攻めのセキュリティ

2022/1/5 16:572026/6/5 9:36

攻めのセキュリティはなぜ重要か？

簡単に言うと、攻めのセキュリティは「守りながら攻める戦略」のようなものです。スポーツで考えてみましょう。サッカーで全員が守備に回れば失点は減りますが、得点も取れません。逆に、守備を疎かにして攻撃だけに集中すれば、大量失点で負けてしまいます。優れたチームは、堅固な守備を維持しながら、攻撃の機会を最大化します。企業のセキュリティも同じです。過度なリスク回避でインターネットアクセスを制限したり、開発マシンへのソフトウェアインストールを禁止したりすれば、セキュリティリスクは下がりますが、従業員の生産性も大きく低下します。攻めのセキュリティとは、セキュリティリスクを適切に管理しながら、従業員の生産性を最大化し、事業のスピードを維持する戦略なのです。

もう少し正確に言うと、攻めのセキュリティはセキュリティのCIA三要素（機密性、完全性、可用性）のバランスを意識し、従業員の生産性を向上させながらリスク回避を実現する考え方です。先進的な企業のセキュリティリーダーが示すように、サービス禁止よりも「安全な使用」を重視し、従業員の生産性を優先することが重要です。シフトレフトの考え方に基づき、ソフトウェア開発サイクルの早期にセキュリティリスク対策を組み込み、インシデントレスポンスチームを構成して予行練習をし、境界防御モデルではなくゼロトラストモデルを採用し、リスクアセスメントを定期的に実施し費用対効果を定量評価します。一方、日本企業では、時代遅れのセキュリティルール（パスワードの定期変更強制、PPAP方式など）が残っており、シャドウITへの対策が打てておらず、最新トレンドを取り入れたセキュリティ教育がなされていないという問題があります。

具体的には、GoogleやNetflixといったテック企業では、ゼロトラストモデルのセキュリティアーキテクチャを採用し、社内ネットワークであっても全てのアクセスを検証します。これにより、リモートワーク環境でも安全にシステムにアクセスでき、従業員の働き方の柔軟性が向上します。また、DevSecOpsの実践により、開発プロセスの早期にセキュリティ検証を組み込み、リリース後のセキュリティインシデントを減らしています。セキュリティ担当者の人事評価には、事業や従業員の生産性改善が組み込まれており、単にリスクを回避するだけでなく、ビジネスを加速させることが求められています。一方、日本の大企業では、パスワード付きZIPファイルをメールで送り、別途パスワードをメールで送るPPAP方式が標準となっており、当時の行政改革担当大臣であった河野太郎氏が中央省庁での廃止を表明するほどセキュリティ価値が低い慣習が残っているわけです。

シフトレフトとDevSecOps

攻めのセキュリティの核心的手法の一つが、シフトレフト、すなわちセキュリティ対策を開発ライフサイクルの早期に組み込むことです。

シフトレフトの実践においては、ソフトウェア開発サイクルの早期にセキュリティリスクへ対策し、セキュリティに関する問題を早い段階で対処します。従来の守りのセキュリティでは、開発が完了してからセキュリティを検証するため、脆弱性が発見された場合の修正コストが高く、リリースが遅延します。シフトレフトでは、設計段階でセキュリティ要件を定義し、コーディング中に静的解析ツールでチェックし、テスト段階で動的に解析することで、早期に問題を発見・修正できます。

DevSecOpsの導入により、セキュリティを開発・運用プロセスに統合します。DevSecOpsとは、開発（Development）、セキュリティ（Security）、運用（Operations）を統合し、開発プロセスの早期にセキュリティを組み込む手法です。CI/CDパイプラインにセキュリティスキャンを組み込み、コードがコミットされるたびに自動的に脆弱性チェックを実行します。セキュリティチームが開発チームに組み込まれ、日常的にコミュニケーションを取ることで、セキュリティと生産性の両立が実現します。

セキュリティ担当者の評価基準改革も重要です。セキュリティ担当者の人事評価における評価基準に、セキュリティリスク対策だけでなく、事業や従業員の生産性改善を組み込みます。セキュリティリスク対策のみを目標とすると、過度なリスク回避の対策となり、従業員の生産性が低下します。セキュリティのCIA三要素（機密性、完全性、可用性）のバランスを意識し、従業員が安全に効率よく働ける環境を整備することを評価します。Western Unionの事例のように、サービス禁止よりも「安全な使用」を重視します。

