セキュリティ業界で加速する“Shift Left”──西尾素己氏が語る「ガバナンス回帰」が必要な理由

ユーザー側では「ガバナンスの確立」が大前提に

　ただし、ソフトウェアベンダーに対策を任せきりで、ユーザー側は何もしなくてよいというわけでは決してない。当然、ユーザー側も最新の脅威に対応するために様々な対策を講じていく必要がある。その際に欠かせないのが「ガバナンスの観点」だと西尾氏は力説する。

　「自分たちの組織がどんな資産を持っていて、その資産をどのユーザーが、どう使っているのかをしっかり把握できなければ、そもそも『何をどう守ればよいか』の判断ができません。つまり、日ごろからITガバナンスを効かせておくことが、セキュリティ対策の大前提になるということです」（西尾氏）

　その一例として、同氏は「ゼロトラスト」を挙げる。ゼロトラストでは一般的に「持ち点方式」でユーザー一人ひとりのリスク評価を行い、そのユーザーに怪しい行動が見られれば点数を減らしていき、それぞれの点数に応じてシステムにアクセスできる範囲を決定する。

　こうした仕組みを動的に制御する「トラストアルゴリズム」こそがゼロトラストの本質だが、これを機能させるためには、ユーザー行動に関する正確な情報のインプットが必須であり、そのためにはやはり強固なガバナンスの存在が大前提となる。

　「ゼロトラストでは、各ユーザーIDのイベントログをもとにアクセス制御を動的に行います。ただし、このログを取得するためには、自社のシステムの構成やアクセス制御の状態を、あらかじめ正確に把握しておかなければなりません。つまり、現代のサイバーセキュリティには『ガバナンス』という強固な土台が必須であり、これを構築した後で、ようやく具体的なセキュリティ対策へと進める構造になっているのです」（西尾氏）