企業がDXを加速し、デジタル技術でビジネス変革を進める一方、それを上回る勢いでサイバー攻撃が高度化し、ゼロデイ攻撃やランサムウェアといった新たな脅威がリスクとなっています。

　2021年6月3日に「DX時代のサイバーセキュリティのあるべき姿とは」と題して開催されたオンラインセミナーでは、DX時代のサイバーセキュリティ対策のあるべき姿と、リーダーが持つべきマインドセットについて、サイバーリーズン・ジャパン株式会社 執行役員副社長 渡部洋史氏をモデレーターに、株式会社サイバーディフェンス研究所 専務理事/上級分析の名和利男氏、慶應義塾大学 政策・メディア研究科 特別招聘教授の夏野剛氏、伊藤忠テクノソリューションズ株式会社（以下、CTC）常務執行役員（2021年3月まで3年間 CIOを兼任）の原口栄治の3名によるパネルディスカッションが実施されました。

　本記事では、企業経営、セキュリティ、ITの専門家たちで交わされたディスカッション内容の一部についてレポートします。

▼ 目次
・「2025年の崖」を契機に日本企業がDXを進めている中、サイバーセキュリティへの取り組み状況とは
・過去の常識にとらわれず、目の前の脅威をゼロから可視化
・グローバルのセキュリティ対策は「性悪説」で証跡を残す
・セキュリティ対策製品の運用のポイント
・変化に対応する柔軟性と、最新テクノロジーの活用

1. 「2025年の崖」を契機に日本企業がDXを進めている中、サイバーセキュリティへの取り組み状況とは

　株式会社KADOKAWAや株式会社ドワンゴの代表取締役社長であり、数多くの社外取締役を務めてきた夏野氏は、セキュリティを専門家任せにしている企業が多いと指摘します。

　「現場から上がってきたインシデントには逐次対応するものの、そこで終わっている印象です。セキュリティインシデントが発生した際、経営層は社内の仕組みや人的要因に意識を向け、適切なマネジメントでセキュリティ全般に関与していく必要があります」（夏野氏）

　一方CTCの原口は、「DXの加速は、セキュリティと表裏一体」と語ります。DXによって起こる進化は、攻撃者にも有利に働いている側面があります。コロナ禍でリモートワークが増えて働き方が多様化するとともに、攻撃者側にもセキュリティの穴を見付けやすくなりました。クラウドが普及して社内と社外の境界線が曖昧になってきたことに加え、RaaS（Ransomware as a Service）など攻撃者が使うサービスの登場などにより、攻撃スピードも加速しています。境界防御からゼロトラストに移行し、未知のウイルス対応、EDR（エンドポイントでの検出と対応）、イベント管理のSIEMを活用した検知/対応を重視する時代になっています。

　セキュリティ対策のプロである名和氏も「DXが加速して、攻撃者は喜んでいる」と実感しています。海外の地下組織ではハッカーたちが腕を磨く競技会や、システムの脆弱性を見つけてそれを武器化するコンテストが開催され、日々攻撃レベルを高めているため、企業はこれまで以上の努力をしなければ安全を維持できないことを念頭に対策を進めるべきです。

2. 過去の常識にとらわれず、目の前の脅威をゼロから可視化

　DXとセキュリティ対策の両立に向けて必要なマインドセットとして、原口は以下の5点を挙げました。

1. DX(クラウド化）とセキュリティは表裏一体
2. 正常性バイアス（自社は大丈夫という思い込み）は危険
3. 侵入されることが前提で対応
4. すべてを単独で防御することは困難：専門家との連携も視野に
5. 導入と維持は別物：運用や見直し・改善が肝要

　これらへの対応として、まずは自社のリスクを的確に把握し、次に攻撃からの回避/低減策を講じます。ウイルス感染や不正アクセスの被害に遭ってしまったら、端末をネットワークから隔離、セッションを遮断するなど影響範囲を最小限に抑え、感染/侵入経路や被害状況を調査します。

　名和氏は「目の前の脅威に対してゼロから可視化していくマインドセットも大切です」と、攻撃は常に変化するため、過去の常識にとらわれることなく行動を変える必要性があると語ります。

　また夏野氏は「セキュリティ対策は企業活動の一部という意識を超えて、会社全体を守っているという誇りを持って欲しい」と強調します。

3. グローバルのセキュリティ対策は「性悪説」で証跡を残す

　DXを推進する日本企業は海外にも積極的にビジネス領域を拡大しています。グローバルな競争力を高めながらセキュリティ対策も進めるために、経営層・リーダーはどのような意識を持てばよいでしょうか。

　名和氏は「すべてにおいてドライに考えるべき」と主張します。これまで日本企業は、信頼関係を高めることを重視してきました。しかし、海外のセキュリティインシデントの事例を見ると、従業員や協力企業などの内部犯行によるサイバー攻撃が増えています。

　「セキュリティ対策に限っては、従業員の行動を信じないで割り切って対応しなくてはなりません。監視カメラやIT技術の活用、帳簿の厳格化などで行動を可視化し、後戻りができないトラブルに陥らないよう、証跡を確保することが必要です」（名和氏）

　今やセキュリティに関して、経営者やリーダーの不作為は許されません。重大インシデントを起こしたために、株主代表訴訟を起こされた企業も出てきています。こうしたリスクを回避するために、原口はリーダーが実行するべき3箇条を挙げています。

1. 情報セキュリティ管理体制の構築：ISMSやISO/IEC27001認定の取得
2. クラウドサービスの利用：特性を理解したうえで信頼性を確認
3. 複数組織での対応：特定の部署だけに任せない

