セキュリティ対策は「終わりのない冒険」
山下氏は、情報システム担当者がゼロトラストセキュリティについて悩んでいる状況を、『HENNGE QUEST 2023』というゲーム世界になぞらえて解説した。企業を1つの王国と見立てると、従業員は住民であり、情報システム部の担当者は住民が日々快適に過ごせるよう、さまざまな支援をする役割だ。
ある日突然、国のトップである社長から声がかかり「取引先がサイバー攻撃に遭った」と告げられ、自社のセキュリティ強化の相談を受けることに。取引先の被害は工場が止まるような逼迫したもので、すぐに対策すべく情報を整理し、付き合いのあるベンダーにも相談するだろう。そこで国の環境をよく知るベンダーから「ゼロトラストセキュリティ」を薦められて導入を前向きに考えるも、その対象領域の広さと情報量の多さに驚愕してしまう。こうした話は珍しいことではなく、どこかで見聞きしたり経験したりした方も少なくないのではないか。
[画像クリックで拡大]
各セキュリティ製品を剣や盾に見立てると、ゲーム同様にさまざまな武器がある。ゼロトラストセキュリティ実現に向けては、最初によく取り組まれるのが認証の領域、いわゆる「IDaaS(Identity as a Service)」の導入だ。IDaaSにも国産製品や海外製品、安価なものから高価なものまで多種多様な選択肢が用意されている。IDaaSを剣としたとき、将来的なことを考えて多機能で高価な剣を購入したとしよう。
しかしながら、いざ使ってみると機能が多すぎて運用が上手く回せず、ユーザーからは「アクセスできない」などの問い合わせが多々寄せられてしまい、ヘルプデスク業務や監視業務も加わったために「担当者は闘う前からボロボロの状態です」と山下氏。実際、セキュリティポリシーの設定方法が複雑で全体把握ができず、設定内容に漏れが発生してしまい不正アクセスを受けるケースは珍しくない。その間にもカバーできていない領域から攻撃を受け、担当者はどんどんと追い込まれていく。
「このときセキュリティを厳しくするためにポリシーを強化すると、住民の利便性が下がってしまい生産性が低下する原因になります。時間とお金をかけて装備した武器は活用できず、会社を守るセキュリティが“足を引っ張る”セキュリティとなるでしょう」(山下氏)
たくさんのゼロトラストセキュリティ向けの製品があると、ネットワークや端末などそれぞれの領域で高機能な武器を揃えたくなる。せっかく対策するのだからと、たくさんの要件を出してしまいそうになるが、その前に一度立ち止まり「どの剣が自社で活用できるものかを運用面やリソース面など、さまざまな角度から検討して“要件の棚卸し”を行ってください」とアドバイスをおくる。
IPA(情報処理推進機構)『情報セキュリティ重大脅威 2023』を見てわかるように、時代にあわせて脅威も変化する。新たな脅威は常に出てくるため、一時的に完璧な対策を講じたとしてもカバーできない領域が出てくるだろう。つまり、ユーザーの働き方やサービスの利用状況などを鑑み、必要なセキュリティ(ゲームにおける武器)の導入を適宜検討する必要があるという。
一足飛びにセキュリティを強化して完璧にしようとするのではなく、状況に応じてセキュリティ製品を選び、使い分け、段階的に強化する。そうすることで運用も回せるようになり、ユーザーの利便性を下げずに会社を守ることを目指す。「脅威もどんどん進化するため、まさにセキュリティ対策は“終わりのない冒険”です」と述べる。
