悪質なサイバー攻撃の被害が相次ぐ中、企業における情報システム部門(以下、情シス)の仕事に変化が表れている。それがセキュリティ管理の外注化だ。日々、高度化、巧妙化するサイバー攻撃による情報流出を防ぐため、「自前」でのセキュリティ管理にこだわることが難しくなりつつある。情シスの未来像とは、どのような姿なのだろうか。
2017年5月に発生した、身代金を要求するランサムウエア「WannaCry」による世界的なサイバー攻撃。わが国でも数社の大企業が感染被害を受けて問題となった。メールなどに添付されて送りつけられる、こうしたマルウエアを検知するにはウイルス対策ソフトのデータベースを常に最新にしておく必要がある。しかし、1日に100万以上出現するといわれるウイルスの新種、亜種をすべて駆除するのは、もはや不可能な状況に陥りつつある。
サイバー攻撃の手口も一段と巧妙化している。特定のターゲットに対して行われる標的型攻撃メール、システムをダウンさせることによる業務妨害など、コンピューターを使うすべての業務が攻撃対象だ。
脅威が増すサイバー攻撃に対して、情報を守る側のセキュリティ対策も高度化を重ねている。具体的にはウイルス対策ソフトに代表される、侵入防止を目的とした水際対策に加え、攻撃者の動きを把握して攻撃実行を未然に防ぐ対策や、たとえ侵入を許しても被害を最小限に抑える事後対策などが開発されている。
セキュリティに関する高度なスキルを持つ人材の育成に加え、AI(人工知能)の活用も進む。AIはウイルス対策ソフトでも使われているほか、最近ではプログラムの脆弱(ぜいじゃく)性を見つけ出したり、機械学習によって攻撃内容を判定したりする利用法も本格化してきた。
セキュリティ関連技術は急ピッチで進化を遂げつつあるが、同時に困った問題も表面化してきた。それは「情シスが対応し切れない」という悩みだ。システムの開発、運用、保守など、企業におけるITの担い手である彼らに、いったい何が起こっているのだろうか。
セキュリティ対策の負担増と情報シスの業務範囲拡大
この問題を考える上で理解しておきたいのは、いわゆる「情シスの仕事」の内容が変化している点だ。かつての情シスは、自社で構築したシステム管理が業務の中心だった。会社に最適な仕組みを自身の手でつくり上げ、守るのが使命だったともいえる。ところがその後、アウトソーシングの一環としてIT関連業務を個別にベンダーに委託する機会が徐々に増えた。
一見、情シスの負担低減につながる動きにも思えるが、そうではない。ベンダーが提供するシステムは、新たな技術を取り入れる場合もあり、その知識を身に着けたり、仕組みを理解したりすることは容易ではない。また、最近は社員が個人所有のノートパソコンやスマートフォンを業務で使うBYOD(Bring Your Own Device)も普及してきているため、管理が必要な機器の数はむしろ増えた。そうした守るべき資産や端末の中にある情報を、部門の壁を越えてすべて把握しなくてはならない。
業務に使用する多くのソフトウエアやアプリにセキュリティ関連の脆弱(ぜいじゃく)性が発見されれば、それに対処するパッチ管理やバージョン管理を徹底する必要もある。ウイルス対策ソフトを更新し、パスワードの管理を徹底させる程度でセキュリティ対策が済んでいた状況は過去のものとなった。攻撃者は深夜・休日問わずサイバー攻撃を行っている。企業の情シスだけで365日24時間、即時対応を行うのは極めて困難だ。
サイバー攻撃による被害を食い止めるため、官民挙げてセキュリティ対策強化の動きも活発化する。注目されるのは、総務省が推進する地方自治体のセキュリティ対策強化に向けた一連の取り組みだ。その背景には2017年から本格化しているマイナンバーを含めた情報提供ネットワークの連携がある。
興味深いポイントは、セキュリティ対策を行う箇所が集約されていることだ。「自治体情報セキュリティクラウド」と呼ばれるこのシステムは、これまで市区町村単位で行われていた対策を都道府県単位に集約し、資源を共通利用するところに特徴がある。
集約の理由は従来の個別対策では攻撃を防ぎ切れないこと。多くのサイバー攻撃はシステムの弱い部分や、管理の行き届かない部分を狙って行われる。さまざまな理由で未対策の自治体が1つでもあれば、そこを踏み台にして全国規模の攻撃につながる。インターネットの接続箇所が分散していると、対策のレベルを一定に保つことが困難な上に、保守・運用の手間も増してしまう。
民間にも当てはまる。インターネットによってさまざまな企業のシステムが相互に連携する現在、未対策企業の存在は大きなリスクになる。ビジネスの基本となる顧客情報をはじめ、生産や取引に関する情報、さらには従業員の個人情報など、企業のシステムには守るべき重要情報が詰まっている。規模の大小を問わず、これらの情報を扱うすべての企業はセキュリティ対策の高度化が必要だ。
重要情報を持つ企業はセキィリティ対策を外部のプロに任せたい
とはいえ、前述の通り企業のセキュリティ対策を取り巻く環境は厳しい。中でも深刻なのが人材不足の問題だ。サイバー攻撃の脅威が高度化していく中で、それに対応し、追随できる人材を育成することは簡単なことではない。
このような状況で考えられる最善の答えは、セキュリティ対策に長けた外部のプロ(ITベンダー)に対策を依頼する方法だろう。社内で情報管理体制を整備したり、責任の所在を明確にしたりしておくのはもちろんだが、外部の専門家の力を借りることがセキュリティ対策のレベルアップにつながるだろう。
避けるべきは「人材はいないし、今のままで問題は起きていないから取りあえず放置」という状態だ。セキュリティ対策強化の取り組みはすべての企業に課せられた義務と捉え、直ちに対策を講じる必要がある。もはや一刻の猶予も許されない。
