日本では「セキュリティのリスク」と「ビジネスのリスク」を分けて考えがち
藤田 今回はクラウド時代のセキュリティ課題や、企業におけるセキュリティ人材のあり方などをテーマにお話しいただければと思います。
二木 クラウドへの流れについての私の認識から振り返らせてください。もともと企業のシステムはオーダーメイドで、その後にASPやSaaSへと進んできました。ただし途中で揺り戻しもありました。サービスだと機能や使い方に制限があるからです。やはり現場のことを考えると、ある程度カスタマイズの余地がないといけません。
実態に目を向けると、100%クラウドではなく組み合わせて使うところも見られます。例えばSalesforceを使いながら、様々なデータや処理をオンプレミスや他のクラウドサービスと連携させるようなやりかたです。日本だと海外に比べて組み合わせて使うという発想が少ない気がします。クラウドのみ、あるいは作り込んだもののみで二極化する傾向があります。
クラウド利用の賢いポイントはここにあります。がっちりと固めて使わなくてはいけない部分と、柔軟に使う部分をうまく使い分けるということです。大事なのは自社が必要とする機能や使い方を自分たちで考えること、見極める目ではないかと思います。
日本の顧客の多くがITをベンダーやSIerに丸投げしています。しかし本来SIerはコーディネーターです。顧客側のビジョンや目的が明確でないと、踏み込んだ提案もできません。結果、無難な提案になってしまいがちです。これでは日本のクラウド利用は進まないのではと思います。
藤田 顧客側の敷居が高いのかもしれませんね。「自分たちの使い方にぴったり合うクラウドサービスが出てきたら使ってもいい」というスタンスと言いますか。欧米だとスペックを見て契約するかどうか決められますが、日本はまだ営業を通じてでないと導入が決められないところも少なくありません。世界的にはクラウドサービスに営業はいないことが多いのですが(苦笑)。
二木 その話はセキュリティとも共通しています。ベンダー・SIerとユーザーの責任分界点というのがあります。欧米では顧客が全体像を把握して責任を持つというスタンスがはっきりしています。しかし日本は「そこ(全体把握と責任)をやりたくないから任せているんだよ」というユーザーもたまに見られます。ベンダー側にも「私たちがなんとかします」と言わないと仕事がとれないという背景もあるのですが、結局、契約上の文言も含めてみると、ベンダーとユーザーの間に責任のボールがいっぱい落ちているというのが現状だろうと思います。
一方でクラウドというのは、究極のアウトソーシングとも言えます。ベンダーは必要以上の責任を一切とりません。利用者はそれを理解した上で、自らの責任範囲について、きちんと考え、対応していく必要があります。そういう意味では、クラウドの普及が皮肉にもITアウトソーシングの実情や課題、グレーゾーンのようなものをあぶり出しているのかもしれないと感じています。
藤田 企業のセキュリティには「境界」があります。「大切なものは内側に。外側には見せない」と。ITアウトソーシングではアウトソーサを信用して、境界を見直すことはありませんでした。クラウドだと境界が曖昧になります。責任も曖昧になってきてしまいます。
二木 セキュリティをずっとやっていて思うのは、日本ではセキュリティのリスクとビジネスのリスクを分けて考えがちです。例えば「ノートPCの社外持ち出し禁止」といえばセキュリティのリスクを低める効果がありますが、一方でビジネスの自由度を狭め、生産性の低下というリスクを高めることにもなります。セキュリティ対策導入の判断においては、両方ともバランス良く考慮する必要があります。
企業がクラウドを利用する効果は技術やビジネス環境の動きの速さに対応できるところにあります。かつてのように5年ごとにシステムを作り直すのでは新しい技術や環境の変化についていけません。クラウドはビジネス環境に合わせて柔軟にシステムを改良したり、最新の技術をいち早く使えるようにしたりする土台となるわけです。経営層もIT部門も「ビジネスを推進するためにクラウドを使うのだ」と意識する必要があります。それが、自らが責任を持つという意識の醸成につながります。
その上でどのようなセキュリティリスクがあるのか?という疑問をセキュリティの専門家を通じて把握し、できる限りリスクを下げる使い方や対策導入をしようとするのが健全なあり方かと思います。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
クラウド時代に必要なセキュリティ人材とは?
