がちがちのセキュリティには限界も、優先順位を踏まえた“現実的”な対策
──このような動向は、企業の現場担当者にどう影響してくるのでしょうか。
グローバルにビジネスを展開している企業では、否応にも様々なセキュリティ基準に準拠せざるを得ない状況が生まれています。米国の取引先では米国の基準、英国の取引先では英国の基準に準拠する必要があります。
そうなってくると、各種の基準を守りつつ、うまく最適化を図っていかなくてはなりません。たとえば、いずれのセキュリティ基準も、保護対象の情報を厳格に守るためには、ネットワークのセグメントを分割してアクセスを制限し、境界はモニタリングするといった要件が課されてきます。とはいえ、これらを厳密に実施しようとすると、新たなストレージの導入も含め、かなりコストがかさみます。ネットワーク環境の構築はもちろん、監視対象が増えればログも増えるため、SIEM(Security Information and Event Management)のコストも増大してしまいます。
──企業におけるセキュリティ予算に限りがある中、どのような解決策が考えられますか。
理想としては、機密性の高い情報を扱う場合はオペレーションのために隔離した専用部屋を用意し、許可された人しか入れないように制限した上で、入退室を管理したり、部屋の中には監視カメラを設置したりといった物理セキュリティを施すことが必要です。そして、その中にファイルサーバーにアクセスできる専用端末があり、それは持ち出し禁止にするといった具合にがちがちのセキュリティ対策を行う必要がありますが、これは利便性を犠牲にする上、かなりのコストがかかってしまいますよね。
実際にここまで徹底することは現実的ではないので、我々は基準を満たす“最低限の環境構築”を支援しています。ファイアウォールやL3スイッチで最低限の通信制限をかけて、ログをモニタリングできるようにします。また、コスト最適化を図るため、そうした環境下でも一定のセキュリティ基準を満たしたクラウドサービスを提案するなどのサポートも行います。
オンプレミスを導入する場合は初期費用と時間がかかりますし、IaaS環境を構築するにしてもそれなりの運用費用がかかってしまう。そのため、SaaSも選択肢に入れて、それぞれメリットとデメリットを比較するようにしています。もちろん、お客様の優先順位を考慮しながら、一緒に選定を行います。
経営の“先”にセキュリティを考える
──対策においては、グローバル規模での知見も必要になりそうですね。
仰るとおりです。元々当社は日本人がイギリスのロンドンで創業した会社で、日本に逆進出したというユニークな成り立ちを持っています。私自身も6年ほどイギリスにいてエンジニアやセキュリティコンサルティングをしていました。主要メンバーは英語対応はもちろん、海外文化にも精通しているため、グローバル企業の支援には強みがあります。
日本はこれから人口減少がますます進むことを鑑みると、海外市場に目を向け、いかにビジネスを作っていくかが重要なカギとなります。そうなるとセキュリティもグローバル規模で考えていかなくてはなりません。海外拠点から本社の情報が盗まれるといったサイバー攻撃が相次いでいるように、サイバー攻撃は弱いところから狙われます。このような課題を抱える企業に対しては、日本国内だけではなく、現地法人も一気通貫でセキュリティガバナンスを構築することが重要であり、当社はその観点からも支持されています。
今でこそオンライン会議も併用していますが、我々は必要があれば直接海外拠点に出向くことが多いです。たとえば、グローバルなコンサルティング企業だと、国ごとに現地のメンバーが担当することで、コミュニケーションやサービスのクオリティにずれが生じてしまうこともあるでしょう。我々はポリシーをしっかり理解した上で、どの国に対しても同水準で支援できることが強みになっていると思います。
どの企業でもセキュリティの事業戦略や計画書を策定しますが、その時に“セキュリティだけ分かる”コンサルタントがセキュリティの支援を行ってもあまり意味がありません。ビジネス視点、経営視点でその企業が成し遂げるべき目標やゴールを把握しているからこそできるセキュリティ支援があると考えています。このような視点をもっていれば、セキュリティへ投資するにしても「やりすぎ」「足りない」など、過不足を経営の観点で判断することができます。
また、セキュリティはもちろん、システム障害や災害が起きたときにいかにビジネスを継続するかを包括的に考えることが非常に重要です。そのためには本当に重要なビジネスを見極め、「このビジネスは絶対に止めない。そのためのシステム投資はしっかり行う」「ここは多少止まっても許容できる」といった選択が肝となるのです。
