生成AIが“見えないIT資産”を見つける救世主に？人に依存しないセキュリティマネジメント体制の整え方

DX進展でシャドーITが爆増。“発見から管理まで”を持続可能にするために

　セッション冒頭、阿部氏は多くの企業がWebセキュリティに関して抱えている共通課題として「Webサイトがどんどん増えていて対応しきれていない」「現場が回らず、つい後回しになってしまう」「『やっただけ』で運用や最適化まで回らない」「専門知識が不足しており手が出せない」の4点を挙げた。

　これらの課題を解決する上で注目すべきポイントが、DXの進展にともなう「3つの大きな環境変化」だという。第一に、デジタル化の主体がIT部門から事業部門へとシフトしていること。第二に、重点領域が社内ITインフラから外部向けデジタルサービスへと移行していること。そして第三に、開発手法がウォーターフォール型からアジャイル型へと変化していることだ。

　特に第一の変化が与える影響の大きさについて、阿部氏は次のように指摘する。

　「DXのフェーズ1とフェーズ2、つまり紙のデータをデジタル化して社内業務をデジタル化する段階は、IT部門やシステム部門が主体となって進めてきました。しかしビジネスをデジタル化するフェーズ3では、事業部門が主役になってきています。この変化により、セキュリティ部門やIT部門が把握しきれない『シャドーIT』や『見えないIT資産』が増加しているのです」（阿部氏）

　このような環境の変化を踏まえ、企業にも新たなセキュリティ対策の指針が求められている。見えないWeb資産が増え続ける中、それらを適切に可視化してリスクを把握するために、まずは「Web資産の継続的な棚卸し」と「継続的かつ網羅的な脆弱性診断」を行う必要がある、と阿部氏は言う。また、そのための環境を構築するにあたり、属人化しない体制とプロセスを構築することも大切だとした。

　具体的には、守るべき資産やカバー範囲を明らかにする「探索・発見」、発見した資産に対してセキュリティ診断を行い、必要な対策を明確にする「診断・対策」、そしてこのサイクルが適切に回っているかを「管理」する取り組みを、網羅的かつ継続的に行っていく必要があると指摘する。

　しかし阿部氏は、実際にこのサイクルを適切に回せている企業は極めて少ないとし、「多くの企業では人手や予算が足りない上に、社内のステークホルダーも非常に多いため、網羅的なWebセキュリティ対策を継続的に実施するのは難しい」と述べる。

　このような状況を打開するためには、人手をかけずに探索・発見・モニタリングを行う仕組みが必要だ。これを実現する有効な手段として、同氏は「セキュリティ部門だけでなく事業部門や開発部門も巻き込んだセキュリティ対策の『内製化』」を挙げる。