ゼロトラストモデルへの移行

境界防御モデルからゼロトラストモデルへの移行は、攻めのセキュリティの重要な基盤となります。

ゼロトラストの基本原則は、社内ネットワークであっても信用せず、情報資産に対する全てのアクセスを検証することです。境界防御モデル（社内ネットワークを信用する領域とし、境界でセキュリティ対策する）では、一度社内ネットワークに侵入されると、内部の情報資産に自由にアクセスできてしまいます。ゼロトラストモデルでは、社内ネットワークからのアクセスであっても、ユーザー認証、デバイス認証、アクセス権限を検証し、最小権限の原則に基づいてアクセスを制御します。

ゼロトラスト移行の段階的アプローチにより、現実的な実装を進めます。ゼロトラストモデルへの移行は大規模なアーキテクチャ変更を伴うため、段階的な移行計画が必要です。まずは新規システムからゼロトラストモデルで構築し、既存システムは優先度の高いものから順次移行します。一部の社内システムが社内ネットワークからのみアクセス可能な場合でも、基本的にゼロトラストモデルで構築されており、ごくわずかに境界防御モデルが残っている程度であれば評価されます。

リモートワーク環境との親和性も、ゼロトラストモデルの大きな利点です。ゼロトラストモデルにより、リモートワーク環境でも安全にシステムにアクセスできます。従来の境界防御モデルでは、リモートワーカーはVPN経由で社内ネットワークに接続する必要がありましたが、ゼロトラストモデルでは、場所を問わず同じセキュリティレベルでシステムにアクセスできます。これにより、従業員の働き方の柔軟性が向上し、生産性が高まります。

リスクアセスメントと継続的学習

攻めのセキュリティを実現するには、定量的なリスク評価と、最新のセキュリティトレンドへの継続的な学習が不可欠です。

リスクアセスメントの定期的実施により、費用対効果の高いセキュリティ対策を実現します。定期的に金銭的価値に換算されたリスクアセスメントを実施し、脅威の発生確率と発生時の影響度を評価します。セキュリティ対策の意思決定は、リスクアセスメント結果に基づき、費用対効果を定量的に評価した上で行います。ISMS認証がなくても、独自のセキュリティマネジメントサイクルで定期的に実施されていれば評価されます。IPAのリスクアセスメント文書などを参考に、自社に適した手法を確立します。リスクを完全にゼロにはできず、コストも無限にかかりますので、リスクと対策コストのバランスを取り、ビジネス価値を最大化することが重要です。

インシデントレスポンス体制の整備により、有事への備えを確実にします。インシデントレスポンスチームを、社内の専門家（セキュリティエンジニア、インフラエンジニア、開発エンジニア）と事業責任者を含むメンバーで構成し、インシデント時の予行練習を実施します。予行練習では、標的型メール攻撃訓練、情報漏洩時の対応フロー確認、DoS攻撃シミュレーションなどを行います。NICTナショナルサイバートレーニングセンターが提供するCYDER（実践的サイバー防御演習）などの外部研修プログラムも活用します。年に1回の標的型メール攻撃訓練だけでは不十分で、実際のインシデント発生時には、技術的な対応だけでなく、顧客への説明、プレスリリース、関係機関への報告など、多岐にわたる対応が必要です。

最新トレンドへの継続的学習により、時代遅れのルールを排除します。リモートワークのリスク、ランサムウェア、標的型攻撃、フィッシング詐欺など、最新のセキュリティ脅威を取り入れた教育を年に1回以上実施します。IPAの「情報セキュリティ10大脅威」や公安調査庁の「サイバー空間における脅威の概況」などを参考に、トレンドを把握します。経営幹部向けには、サイバーセキュリティがビジネスリスクであることを理解してもらい、適切な投資判断ができるようにします。現在ではセキュリティ価値が低いとされるルール（パスワードの定期変更強制、PPAP方式など）を廃止し、二要素認証、パスワードマネージャー、セキュアなファイル共有サービスなどを活用します。セキュリティ部門は最新の知見を継続的に学習し、ルールを見直す必要があります。

カテゴリ内クライテリアの解説

CORPORATE-8-1: セキュリティ担当者の人事評価における評価基準に事業や従業員の生産性改善が組み込まれているか。

目的: セキュリティ担当者が事業や従業員の生産性を考慮したバランスの取れた対策を実施することです。

実装のポイント: セキュリティ担当者の人事評価における評価基準に、セキュリティリスク対策だけでなく、事業や従業員の生産性改善を組み込みます。セキュリティリスク対策のみを目標とすると、過度なリスク回避の対策となり、従業員の生産性が低下します。セキュリティのCIA三要素（機密性、完全性、可用性）のバランスを意識し、従業員が安全に効率よく働ける環境を整備することを評価します。Western Unionの事例のように、サービス禁止よりも「安全な使用」を重視します。

