに参加してみると、新しい気づきがあると思いますので、ぜひ情シスという輪で繋がっていければと思います」
関連する記事