<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1294575427570876&amp;ev=PageView&amp;noscript=1">

経営層に「ゼロトラストが」「SIEMが」と言っても響かない——日本マイクロソフトCSOの河野省二氏に聞く、セキュリティ投資の説得術

 2022.09.06  2023.01.25

河野省二氏

クラウドの進展に伴い、セキュリティのあり方が大きく変わり始めています。

これまでは、社内と社外のネットワークの間に、ファイアウォールやIPS、IDSなどで壁をつくって脅威を防ぐ「境界型セキュリティ」が主流となっていました。しかし、企業がさまざまなクラウドサービスを利用し始め、社員が時間や場所、デバイスを選ばず情報(コンテンツ)にアクセスするようになったことから、境界型セキュリティでは防ぎきれない脅威にさらされる場面が増えているのです。

こうした背景から「脱・境界型セキュリティ」を目指すIT部門が増えていますが、そこに立ちふさがるのが「セキュリティ投資」の問題です。セキュリティの脅威が境界型の時代から大きく変わり始めているにもかかわらず、その重要性に気づいていない経営層が少なくないのです。

この傾向は中小企業に多く、IPAの調査(*)では、33%の企業が「セキュリティ投資を行なっていない」と回答し、その理由として「必要性を感じていない(40%)」「コストがかかりすぎる(22%)」「どこからどう始めたらいいかわからない(20.7%)」といったことを挙げています。
* 情報処理推進機構(IPA)「2021年度 中小企業における情報セキュリティ対策に関する実態調査」 2022年5月

経営層にセキュリティの常識が変わり始めていることや、そのためのセキュリティ投資が重要であることをわかってもらうためには、どのようなアプローチが有効なのでしょうか——。講演やインタビューを通じて、経営トップにセキュリティの重要性を説いている、日本マイクロソフトCSOの河野省二氏にお聞きしました。

河野省二氏河野省二氏プロフィール:日本マイクロソフト株式会社 チーフセキュリティオフィサー。CISSP。1998年より、セキュリティベンダーにおいて情報セキュリティコンサルティング事業を立ち上げ、セキュリティガバナンスコンサルタントして経営とセキュリティについて多くの企業のアドバイザリーとして貢献。経済産業省情報セキュリティ監査研究会委員として、情報セキュリティ監査制度の立ち上げ、日本セキュリティ監査協会スキル部会副部会長(役員)。その他にも情報セキュリティガバナンス研究会、医療情報安全利用に関する研究会、クラウドセキュリティ研究会などで、さまざまな情報セキュリティ基準を策定。

なぜ、経営トップにセキュリティの重要性が伝わらないのか

—— 働き方が変わり、クラウドの普及が加速していることから、脱・境界型セキュリティへのシフトが叫ばれています。

河野省二:コロナ禍のもとでは働き方が大きく変わりました。緊急事態宣言の発出に伴い、企業は時間や場所を問わず、さまざまなデバイスやネットワーク、クラウドサービスを使って働ける環境を整えました。こうした環境はとても便利な半面、それまでの「会社」という「同じ時間、同じ場所で、同じネットワークのもと、決められたデバイスを使って」働いていた頃に比べると、当然、セキュリティのリスクは高まります。

—— リスクが高まっているにもかかわらず、さまざまなセキュリティ系の調査を見ると「セキュリティの予算が下りない」「経営層がセキュリティ投資の重要性をわかってくれない」といったIT部門からの声が絶えません。

河野省二:経営にセキュリティ投資の重要性をわかってもらうためには、伝え方の工夫が必要です。なぜなら経営層とIT部門とでは仕事をする上での関心事が異なるからです。

例えば少し前に、ランサムウェアに感染したり、通信障害を起こしてしまったり——という事故がありましたが、そういう時には必ず経営層が会見を開いて経緯を説明しますよね。その時に「わかりません」とは言えないはずです。そんなことを言おうものなら「すぐに調べられないのはどういうことなんだ」と報道陣に突っ込まれてしまいます。

ただ、「もし事故が起こったとしても、その時に何があったのかを掘り起こして調べればいい」と思っている経営層も少なくありません。まだ、何も起こっていないのにセキュリティに投資するより、売り上げを向上させるための投資にどうしても目が向いてしまいがちなんです。

経営とITの間には多くの場合、考え方にこのようなギャップがありますから、セキュリティ投資を説得するには「経営が関心を持つことをフックにしてアプローチする必要がある」と思います。

—— 経営層にはどのようなアプローチが有効なのでしょうか。

河野省二:わかりやすい見方をすれば、セキュリティは、それ単体で考えると「保険」なんですよね。それだけでは何も生み出さない。一方で、経営層が真っ先に考えるのは「何かを生み出すビジネス」のこと。経営層は儲かることに投資をしたいと思いますから、普通のアプローチだと、なかなかセキュリティに興味を示せないんです。