注意点: セキュリティと生産性はトレードオフの関係にあるように見えますが、適切なアーキテクチャとプロセスの設計により、両立が可能です。ゼロトラストモデルやDevSecOpsなどの先進的なアプローチを採用することで、セキュリティを維持しながら生産性を向上できます。

CORPORATE-8-2: 社内のセキュリティ担当者が、近年のセキュリティ動向やシフトレフト、リモートワークについて理解し、事業部門とともに開発リードタイムや生産性の改善のために必要な措置をおこなっているか。

目的: セキュリティ担当者が最新のセキュリティ動向を理解し、事業部門と協力して開発リードタイムや生産性を改善することです。

実装のポイント: セキュリティ担当者が、近年のセキュリティ動向（ゼロトラスト、シフトレフト、DevSecOps、リモートワークセキュリティなど）を学習し、事業部門とともに開発リードタイムや生産性の改善に必要な措置を講じます。シフトレフトとは、ソフトウェア開発サイクルの早期にセキュリティリスクへ対策し、セキュリティに関する問題を早い段階で対処するという考え方です。セキュリティチームが最新情報を把握しているだけでなく、開発リードタイム改善に関与していることが重要です。

注意点: セキュリティ部門が孤立し、開発部門や事業部門との連携が取れていない組織では、セキュリティが足かせとなり、事業スピードが低下します。セキュリティ担当者が開発チームに組み込まれ、日常的にコミュニケーションを取ることで、セキュリティと生産性の両立が実現します。

CORPORATE-8-3: インシデントレスポンスチームが、社内の専門家と事業責任者を含むチームにより構成されていて、インシデント時の予行練習をおこなっているか。

目的: セキュリティインシデント発生時に迅速かつ適切に対応できる体制を整備することです。

実装のポイント: インシデントレスポンスチームを、社内の専門家（セキュリティエンジニア、インフラエンジニア、開発エンジニア）と事業責任者を含むメンバーで構成し、インシデント時の予行練習を実施します。予行練習では、標的型メール攻撃訓練、情報漏洩時の対応フロー確認、DoS攻撃シミュレーションなどを行います。NICTナショナルサイバートレーニングセンターが提供するCYDER（実践的サイバー防御演習）などの外部研修プログラムも活用します。

注意点: 年に1回の標的型メール攻撃訓練だけでは不十分です。実際のインシデント発生時には、技術的な対応だけでなく、顧客への説明、プレスリリース、関係機関への報告など、多岐にわたる対応が必要です。事業責任者を含めた総合的な訓練が重要です。

CORPORATE-8-4: 境界防御モデルではなく、ゼロトラストモデルのセキュリティネットワークを構築しているか。

目的: 社内ネットワークであっても信用せず、全てのアクセスを検証するセキュリティアーキテクチャを構築することです。

実装のポイント: 境界防御モデル（社内ネットワークを信用する領域とし、境界でセキュリティ対策する）ではなく、ゼロトラストモデル（社内ネットワークであっても信用せず、情報資産に対する全てのアクセスを検証する）を採用します。一部の社内システムが社内ネットワークからのみアクセス可能な場合でも、基本的にゼロトラストモデルで構築されており、ごくわずかに境界防御モデルが残っている程度であれば評価されます。ゼロトラストモデルにより、リモートワーク環境でも安全にシステムにアクセスできます。

注意点: ゼロトラストモデルへの移行は大規模なアーキテクチャ変更を伴うため、段階的な移行計画が必要です。まずは新規システムからゼロトラストモデルで構築し、既存システムは優先度の高いものから順次移行します。

CORPORATE-8-5: セキュリティの意思決定は、定期的に行われている金銭的価値に換算されたリスクアセスメントにともない、費用対効果を定量的に評価した上で行われているか。

目的: セキュリティの意思決定を、定量的なリスクアセスメントと費用対効果評価に基づいて行うことです。

実装のポイント: 定期的に金銭的価値に換算されたリスクアセスメントを実施し、脅威の発生確率と発生時の影響度を評価します。セキュリティ対策の意思決定は、リスクアセスメント結果に基づき、費用対効果を定量的に評価した上で行います。ISMS認証がなくても、独自のセキュリティマネジメントサイクルで定期的に実施されていれば評価されます。IPAのリスクアセスメント文書などを参考に、自社に適した手法を確立します。