　一方で夏野氏は、経営者の視点から「生産性を低下させることなく、セキュリティを強固にすることにこだわって欲しい」と訴えます。従業員が関与する不正使用や不正ログインへの対応となると、多くの企業は使い勝手を犠牲にして、業務効率が低下する傾向にあるといいます。

「セキュリティ強化と生産性向上は二律背反するものですが、生体認証や2段階認証など新しい仕組みも登場し、不正ログインへの対処も容易になりました。テクノロジーは日々進化を続けていますので、セキュリティと生産性の両立を目指していただきたいです」（夏野氏）

　コロナ対策でリモートワークが増えた際には、VPNの利用や社用PCの持ち出しが議論になりました。非常時には平常時のセキュリティ対応と異なり、インターネット接続や個人端末を使うBYODなど、業務とリスクのバランスを取る発想も重要となります。

4. セキュリティ対策製品の運用のポイント

　続いて、現場のセキュリティ担当者が取り組むべき対策が話題に上がりました。原口はCTCで対応した例を4つ挙げました。

• セキュリティデバイスの1つのセキュリティ監視ができないという事態に直面
• 自社導入したSIEMのアラートが検知できなくなった
• セキュリティ対策製品からのアラート数が増えすぎて、運用担当者が疲弊
• EDR導入後、EDR未導入のPCが攻撃を受けた

4-1. セキュリティデバイスの1つのセキュリティ監視ができないという事態に直面

　原因は、パッチの適用や製品のバージョンアップによるログの仕様の変化、クラウドサービスが通知なしでサービス仕様を変更したためなどでした。セキュリティ運用を外部委託する場合は、製品に精通しているかチェックすることも重要です。

4-2. 自社導入したSIEMのアラートが検知できなくなった

　これは監視対象やSIEM（Security Information and Event Management : セキュリティイベント監視製品）のルールの見直しが実施されなかったために、攻撃を見逃してしまったケースです。こうしたトラブルの回避には、ベンダーのコンサルティング、有償サポート、セキュリティ対策製品の運用を外部委託することなども要検討といえます。

4-3. セキュリティ対策製品からのアラート数が増えすぎて、運用担当者が疲弊

　この場合、アラート数やアラート発報レベルが適切であるかを検討し、事前にチューニングが必要です。社内で手に負えない場合は、対応を外部に任せることも視野に入れた方がよいでしょう。

4-4. EDR導入後、EDR未導入のPCが攻撃を受けた

　EDR未導入の原因は現場担当部門のミスと情報システム部門の「導入しているはず」という思い込みにありました。PC管理製品などでEDR製品の導入状況を把握することも必要です。

　名和氏は、現場へのアドバイスとして、予算などの関係でやむを得ず対応できなかった「非要件事項も記録に残しておくべき」と語ります。以前、同氏が担当したセキュリティインシデントの案件で、エンジニアが私的に残しておいた記録が問題解決の役に立ったといいます。何らかの事情で省かれた仕様や非要件事項は社内文書として残しておくと、次の世代で参考になることがあります。

　夏野氏は、経営層とセキュリティ担当者がコミュニケーションを取ることを推奨します。専門家だけで閉じることなく、経営層と議論して複数の選択肢を提供する、中長期的なロードマップを提示するなど、経営者も学べる機会をつくり、全体構想に巻き込んでいくべきと指摘しています。

5. 変化に対応する柔軟性と、最新テクノロジーの活用

　ここまでの議論で挙がったように、DXとセキュリティは相反する一方、両立も不可欠です。テクノロジーの発達とともに、双方が折り合いを付けながら進化を続けています。最後にモデレーターの渡部氏は「DX時代のセキュリティのあるべき姿として、変化に対応する柔軟性が大切であることを認識していただきたい」とまとめました。

　CTCでは、現在「無駄・ストレス・もったいない」の解消をコンセプトとする社内DXを進行しています。その中で、業務視点ではBPRを、IT視点ではマルチ・ハイブリッドクラウド型の「Digital Workplace Platform」の構築を進めています。

　内部統制レベルの担保/維持においても重点項目となるセキュリティ対策として、CTCはエンドポイントセキュリティ「Cybereason EDR」を2020年2月に自社導入しました。ランサムウェアなど未知のサイバー攻撃が社内ネットワークに侵入しても、攻撃の成立/拡散を許さない体制を確立しています。

　CTCのCybereason EDRの導入事例については、以下よりご欄いただけます。

　また、Cybereasonと、CTC独自のマネージドセキュリティサービス（CTC-MSS）による体制で24時間365日のインシデント対応を実施しています。

　Cybereason NGAV/EDRの詳細については、以下よりご欄いただけます。 

　パネルディスカッションの締めくくりに夏野氏は、「セキュリティとDXの両立は永遠の課題ですが、テクノロジーは着実に折り合いがつく方向に進化していくと思います。できれば“日本ならでは”、“日本発”のソリューションが出てくるといいなと願っています」と今後の展望を語りました。進化するテクノロジーを柔軟に活用する企業が、DX時代のサイバーセキュリティを牽引していくことは間違いありません。

さいごに

　DXの加速化に伴うセキュリティの強化と併せて、クラウドの進化・最適化が求められています。

　CTCは、クラウドを中心としたIT環境全体の最適化を進める取組みである「OneCUVIC」のもと、独自のホステッドプライベートクラウドであるCUVICシリーズとメジャーパブリッククラウドから適切なIaaSを選択し、セキュリティを含むマネージドサービスを組み合わせることで、様々なお客様のIT環境全体の最適化をご支援いたします。