身近な例に当てはめて考えてみるとわかりやすいですが、自分が事故に遭うまでは安い保険に入りがちですよね。例えば、「車のボディをこするくらい大したことない」と思っていたら、仕様が昔と変わっていて、「バンパーからフロントから全部変えなくてはならなくて数十万円かかってしまった」としたらどうでしょう。補償がしっかりしている保険に入っておけばよかった、と思いますよね。

つまり、IT部門が経営層にセキュリティについて話す際には、「こんなセキュリティ上の事故が起こったら、どれだけの損害を被るか」「このサービスが止まったらビジネスにどれだけの影響が出るのか」といった“ビジネスに対するインパクト“を伝えることが重要なんです。もし、IT部門が経営層に「ゼロトラストが」「SIEMが」「CASBが」などとITの文脈で説明しているのなら、それは伝わらなくて当然です。

経営層にセキュリティの重要性を伝えるためのポイントの1つは、「IT部門がビジネスの文脈でセキュリティ投資の価値を語れるようになること」といえるでしょう。

セキュリティ対策の遅れがビジネスに及ぼす影響を語るためには、IT部門のスタッフがビジネスへの理解を深める必要がありますが、IT部門は、ほかの部署と違って社内の異動が少なく、日々多忙であることから、自社のビジネスについて学ぶのはなかなか難しいかもしれません。でも、ここは意識してビジネスに関心を持ち、経営層やビジネス部門とコミュニケーションしながらスキルを磨くことをおすすめします。

こうして経営層とIT部門が共通言語を持ってコミュニケーションできるようになれば、投資の説得もしやすくなるはずです。

なぜ、経営トップにセキュリティの重要性が伝わらないのか

「生産性向上と安全」の両方を満たすクラウドが説得材料に

—— ほかにも経営層にセキュリティの重要性を伝えるためのポイントはありますか?

河野省二:ビジネスの効率化に役立つクラウドに、“あらかじめ“セキュリティ機能がついているサービスが増えているのも、ポイントの1つだと思います。

例えば昨今では、BoxやMicrosoft OneDriveなどのコンテンツクラウドやクラウドストレージサービスを使っている企業が増えていますが、こうしたサービスでは、データを保存する際にインデックスが生成され、個々のデータの保存場所や種別、閲覧権限、アクセスや更新の履歴が常に管理されます。これによって社内外の人との間で安全にデータのやり取りを行うことができるのです。

さらに、このひとつひとつのデータは、クラウド上で常にモニターされているので、仮にランサムウェアによる攻撃が始まったとしても、サービス側でそれを検知してアラートを出したりブロックしたりしてくれます。こういったクラウドサービスには、あらかじめセキュリティ機能がビルトインされているのです。後からセキュリティをボルトオンで追加する必要が無い。

Microsoftがランサムウェア攻撃を受けた企業のパターンを分析したところ、管理されていないデータが攻撃にあっていることや、クラウドからランサムウェア攻撃が始まった例がないことなどがわかってきました。

つまり、これまでは「これくらいの脅威をブロックするために、これぐらいのコストがかかります」と説明していたところを「ビジネスの生産性を高めるためにこれだけの投資をしたら、セキュリティリスクもこれくらい減りました」といえるようになるということです。これは、経営層にとってインパクトがあると思います。

米Microsoft CEOのサティア・ナデラは、経営層に役立つ情報をリアルタイムで提供することにこだわっていて、グループウェアからERPに至るまで「業務の全てをオンライン化すること」を目指しています。そうすれば、社内業務に関わる全てのログとデータがクラウド上に保存され、経営層はその分析結果をダッシュボードを通じてチェックすることで、リアルタイムに会社の状況を把握できるようになるからです。

私たちはこうした統合的なサービスを開発しており、既にMicrosoft 365 Defender ポータルでは、日々のセキュリティスコアを把握できるダッシュボードも提供しています。経営層がこのような情報を手軽に見ることができれば、例えば「昨日に比べてセキュリティレベルが下がっているのはなぜだろう」と疑問に思った時に、セキュリティ担当者と話すきっかけにもなります。

このように、企業の生産性向上とセキュリティの両方を確保できるクラウドサービスは、経営層を説得するのにうってつけなのです。

Microsoft 365 Defender ポータルのダッシュボード。日々、変化するセキュリティスコアを見ることができるMicrosoft 365 Defender ポータルのダッシュボード。日々、変化するセキュリティスコアを見ることができる

「基本はシンプル」なクラウド時代のセキュリティ

—— クラウド時代のセキュリティは複雑なものと思われがちですが、実際はどうなのでしょう。

河野省二:クラウドの普及に伴って、脅威の分析は飛躍的に向上しています。マイクロソフトでも、Microsoftのエンドポイントセキュリティサービス(Microsoft Defender for Endpoint)を使ってくださる企業ユーザーの方々が増えたことから、膨大な量のエンドポイント情報を収集できるようになりました。

