MONOist 企業にとって、復旧プロセスの対策では何が課題になるでしょうか。
扇氏 過去にランサムウェアで被害を受けた企業では、復旧プロセスにかなりの時間がかかっている。特にバックアップデータに問題が発生した場合、復旧作業がそもそもできないという事態に陥る。ランサムウェア対策では以前から指摘されていた課題だが、最近特に改めて重要性を強く感じるようになった。
ランサムウェア攻撃では、そもそも内部ネットワークのセグメンテーションがうまくできておらず、複数サーバ間で一気に感染が広がるというケースも少なくない。2017年に世間を騒がせたWannaCryの事件でも、海外グループのサーバがやられて、そこから一晩のうちに全世界のグループ各社に感染が広がったという例がある。セグメンテーション分けを怠ると、1箇所の被害が全体へと急拡大してしまう。
私自身、これまで製造業は工場のセキュリティを注意すべきだと訴えてきた。しかし最近の事例を見ると、実際には工場以外のセキュリティも非常に重要なのだと痛感した。本社のシステムと工場内の事務系作業のシステムがしっかり分離されておらず、侵入口として狙われる事例もある。オンプレミス環境か否かを問わず、顧客管理データや販売データ、事務データ、それらのバックアップデータが全てやられてしまう。取引管理系のサーバやファイルサーバが被害を受けて、取引ができない状況になってしまった事例が国内でも存在する。対策として、ファイアウォールで内部を仕分ける、マイクロセグメンテーションを行う必要がある。
MONOist バックアップデータ管理のポイントは何でしょうか。
扇氏 バックアップの保護という観点で言えば、問題となるケースは大きく分けて3つ想定できる。1つ目はインターネット接続機器やVPNなどからの侵入を防ぎきれていない場合、2つ目は先述のマイクロセグメンテーションが不十分である場合だ。
そして3つ目が、バックアップを震災などの災害対策としてしか考えられていない場合である。地震などの自然災害への対策としてのみ想定していると、1箇所だけでなく、東京や大阪など複数拠点でデータを管理すれば安全だ、という考えしか浮かばない。しかしこれでは、ランサムウェア攻撃への対策になっていない。ネットワークでつながっているにもかかわらず、バックアップシステム自体のランサムウェア感染リスクが考慮されていないことなど、問題が放置されたままの状態になっている。
MONOist ランサムウェア攻撃への対応をはじめ、製造業はセキュリティ対策をどのように進めるべきですか。
扇氏 セキュリティ対策をIT部門に任せきりにせず、経営戦略として捉えて取り組む必要がある。プロダクトやサービスの生産拠点やサプライチェーン全体をIT部門だけで守ることは難しい。特に、中小以下の規模の企業のIT部門は対策を取れといわれても何もできない。
反対に現在、大企業を中心として効率的にセキュリティ対策を推進するためDX(デジタルトランスフォーメーション)推進部門と連携する、セキュリティの会議にリスク管理に関係する経営企画部門を参画させる、といった試みが進んでいる。IT部門の出番は「何をやるのかを決めた後」だ。もちろん、セキュリティ上の課題に最初に気付くこともあるだろうが、リスク要因を自部門だけでコントロールできるわけではない。ゼロトラストセキュリティが普及し始めた時点から、IT部門だけでの対策には限界が出てきた。
この他、サイバーセキュリティのインシデント対応組織であるCSIRT(シーサート)を作っただけで安心する、ということも避けなければならない。世の中には「一人CSIRT」もあると聞くが、セキュリティの脆弱(ぜいじゃく)性を把握し、対策や運用を回していくなどという作業は1人ではできない。
また、日本国内では認知度がまだ低いが、製品やサービスのソフトウェアセキュリティ対策を行うPSIRT(ピーサート)の設置も大事だ。
MONOist DX推進部門との連携が進んでいるという話がありましたが、なぜでしょうか。
扇氏 DX推進部門は社内横断的な取り組みができる組織なので、セキュリティ対策もそれに絡めて進められるという側面がある。だがそれよりも、DX推進を通じて社内に「よろこび」を与えられる組織であることが大きい。DXの実現で何が良くなるか、新しい施策にどういうメリットがあるかを示せる。このように示していく姿勢がないと、いつまでたっても、「セキュリティ対策=コスト」という認識で社内が固まったままになってしまう。
その意味ではリモートワークの普及は、ゼロトラストセキュリティを実施しやすくした面がある。VPNに頼らない接続方法を提供することで、セキュリティ対策を実施してグローバルでどのような場所からでも、誰もが同じ情報に安全にアクセスして快適に会議もできるという「よろこび」を与えられる。セキュリティ対策推進の原動力に「よろこび」を据えなければ、OTやITに加えて、サプライチェーン全体と広範な対象をカバーすることは難しいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.