テクノロジーを用いて生産性の向上や新たな価値の創出を目指す企業が増加している。こうした取り組みはデジタルトランスフォーメーション(以下、DX)と呼ばれており、ビジネスそのものを根底から変革する可能性を秘めている。
このDXにおける取り組みの中で、セキュリティをどのように位置づけ、どう取り組めばよいのかについて、NRIセキュアテクノロジーズ DXセキュリティ事業本部長の佐藤健に話を聞いた。
DXでは上位のサービスにまで踏み込んでリスクを考える
――― 現在、多くの企業がDXに向けた取り組みを進めていますが、その領域におけるセキュリティ対策では何に気をつけるべきでしょうか。
これまでのITセキュリティは、システムの脆弱性に対する攻撃をどう防ぐかという観点で考えられていました。しかしDXが進んで新たなビジネスが創出されると、そのビジネスモデルの弱点を突いた攻撃が生まれるのではないかと危惧しています。
例えば単体のサービスであれば安全であっても、別のサービスやテクノロジーを組み合わせたときにリスクが生じる可能性もあります。さらにサービスを提供するビジネスのロジックに穴があることも起こりえるため、ビジネスモデルを理解した上でセキュリティ上のリスクがないかを検証する取り組みが必要でしょう。
またDXを実現するテクノロジーの1つとしてIoTに注目が集まっていますが、それをビジネスの中に採り入れる際には、ハードウェアの調達も含めたサプライチェーン全体でセキュリティを捉えることも重要になるでしょう。
1999年 テクニカルエンジニアとして野村総合研究所に入社。情報セキュリティサービスを提供するFNC(現SecurePROtecht)チームに配属された後、NRIセキュアの設立に参加。マネージドセキュリティサービスや独自ソフトウェア・サービスの開発などを担当。その後ユービーセキュアに出向し、2013年からは同社の代表取締役社長を務める。2017年にNRIセキュアに復帰。2019年4月より、新たに立ち上げられたDXセキュリティ事業本部を指揮する。
――― そのようなリスクがあると考えたとき、DXの実現に向けたプロジェクトはどのように進めるべきでしょうか。
実際にDXに取り組む際、はじめから大きなものを作るのではなく、小さいところからプロジェクトをスタートし、徐々に拡大させていくという形が多いのではないかと思います。その際、その時々のレベルや規模に応じてセキュリティを担保しなければなりません。
プロジェクトがスタートしたばかり、あるいはサービスを開始したばかりだからといって、セキュリティをおろそかにすれば、将来的に大きなリスクを抱え込むことにもなりかねないでしょう。アイデアを作り出す段階、あるいはPoC(Proof of Concept:概念実証)の段階からセキュリティを考慮し、システムやビジネスモデルの中に組み込んでおくことが必要です。
図. デジタルサービスの企画・開発プロセスにおいて考慮すべきセキュリティ
DXプロジェクトにセキュリティ担当者を組み込むべき
――― 実際にアジャイル開発でDXを進めることを考えたとき、どのような点に注意すべきでしょうか。
アジャイル開発ではリリースサイクルが短くなるため、リリースのタイミングだけでセキュリティを担保するのは難しい面があると思います。そこでNRIセキュアでは、開発プロセスの各フェーズでどういったことを考慮すべきか、具体的なアドバイスを提供し、セキュリティを組み込んだ形でのアジャイル開発を支援しています。
また、外部の力を利用するだけでなく、個々の企業、あるいは個々のプロジェクトの中でセキュリティを担当する人材を育成することも欠かせません。技術的に深いレベルまで精通している必要はありませんが、少なくともセキュリティに関して旗振り役となり、セキュリティレベル向上に向けた施策を推進できる人材を配置しておかなければ、スピード感を持ってDXに取り組むことはできないでしょう。
DXに関連した幅広いサービスを展開
――― NRIセキュアでは、セキュアなDX実現のためにどのような支援をおこなっていますか。
先にお話ししたように、DX時代のセキュリティはビジネスモデルやそこに含まれるロジックまで含めて検討する必要がありますが、テクノロジーからビジネスのレイヤーに至るまで、一貫したセキュリティサービスを提供できるのはNRIセキュアしかないと考えています。具体的なサービスとしては、セキュリティ面からDXに関するプロジェクトを支援するコンサルテーションサービスなどのほか、最初にお話したサービスレイヤーからセキュリティについて検討し、課題や脆弱な点を解消することを目的とした「S-SIRT(Service-Security Incident Response Team)」を提供しています。
またDXではアジャイル開発と併せ、開発と運用に一体的に取り組むDevOpsの考え方も広まっています。そのサイクルにセキュリティを組み込み、DevSecOpsを実現するソリューションサービスの提供も予定しています。
図. デジタルサービスを支えるソリューション
※DAST(Dynamic Application Security Testing):稼働しているアプリケーションに対して、疑似的な攻撃(検査)リクエストを送信し、アプリケーションの挙動の変化から脆弱性があるかどうかを判定する検査手法。
※IAST(Interactive Application Self Testing):アプリケーションと一体的に稼働させ、実行環境を監視しながら脆弱性の検出を行う検査手法。
※SAST(Static Application Security Testing):アプリケーションのソースコードを解析し、脆弱性の検出を行う検査手法。
※RASP(Runtime Application Self Protection):アプリケーションと一体的に稼働させ、アプリケーションレベルで異常を検出し、防御を行う手法
※CSPM(Cloud Security Posture Management):主要なIaaS (AWS, Azure, GCP等) を対象として、セキュアな設定がなされているかの継続的なモニタリングと適切な設定への修正を支援するソリューション。
NRIセキュアでは、2019年4月にDXセキュリティ事業本部を立ち上げましたが、すでに多くのお客さまからご相談をいただいています。お客さまにお話を伺うと、DXプロジェクトを進める中でどのようにセキュリティに対処すべきか分からないというお悩みを聞くことが少なくありません。特に日本の場合、アジャイル開発やDevOpsといった取り組み自体がアメリカなどと比べると遅れていて、DXへの取り組みと併せてそれらにチャレンジするケースが目立ちます。そのため、どうしてもセキュリティが後回しになってしまう傾向があります。
ただセキュリティリスクは経営上の問題でもあり、DXへの取り組みにおいても無視することはできません。NRIセキュアとしては、マネージドセキュリティサービスからコンサルティング、さらにはサービスやソフトウェアの開発まで対応するセキュリティベンダーとしての知見を生かし、お客さまと併走しながらDXプロジェクトの成功に向けて支援を行っていきます。
おわりに
DXにより企業におけるビジネスの在り方が変わろうとしている。情報リソースやデジタル技術を戦略的に活用し、独自のサービスを生み出すことで、「企業価値」を向上させる企業が増えてきた。
そして、それらのサービスは「安心・安全に利用できる」という前提の上に成り立っている。企業にとってDXがビジネスの中心になろうとしている今、セキュリティに対しての投資を「経営戦略」としてとらえて、企業のトップがセキュリティリスクと向き合うことが求められる時代になったのである。
<参考:NRIセキュアのデジタル・セキュリティ関連サービス>
その他 お問い合わせ先:info@nri-secure.co.jp