このようなエンドポイントから1日あたり24兆にものぼるフィードバック(セキュリティシグナル)をとりまとめ、それをAIや分析担当者が分析を行い、そこからわかった脅威についてまとめたデジタルディフェンスレポートを作成しています。

ここで重要なのは、膨大な数のセキュリティシグナルを分析することで、「どのような経路で感染し、事故が起きたのか」ということだけではなく、「どうやって守ったのか」「攻撃する側が何をしようとしたときに、どうすれば守れたのか」といったデータも得られるようになったことなんです。

その結果わかったのが「データ保護」「アンチマルウェア」「最新環境の維持」「最小権限ポリシー」「多要素認証の適用」という5つの対策を行うことでおよそ98%の攻撃を防御できる、ということでした。

Security Forum 2022の河野氏の講演より。「データ保護」「アンチマルウェア」「最新環境の維持」「最小権限ポリシー」「多要素認証の適用」を行うことで98%の攻撃を防御できるとしているSecurity Forum 2022の河野氏の講演より。「データ保護」「アンチマルウェア」「最新環境の維持」「最小権限ポリシー」
「多要素認証の適用」を行うことで98%の攻撃を防御できるとしている

中でも特に大きな効果があるのが「多要素認証」で、この対策がなりすましされるか否かに大きく影響することがわかっています。

なりすまし対策には、多要素認証を導入しつつ、ハードウェアにアクセストークンを持たせることが有効で、この対策を講じるだけでも攻撃のおよそ90%を防げます。これについては、Googleも95%から98%防げるとしているので、ほぼ間違いないでしょう。

セキュリティ対策は、企業の規模や環境によって異なりますが、まず、この5つができているかどうか——というところから始めてみることをおすすめします。

クラウド時代のセキュリティについてIT部門に伝えたいこと

—— クラウド時代のセキュリティ対策には、どのように取り組めばいいのでしょうか。

河野省二:大事なのは、従業員もIT部門も経営層も、セキュリティに対して一定の責任を負うことだと思っています。

例えば、不審なメールが来たときに、それに気づいた時にIT部門に知らせるのが従業員の役割です。そのデータをもとにフィルタリングルールをつくるのがIT部門の役割で、そのための予算をつくるのが経営層の役割です。

このような責任構造が構築されていないと、従業員やIT部門にしわよせがいってしまいます。そうすると生産性が落ちて、売り上げが下がることにもなりかねない。その結果、セキュリティの予算が出ない——という負の連鎖に陥ってしまいます。

経営層とIT部門は、従業員ができるだけセキュリティ対策に足を取られることなく、本業に専念しやすい環境をつくること、従業員は異変が起こったら報告すること——これが基本だと思います。そして先にお話ししたように、全ての業務をオンライン化すれば、異変が起こった時に自動でアラートが上がるので、従業員の負担をさらに軽くすることができます。

—— IT部門の人が意識すべきことはありますか。

河野省二:IT部門の方々は、「ISOが変わった」「新たな脅威が現れた」といったように、セキュリティに対する取り組みの判断基準が「外」にあることが多いと思うのです。もちろん、これも重要なのですが、経営層と話をするためには「社内」に目を向けることも大切です。

経営層との共通言語を持つためには、自社のビジネスを知ることが近道ですから、まずはここからスタートしてみてはいかがでしょうか。

クラウド時代のセキュリティについてIT部門に伝えたいこと

【聞き手・執筆:後藤祥子(AnityA)  撮影:永山昌克】

次世代のシステムを考えるコミュニティ
Box Japan Cloud Connectionsへの参加はこちら

Box Japan Cloud Connections (BJCC) は、DX時代にあった新しい企業システムのあり方を考えるBox Japanが運営するコミュニティです。
新しい働き方、DXを実現するデジタルワークプレイスにご興味のあるかたは、どなたでもご参加いただけます。
参加登録フォームよりユーザー登録頂くことで、コミュニティのメンバーとなり、公開資料が閲覧できるようになる他、BJCCのSlackワークプレイスに参加もできるようになり、Slack上で自由に議論することもできます。ぜひ、ご登録ください。

 

次世代のシステムを考えるコミュニティ<br>Box Japan Cloud Connectionsへの参加はこちら

参加登録フォームはこちら


RELATED POST関連記事


RECENT POST「インタビュー」の最新記事


経営層に「ゼロトラストが」「SIEMが」と言っても響かない——日本マイクロソフトCSOの河野省二氏に聞く、セキュリティ投資の説得術

RECENT POST 最新記事

RANKING人気記事ランキング

TOPIC トピック一覧