藤田 よく分かります。次にITセキュリティ人材に話を移します。セキュリティの専門家は歴史も底も浅く、まだ少ないと指摘されています。
二木 確かによく言われます。ただし実情を見ると本来セキュリティ専門家がやらなくてもいいことまでセキュリティ専門家に頼ってしまっているところもあります。例えばシステムのパッチをあてるなどは現場のエンジニアが日常的に実施する保守作業の一部です。ネットワークも、そもそもの設計がまずくては、十分なセキュリティ対策ができません。アプリケーション開発において、脆弱性の排除は品質管理の一貫です。こうした部分は、いわゆる「セキュリティ専門家」の手を借りるまでも無く、各分野のエンジニアが、その素養として身につけるべきことです。こうした部分が不十分だったが故にセキュリティの問題が発生し、セキュリティ専門家が対応にひっぱり出されてしまうのではいくらセキュリティの専門家がいても足りません。
本質的には現場のエンジニアの素養、つまり技術力を底上げできればセキュリティの状況は大きく改善できると考えています。そこで初めて、専門家が専門的な仕事を出来るようになるのだろうと思っています。
いまセキュリティ専門家として本当に不足しているのはジェネラルなエンジニアです。一通りの技術要素とセキュリティの幅広い分野を知り、全体を把握できるような人材です。ITを企画できる人材とともに、こうしたジェネラルなセキュリティ専門家はエンドユーザーのIT部門には特に必要です。特定の技術、たとえば攻撃、侵入技術やマルウエア解析技術などに特化したエンジニアをたくさん育成しても、こうしたエンジニアを適材適所で活用するためには全体を掌握できる人材が必須です。例えば情報セキュリティプロフェッショナル認証資格「CISSP」があります。こういう資格はジェネラリストでないと取得できませんし、もともとが、ユーザーサイドでセキュリティの全体をたばねる人たちを念頭に置いた資格でもあるのです。こうした資格の取得者が、ユーザー側で働けるようになると、セキュリティの状況は大きく改善するのではないかと思っています。
また、高い専門性を持ったセキュリティ専門家が現場のインシデント対応に追われてしまうと、自分の専門分野を磨く機会やそのモチベーションを失ってしまいかねません。そういう意味でも、育てるべき人材と役割構造を見直す必要があるのではないでしょうか。こうしたことを考えればクラウドをどう自分たちのシステムに採り入れるかというテーマの検討もスムーズに行えるのではないでしょうか。
藤田 人材の問題というのは予算とも関係していると思います。欧米ではIT予算の5%程度をセキュリティに充てていると聞きます。インシデント発生の有無とは別に常にその予算でセキュリティを固めています。しかし日本は事件が起きたり、BCP(災害対策)でようやく予算がつくという企業も少なくありません。セキュリティ担当者にしても、専任ではなく兼任が多いです。高度なセキュリティ人材をどう確保し、育てていくかも今後の課題ではないかと思います。
二木 その人材とは将来のCIOやセキュリティの素養がある経営層ということでしょうか。そうであれば、そこに到達するまでのキャリアアップのステップを考える必要があります。セキュリティも含め、情報システム全体を見ることができるCIOを育てることを目標に掲げてもいいかもしれませんね。
藤田 そうですね。日本だと経営課題も意識してセキュリティを考えることができる人材が乏しいと感じています。情報システムでクラウドを使おうとするとき、将来のインシデント対応ノウハウだけではなく、全体のシステム構成も含め、経営からの要請に対応してクラウドをどう使うか、どういうリスクがあるか、提案できる人材が少ないと感じています。
二木 難しいですね。もしかしたら、まだクラウドを使うニーズがさほど高くないからなのかもしれません。欧米は新しい技術を貪欲に採り入れてビジネスに勝とうというモチベーションが高いのに対し、日本はまだそこまで到達していません。
ただ何が何でもクラウドを使えばいいかというとそうでもありません。目的ではないですから。クラウドに出せるものは出していく。もし都合が悪ければクラウドから消す、撤退することも考える必要があり、その手段はあるのかも検討する必要があるでしょう。データを外部に出すのですから、暗号化などを含め、それをどう守って行くかの大枠をユーザー自らが考えられるようになる必要があります。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
セキュリティにもストラテジストが必要
藤田 クラウドだとデータを消すにしても、仕様や状況によりすぐには消せない場合があります。こうした技術的なリスクはIT部門から経営層に伝わってないこともあり、いざ何か起きてから経営層が驚いて慌てるという場面も目にしました。
二木 私はIT部門に所属していたことがあるのでよく分かります。細かい仕様やクラウドの仕組みは複雑ですから、説明が難しいです。1日たっぷり説明する時間があればいいですが、経営層と話せる時間は限られています。究極的には人間関係(コミュニケーション)だと思います。日頃から経営層と信頼関係を築き、必要な情報を共有できるような関係を築いていれば、いざというときに慌てることは減るのではないでしょうか。
藤田 確かに経営層とは数分しか話せないですからね。「うまくいっています」という報告または予算の申請になりがちです。近年では各部門がシステム部門を通さず、独自にクラウドサービスを使うケースも出てきています。
二木 シャドウITですね。AWS(Amazon Web Service)などを使えば安価にカードで契約できてしまいます。それで企業ITのガバナンスが懸念されたりしますが、システム部門や経営層は各部門を責める前に「なぜシャドウITに手を出したのか。現状のシステムに何が足りなかったのか」を聞き取りすべきです。
藤田 今ではIT部門が提供するシステムよりコンシューマ向けサービスの方が高度ということもあります。少し前まで「会社で使うPCがXP。個人は最新のAndroid」ということもありました。余談ですが、スマートフォンだとアプリの自動更新があります。あれでアップデートの便利さを覚えてくれたユーザーもいました(笑)。情報システムでアップデートはかなり警戒されますから。
二木 昔と流れが変わりましたね。昔は情報システム(会社)が最先端のIT技術を使っていたのに、今ではコンシューマが最先端ですから。
先ほど「境界」の話がありました。今では単一のビジネスで成り立つ会社はなく、閉じたシステムというのは考えられません。そうしたなか、データのやりとりを極限まで効率化しようとするとクラウドになります。
発想を変える必要があります。これまでは境界の内側を城壁で守ってきたのですが、今では城壁にはいろんな扉がつくようになってきたわけです。そうなるとどう守れるのか。扉ごとに門番を置くのか、入ってくるのをどう扱うか、あるいは隣町までトンネルを掘るのか。複数の街ごとくくってしまうか。いろんな方法があります。境界の考え方も柔軟に変えていかないといけないと思います。
藤田 アプローチを変えていく必要がありますね。前向きにクラウドを考えているところには情報システム部門とは別に「クラウドIT部門を新設してはどうですか?」と言ったことがあります。情報システムのしがらみから離れ、新しい概念で進めていく必要があるためです。情報システム部門への報告義務はあるにしてもね。
二木 すぐにガバナンスが問題視されてしまいそうですけどね(笑)。しかしクラウドをパイロット版として使うとか、社内システムの一部としてオーソライズする仕組みがあればいいと思います。
藤田 クラウド導入で多く寄せられる質問というのはどのようなものがありますか?