注意点: リスクを完全にゼロにはできず、コストも無限にかかります。重要なのは、リスクと対策コストのバランスを取り、ビジネス価値を最大化することです。経営層がリスクを理解し、許容できるリスクレベルを決定することが重要です。

CORPORATE-8-6: 管理・監視できない領域のITサービス・デバイスの利用が行われていること(シャドウIT)に対して対策が打てていない。（アンチパターン）

目的: 管理・監視できない領域のITサービス・デバイスの利用を把握し、適切に管理することです。

実装のポイント: シャドウIT（組織の知識や承認なしに従業員または部門が使用するITデバイス、クラウドサービスなど）の実態を調査し、セキュリティリスクを評価します。業務用の個人SNSアカウント使用には誤送信や「なりすまし」のリスクがあるため、管理部門が認識し、確立されたルールを設けます。禁止するだけでなく、なぜシャドウITが発生するのか（公式ツールが使いにくい、承認プロセスが遅いなど）を分析し、根本原因に対処します。

注意点: シャドウITを全面禁止すると、従業員は隠れて使い続け、かえってリスクが高まります。公式ツールを使いやすくし、承認プロセスを簡素化し、必要なツールを迅速に提供することで、シャドウITの発生を防ぎます。

CORPORATE-8-7: 「パスワードを定期的な変更を強制する」、「添付メールでパスワード付きZIP形式のファイルを送信し、別途パスワードをメールで送る」などの現在ではセキュリティ価値が低いとされるルールが残っている。（アンチパターン）

目的: 最新のセキュリティ知見に基づき、セキュリティルールを継続的に見直すことです。

実装のポイント: 現在ではセキュリティ価値が低いとされるルール（パスワードの定期変更強制、PPAP方式など）を廃止します。総務省の情報セキュリティサイトでは、推測しにくいパスワードの作成と適切な保存が重視されており、定期変更は推奨されていません。PPAP方式（パスワード保護されたZIPファイルを別途パスワードメールで送信）は、2020年11月に当時の行政改革担当大臣・河野太郎氏が中央省庁での廃止を表明しました。代わりに、二要素認証、パスワードマネージャー、セキュアなファイル共有サービスなどを活用します。

注意点: 時代遅れのセキュリティルールは、従業員に無駄な手間をかけさせるだけでなく、かえってセキュリティリスクを高めることがあります。たとえば、パスワードの定期変更強制は、従業員が覚えやすい弱いパスワードを使う原因となります。セキュリティ部門は最新の知見を継続的に学習し、ルールを見直す必要があります。

CORPORATE-8-8: 従業員および経営幹部に対して、リモートワークのリスクなどの最新のトレンドなどが取り入れたセキュリティ教育がなされていない。（アンチパターン）

目的: 従業員および経営幹部に対して、最新のセキュリティトレンドを取り入れた教育を実施することです。

実装のポイント: リモートワークのリスク、ランサムウェア、標的型攻撃、フィッシング詐欺など、最新のセキュリティ脅威を取り入れた教育を年に1回以上実施します。IPAの「情報セキュリティ10大脅威」や公安調査庁の「サイバー空間における脅威の概況」などを参考に、トレンドを把握します。経営幹部向けには、サイバーセキュリティがビジネスリスクであることを理解してもらい、適切な投資判断ができるようにします。

注意点: セキュリティ教育が形式的なe-learningだけで終わっていると、従業員は真剣に取り組みません。実際のインシデント事例を紹介し、自社での影響をシミュレーションし、参加型のワークショップを実施することで、実効性のある教育が実現します。

参考資料・ツール

参考書籍・記事

NIST Cybersecurity Framework: サイバーセキュリティリスクの管理と対応のための体系的なフレームワークです。攻めのセキュリティの考え方を実践するための参考になります。

Google Cloud DevOps シフトレフトセキュリティに関する記事: ソフトウェア開発サイクルの早期にセキュリティ検証を組み込む方法が詳しく解説されています。

NRI Secure ブログ「ゼロトラストモデルとの向き合い方」: ゼロトラストモデルの概念、導入方法、境界防御モデルとの違いなどが実践的に示されています。

IPA「情報セキュリティ10大脅威 2021」: 毎年更新される最新のセキュリティ脅威ランキングです。組織向けと個人向けに分かれており、セキュリティ教育の題材として有用です。

公安調査庁「サイバー空間における脅威の概況2021」: 国家レベルのサイバー攻撃、ランサムウェア、標的型攻撃などの最新動向が詳しく報告されています。