前回の記事では、ダイワボウ情報システム(DIS)の谷水氏に、中堅中小企業(SMB)のDXを支援する同社のアプローチを、マネージドサービスの観点から語ってもらいました。後編ではDXを進める上でも必要不可欠となっているセキュリティ対策について、ユーザーにとっての課題や同社でのセキュリティ関連サービスに触れながら伺っていきます。
予算も人材も不十分なSMBのセキュリティ事情
石黒 DISでは、Cisco Secure Endpoint, Cisco Umbrellaなどを用いたセキュリティ分野でのマネージドサービスも提供いただいています。こうしたセキュリティ領域で、今後どのような展開を考えているのでしょうか。
谷水氏 当社では、ユーザーやデバイスをインターネット上の脅威から保護する各種のサービスを提供しています。
セキュリティ領域におけるサービスについてはさらにソリューションを拡充していきたいと考えています。たとえばEASM※(External Attack Surface Management)や、マルチクラウド利用におけるワークロードマネジメントなどは、今後のセキュリティ対策のコアになると考えています。
石黒 それはSMBのお客様についても同様ですか。
谷水氏 率直なところ基本的なマルウェア対策やファイアウォールなどはさておき、EASMやワークロードマネジメントについても必要性を認識しているSMBのお客様は、まだまだ少数であるのが現実です。したがってこれに関しても販売パートナー様としっかり連携して、お客様への情報発信や啓蒙活動を強化していきたいと考えています。
石黒 そもそもセキュリティ対策に関しては、どうしても企業規模に応じて投入できる予算のレベルが変わってくるという現実があります。
谷水氏 特にSMBのお客様は自分たちのビジネスに直接的に貢献するわけではないセキュリティに対して、多大なコストをかけることに後ろ向きになりがちです。とはいえ昨今の悪質化するサイバー攻撃に対して何の対策も打たないわけにはいかず、ツールを導入することによって防御を固めようとします。
ただし、これにもやはり問題があります。予算が足りず、セキュリティの専門知識をもったIT担当者もいない中でツールを導入しても、運用に無理が生じて形骸化してしまったり、アップデートが追い付かずに使われなくなったりしてしまうケースがあります。
※EASM:インターネットに公開されている自社の情報を監視し、データや資格情報が外部からどのように見えているか“攻撃者に狙われる前”に確認することができるセキュリティツール。ドメイン名を登録することで、攻撃者と同じ視点で脅威を把握することが可能になり、資格情報が漏洩していないか確認することができる
システムやネットワークの健全性を維持するための取り組みが重要
石黒 そんなSMBのお客様に向けて、どんなサービスを計画していますか。
谷水氏 SMBのお客様が一番苦慮するのは実際にサイバー攻撃を受けた際の対処であり、販売パートナー様とも連携しながらインシデント対応のサポートサービスを拡充していく必要があると考えています。さらに、復旧したあとのシステムやネットワークの健全性を維持するためのサービスも重要です。
石黒 システムやネットワークの健全性を維持し続けるための取り組みを、SMBのお客様自身で行うのは容易なことではありませんよね。
谷水氏 したがってツールを導入しても運用が難しいお客様に対しては、私たちが代わりにそのツールを使って定期的に健全性を診断し、レポートを出したりアドバイスを行ったりするサービスを提供しています。
セキュリティ対策ではユーザーの意識改革も必須
石黒 前回は、DX推進を担っていく人材育成の取り組みについてもお話をいただきましたが、同様にセキュリティについても人材育成は非常に重要です。
谷水氏 まさにそのとおりで、ユーザーの意識を変えないことにはセキュリティの抜本的な改善にはつながりません。実際、先に述べたシステムやネットワークの健全性チェックを代行するサービスでも人的なリスクが目立ちます。
たとえば過去にフィッシングサイトに誘導されてマルウェアに感染してしまうといった痛い経験をしたにもかかわらず、ログを調べてみるとブロック済みのそのサイトに相変わらずアクセスしようとしているなど、ユーザーの行動が変わっていないケースが見られます。
石黒 そうした課題の解決に向けて、どんなアプローチをとっていますか。
谷水氏 ユーザーの意識を変えていくためには、やはりさまざまな機会を通じて地道な教育を行っていくしかありません。そこで前回紹介したDX人材育成プログラムの基礎研修においても、たとえばセキュリティの概念やセキュリティポリシーを順守することの重要性に関する内容を盛り込んでいます。
また、実践教育ではノーコード/ローコードツールを使ったアプリケーション開発の実習を行っていますが、そのカリキュラムの中でもセキュリティをしっかり担保することの重要性を学んでいただいています。
対策が後手に回りがちな開発環境のセキュリティ
石黒 脆弱性を抱えたアプリケーションがAPIなどを通じて他のさまざまなアプリケーションと連携しはじめると、セキュリティリスクが全社に広がってしまいかねません。
谷水氏 顧客情報や営業情報などを管理している業務系のサーバーと比べ、開発環境のセキュリティはおざなりにされがちだからです。
健全性チェックの代行サービスを通じても、サーバーのOSに最新のセキュリティパッチが適用されていなかったり、他の業務サーバーと同じLANセグメントでつながっていたりするケースがよく発覚します。
実際、世の中では脆弱な開発用サーバーに不正侵入され、マルウェアをラテラルムーブメント※で拡散されるといったインシデントも頻発しているだけに、「不必要な通信のパスは切り、必ずセグメントを分ける」といった基本的なことからアドバイスを行っています。
石黒 仮にそういったセキュリティに関する教育やコンサルティング、サポートを個別に導入するとなると、巨額のコストがかかると予想されます。これに対してマネージドサービスなら、複数企業のシェアリングによるコストメリット(割り勘効果)も生まれるということですね。
地方を含めた日本全体のSMBのセキュリティの底上げを担っていくソリューションとして、DISのマネージドサービスに当社も大きく期待しています。本日はありがとうございました。
※ラテラルムーブメント(横方向の移動):サイバー攻撃の中で行われる行動の一種。攻撃者が組織のネットワーク内に侵入後、目的を達成するために行動範囲を他のシステムへ広げていくこと