コラム

安全だったものがいつ危険になってもおかしくない

ぜい弱性対策情報データベースJVN iPedia（https://jvndb.jvn.jp/index.html）のWebサイトを見ていると、いかに多くのぜい弱性が毎日見つかっているかに驚かされます。MicrosoftやGoogleのようなメジャーなベンダーのソフトウェア製品であっても、発見されたぜい弱性を放置していれば、不正アクセスされるのをただ待っているだけのような危険状態に陥ってしまいます。困ったことに情報セキュリティソフトも例外ではなく、絶対に安全という言えるものは何一つないのです。ソフトウェアの最新化を怠らないようにしてください。

クラウドサービスやレンタルサーバすら安心できない

MicrosoftのOneDriveやGoogleDriveといったクラウドサービスにもぜい弱性が発見されることがあります。ホームページを置くだけのレンタルサーバであっても、WordPressのぜい弱性のために多くのWebサイトが不正アクセスされて改ざんや情報漏えいされる事件が起きています。対策としてはやはり、クラウドサービスやレンタルサーバといった委託先がソフトウェアの最新化を徹底しているか確認することが必要になります。

内部の人も組織も機器も安心できない

いつ危険になるかわからないという意味では、人も組織も機器もです。機密情報を扱える社員が異動、退職するだけでなく、最近では副業することもあり得るでしょう。ある部署が社外と協業することになった場合、共有していい情報とだめな情報がきちんと区別できているでしょうか。機械設備もIoT化とネットワーク化が進んでおり、今やロボット掃除機や湯沸かし器すらスマホからリモートコントロールできます。工場やオフィスにある機械設備が乗っ取られて人命すら危険にさらされるかもしれないのです。

DXの進展が想像できないほどのぜい弱性を生み出すことに

国をあげてDXデジタル・トランスフォーメーションが推進されている中で、部署の壁や企業の壁を越えて連携が行われるようになっています。今まで以上に人や組織、機械設備、ソフトウェア、クラウドサービスなどの共有や相互利用が進んでいくことが推測できます。

DX時代の企業はこれまで予測もしなかったぜい弱性と取り組まなければならなくなるでしょう。

境界型セキュリティの限界

視点を切り替えて、情報セキュリティの現状に目を向けてみましょう。従来からある境界型セキュリティでは、ネットワークを「信頼できる側」と「信頼できない側」に分けることによって、「信頼できる側」を守ろうとします。そのため、「信頼できる側」と「信頼できない側」との間の境界にファイヤーウォールなどの情報セキュリティ機器を設置することで境界をつくります。内と外との接点、交流が限定的であったDX前の時代であればそれでも十分だったと言えます。

内と外との境界があいまい化する時代に

しかし、DX推進が加速する現代社会では「信頼できる側」と「信頼できない側」に分ければよいという考え方で済むほど簡単なものではありません。社員が自宅や喫茶店、ホテルや駅、空港など様々な場所で仕事をするテレワークの普及や、派遣社員やアルバイト、副業、フリーランスなど様々な働き方の登場、さらには企業間で情報共有が行われるコラボレーションプロジェクトなど、もはやファイヤーウォール一つで企業内外を分けることなど不可能になってきているのです。

社内LANとクラウドのどちらが安全か

古い情報セキュリティポリシーを持つ企業では、クラウドは危ないから使うなと命じている場合があります。しかし、誰もが簡単にアクセスできて自由にファイルを読み書きできるファイルサーバと、ログイン認証とアクセス制限で守られているOneDriveやGoogleDriveなどのクラウドディスクのどちらが安全でしょうか。大切なお金をタンス貯金にするべきか銀行に預けるべきかを考えれば答えは明白でしょう。

何も信頼しないゼロトラストへ

内と外との境界があいまい化していくDX時代に向けて、何も信頼しないゼロトラストが注目されています。ゼロトラストでは社内からのアクセスであっても社外からのアクセスと同様にログインチェックし、社員であっても不適切なアクセスは拒否します。反対にどこからアクセスしようともログイン認証されれば、暗号化通信によって安全にシステム利用することができます。

責任権限の明確化から見直そう

あらゆるサーバがクラウド化する中で、どこからでも社内システムにアクセスできるようになっていきます。それと同時に自分が自分であることを証明するユーザIDとパスワードの重要性が増すと同時に、成りすましを防止するためのワンタイムパスワードなどを利用した二要素認証の導入が進むでしょう。また、正当なユーザであっても不適切なアクセスを排除するために、そのユーザがアクセスできるシステムやデータの範囲を責任権限に応じて制限することが必要になります。不必要なアクセス権限を与えられないことによって、誰もが責任権限を超えた不適切なことができなくなるため、怪しまれることなく安心して仕事に専念できることにもなるのです。

ぜい弱性対策とSBOM

DX時代の情報セキュリティ対策として、もう一つ大きなトレンドが起きようとしています。それはSBOM（Software Bill of Materials：ソフトウェア部品表）という考え方です。

昨年2023年7月に経済産業省から「ソフトウェア管理に向けたSBOMの導入に関する手引き」（https://www.meti.go.jp/press/2023/07/20230728004/20230728004.html）という文書が発行されました。これは2021年5月に米国で策定された大統領令「Improving the Nation’s Cybersecurity」（国家のサイバーセキュリティの強化)を受けてのものです。

これらは、クラウドサービスを含むソフトウェア製品には多くのソフトウェア部品が使用されており、特に自己責任でのメンテナンスが必要とされるOSSオープンソースソフトウェアのぜい弱性が放置されることが危惧されるため、SBOMソフトウェア部品表を作成・維持することでソフトウェア最新化を徹底させようとするものです。

OSSオープンソースソフトウェアのようにソフトウェア部品を外部調達することで生まれるソフトウェアサプライチェーンが当たり前になっている中で、一つの不良ソフトウェア部品が社会全体に大きな影響を与える危険性を考えれば、DXの進展はチャンスとリスクを併せ持つ諸刃の刃とも言える取り組みと言っても過言ではないでしょう。

情報セキュリティ強化なしでのDX推進はあり得ない

DXを推進するならば情報セキュリティの強化は避けて通れません。もはや従来の境界型セキュリティでは自社も顧客も取引先も守ることは不可能です。ゼロトラストへと舵取りすることは企業防衛という意義にとどまらず、安全に協業、取引であることを示す未来牽引企業としてのDXパスポートとも言うべき価値があるのです。

＜執筆者＞

MBA 、技術士（経営工学・情報工学）、情報処理安全確保支援士　杉浦　司

『消費を見抜くマーケティング実践講座』（翔泳社※ユニクロ柳井社長推薦）、『 IT マネジメント』（関西学院大学出版会※ユニクロ岡田 CIO 推薦）、『情報セキュリティマネジメント』（関西学院大学出版会※ NTT ラーニング推薦）、『戦略マネジメント』（関西学院大学出版会）等著書多数。