攻めのセキュリティ
文責: KAKKA、石川 陽一
"攻めのセキュリティ"はなぜ重要か
情報セキュリティにおいて、安全性と利便性を同時に実現するには、専門的な知見と最新技術のアップデートが必要不可欠になります。
最新動向を追いかけつつ、従業員の生産性や創造性に寄与する攻めのセキュリティは、イノベーションの源泉になる戦略投資です。
従前からの守りのセキュリティとは
セキュリティは安全に、防御をしながらという守りを意味する言葉です。ITの世界では「ネットワークセキュリティ」、「コンピューターセキュリティ」、「情報セキュリティ」など保護する対象に対して守りの施策を行うことが従前より行われてきました。
守りのセキュリティのひとつに境界防御があります。典型的な施策例としてはインターネットの境界にファイアウォールを設置することです。インターネットは、組織外のさまざまな人が使うネットワークなのでいわゆる悪意をもつ人もいるとまず考えます。安全に組織内のネットワークを保ちながら、インターネットの利便はごく限られた範囲にするために、ファイアウォールを設置します。「高い安全性を保つために、ファイアウォールの厳格な壁を原則的にあることが前提ですよ」というスタイルが守りのセキュリティです。
攻めのセキュリティではないと何が問題か
ファイアウォールによって、外部と内部のネットワークが分断されています。そのような安全の壁が前提の中でシステム開発を行うとなると、内部のネットワークに利便性がある開発に関するツール類や、開発者同士のコミュニケーションツールなど利便性がある環境を揃えなくてはなりません。ところが現代においてそのような利便性のあるツールはクラウドサービスによって提供されています。開発の中身以前のツールやコミュニケーションの環境を用意すること自体に時間がかかってしまいます。このような非効率をできるだけ避け開発の生産性を高める取り組みを行うことが必須となっています。
ガチガチに固められたファイアウォールのみを前提とするのではなく、積極的にインターネットを活用しながらも、極力安全性の高いセキュリティとなるように取り組むこと、それが攻めのセキュリティです。
攻めのセキュリティの施策に関する代表例は以下です。
シフトレフト
アプリケーション開発従前からの典型的なセキュリティの考え方では、システムをリリースする前に、脆弱性検査を行うことあります。見つかった弱い部分に修正の手を加え、またテストを行いといったことがあるので、リリーススケジュールの見直しなどに見舞われます。一方現代では一般的に開発ライフサイクルが短かく、迅速かつ頻繁にアプリケーションをリリースする傾向が広がってきています。リリースのスケジュール遅延を発生させないために、セキュリティに関わる工程を前倒しして実施する概念が生まれてきています。開発の工程を図示する際、左から右に描くことがよくあるので、前段階の工程にセキュリティ事項をシフトすることから「シフトレフト」と呼ばれています。
ゼロトラスト
境界防御のファイアウォールがあるので社内のネットワーク環境は安全、というような従前からの考え方がこれまで一般的でした。しかし実際には、Webやメール等インターネットを利用している間に、弱い部分を悪用され攻撃されるという状況が世界的にみられるようになっています。ですので、ITを利用する部分に関しては「何も信頼しない」「境界は破られることがある」というを前提に、守るべき情報資産等に関する安全性の状況を絶えず検証しようという考え方がゼロトラストです。
エンドポイントとなるPCを見張るEDR(Endpoint Detection and Response)や各種アカウントに関して高度な統合管理を行うIDaaS等複数の技術施策を組み合わせたり、従前の境界防御の仕組みと併用して活用するといった取り組み例があります。
攻めのセキュリティが難しい理由
一言で言うならば、既存のITアセットや環境、機密情報を守る必要があるためです。大抵の場合、ITセキュリティ部門が機能組織として存在し、セキュリティリスクの排除やオペレーションについての目標が設定されていることでしょう。すると、ITセキュリティ部門は、守りの組織として会社に存在することになります。
歴史が長い会社の場合、守りに守りを重ねた結果、セキュリティポリシーが肥大化してしまい、メンテナンスはもちろんのこと、全文を読むことすら難しくなってしまう場合もあります。この中には様々な背景からたくさんの厳しいルールが書かれているのですが、現在ではセキュリティ価値が低いとされているルールがあったり、そもそもルールとして守られていないものがあったりなど、形骸化してしまうこともあります。
また、外注文化が根強い場合、ITセキュリティのオペレーションも外注してしまい、細かいITセキュリティに関する改善を社内でコントロールができなくなってしまいます。
部門間での価値観の不一致
一方でプロダクト開発事業部門などは攻めの組織となります。高速な仮説検証を行いながら、スムーズに業務をこなす必要があり、それには高度なデジタル人材が必要です。当然、こういった攻めの組織は、「リスクを負ってでも速く前に進めるべきだ」というマインドセットが浸透しています。しかしながら、この部門が使うITインフラ環境はITセキュリティ部門が提供していることがほとんどでしょう。すると、ITインフラ環境はこの攻めの組織にとって非常に使いづらいものとなってしまい、攻めの組織と守りの組織で価値観の不一致が起こってしまいます。
使いやすいITインフラ環境は、デジタル人材が最も重要視している
日本CTO協会調べでは、デジタル人材が重要視するコーポレート環境について、「使いやすい開発環境」が最も重視されているということがわかりました。つまり、ITインフラ環境が使いづらいという理由だけで、デジタル人材が採用できないまたは退職してしまうリスクが高いといっても過言ではありません。
しかしながらITインフラ環境は、プロダクト開発部門独自で整備することはまれです。大抵の場合、ITセキュリティ部門が構築したITインフラ環境を使うことになります。つまり、この攻めの組織と守りの組織のコラボレーションを行わないことには「使いやすい開発環境」を実現できません。
攻めの組織と守りの組織のコラボレーションを
組織の中で、新規開発を行うといった攻めることを考える部門とセキュリティやコンプライアンス、システムリスクを考える部門が分かれることはあるでしょう。それぞれの部門が強くサイロ化されており、攻めた結果の成果物を評価する、守りの厳格化のみを評価するといった具合でしたら敵対してしまいます。攻めに回る取り組みがある中で安全性を持ちつつ生産性も失われないようにするにはどういった施策を取るべきか対話していく必要があるでしょう。
体制として、社内のセキュリティ担当者が近年のセキュリティや働き方の動向を理解し、事業部門とともに開発リードタイムや生産性の改善のために必要な措置を行えるのが理想的です。また、具体的な施策としては、社内の専門家と事業責任者を含めたチームでインシデント時の予行練習を行う、セキュリティ担当者の人事評価基準に事業や従業員の生産性改善を組み込む、などが考えられます。
ただ自由なだけの環境もアンチパターン
インターネットでは、提供されるツール類が次から次へと提供され、日進月歩で進化していきます。便利なものを見つけたから、開発者らが好き勝手に自由に使っていいんだというように運用したとします。そのような中だと、思わぬところで脆弱性を掴んでしまい、安全性を損なう、データ保全に関する不備に落ち至りすることがあります。自由であることだけを良しとするのではなく、ルール作りや教育を行うことにより組織内でのガバナンスを維持していく取り組みが大事です。具体的には、リスクとリターンを定量的に評価するリスクアセスメントを定期的に実施する、従業員および経営幹部に対して最新のトレンドを取り入れたセキュリティ教育を行う、などの適切な環境を維持するための運用を検討しましょう。