二木 いまだに「クラウドでも大丈夫?」という心配でしょうか。どこかのお墨付きがほしいようですね。
藤田 クラウド技術が分かる人材がいないのも問題でしょうか?
二木 それもあります。クラウド導入で使えるチェックリストを求める声もあります。CCM(Cloud Control Matrix)、PCI DSS(PCIデータセキュリティ基準)、クラウドセキュリティガイドラインなど参考になるのもありますが、そうした既製品のチェックリストによる確認だけで安心してはいけません。なぜならチェックリストというのは本来自分たちのニーズに合わせて自分たちが作るものだからです。既製品はテンプレートとしては使えますが、ビジネスに合わない部分は手直ししていく必要があります。
藤田 セキュリティにもストラテジストが必要だと思います。中長期の先も考え、全体設計を考えられるような人材です。経営層にも説明できないといけません。セキュリティ要因というと、現場でインシデントに対応する人とCIOのようなトップはいるけど中間層がいません。
二木 確かに。中間層もいませんが、横串も足りないと思います。多様な分野を把握できる人ですね。IT全般に言えることですが。例えばSDN(Software-Defined Network)にしても全体を俯瞰してどう構成するか考える必要があります。個々の技術について深い知識は不要でも、ネットワークや仮想化環境に関する幅広い知識、知見がないと扱えません。クラウド導入にもIT全体を把握できる人材が必要です。
藤田 そう考えるとやはり教育は重要かと考えています。クラウドセキュリティ資格のCCSK(Certification of Cloud Security Knowledge)にチャレンジするのもひとつのきっかけになるかと思います。この資格は理論だけではなく実務的な知識も問われているので。
二木 この資格はSIerやIT部門の人だけではなく、個人的にはシステムの企画に関わるエンドユーザー部門の人にもチャレンジしてほしいなと考えています。一定のITのバックグラウンドがあればとれる資格ですので。むしろユーザー部門は提案を受けいれる立場なので、大きな視点でシステムを評価する目を養うためにも資格にチャレンジするのは有効かと思います。
藤田 私は、どんなに技術が進歩してもセキュリティというのはつまるところ「人」だと思います。使う側の人間がレベルアップしなくては。そのためには教育は重要だと思います。本日はありがとうございました。
クラウドに関わる全ての人へ!CSA認定「クラウドセキュリティ研修」
クラウドサービスが普及しつつある中で、セキュリティの問題を認識しつつも何をしたら良いかわからない方が多いのではないでしょうか?
日本HPでは、このような方々のためにクラウドユーザーが理解しておかなければならないリスクや課題を基礎から学ぶトレーニングを開始しました。クラウド&ビッグデータ時代に企業で求められる必須のセキュリティトレーニングです。
※本コースは、Cloud Security Alliance(CSA)のクラウドコンピューティングのためのセキュリティガイダンスに基づいています。
★CSA認定「クラウドセキュリティ基礎(1日間)」の詳細はこちらから!
★CSA認定「クラウドセキュリティプラス(2日間)」※の詳細はこちらから!
※クラウドセキュリティプラスはAWSを利用した演習を含みます。
基礎からガバナンスまでクラウドセキュリティが学べる!
HPの「セキュリティ研修」
HPの「セキュリティ研修」では、クラウドセキュリティのトレーニング以外にも、情報セキュリティの基礎を始めとして、リスク分析やBCP(継続性計画)の作成、組織全体のガバナンスまで、幅広いセキュリティ分野を体系立てて提供しています。
★HP「セキュリティ研修」の詳細はこちらから!
