お問い合わせ

日本社会の中でもテレワークが浸透し、クラウド利用の活性化も目立つ。当然ながら、セキュリティ施策のあり方にも大きな変革が求められている。NECの釜山公徳は今の時代のセキュリティを考える上で重要な観点が2つあると言う。

その1つは「セキュリティは企業にとって、単なるコストではなく、また短期的な投機でもなく、価値ある投資である」ということ。そして2つ目は、「最初に守るべきものを定義することこそがセキュリティ施策の要諦である」ということだ。言い換えれば、自社にとって最適なセキュアアーキテクティングを検討していく上で、この2点をしっかりと理解することが大前提となるわけだ。

セキュアアーキテクティングについては、各方面からさまざまな考え方が提出されている。例えば「Security by Design」などは、最もよく知られているものの1つだろう。この考え方については、いくつかのポイントがあるが、第一に挙げられるのが「企画・設計のフェーズからセキュリティを考慮すべき」としている点だ。

例えば、OSを導入すれば、随時リリースされるセキュリティパッチを適用していくことが必須であることはもはや常識だ。しかし、どういうパッチを、どのタイミングで、誰が、どのようにして当てていくかをしっかりと検討しておく必要がある。「つまり、Security by Designでの『設計』には、システムそのものはもちろん、運用設計も含意されていることを正しく認識する必要があります」と釜山は強調する。

重要なのは全体最適を考慮したアーキテクチャ思考

また、NIST（米国標準技術研究所）が策定している「Cyber Security Framework」もセキュアアーキテクティングを考える上で重要な指針となる。同フレームワークでは、「識別（ID）」「防御（PR）」「検知（DE）」「対応（RS）」「復旧（RC）」という5つのフェーズでフレームワークコアを構成。例えば識別については、 IDにまつわる資産管理やガバナンス、リスクマネジメントといったものを適切に実践すべきとしており、防御についてはID管理とアクセス制御、意識向上およびトレーニングなど、重要サービスの提供を確実にする保護施策の検討と実施を求めている。こうしたフレームワークを活用し、各フェーズでの施策を適切に実践していくことが重要なのだ。

一方、コロナ禍を受けてテレワークが浸透し、クラウド利用が活性化する中でのセキュリティ施策をめぐる話題として、今とりわけ注目度が高まっているのが「ゼロトラスト」だ。それ自体は「継続的評価」や「性悪説」「動的ポリシー」「アーキテクチャ思考」といったキーワードによって特徴づけられる「リソースにフォーカスしたサイバーセキュリティのパラダイム（考え方）」である。

「現在、ゼロトラストを謳ったさまざまなソリューションが市場に投入されてきていますが、ある施策領域に導入したからといって、直ちに『ゼロトラストに対応している』ことにはならない点に注意が必要だ。特に重要なのが全体最適を考慮したアーキテクチャ思考であり、それがあって初めてゼロトラストの実装が可能となります」と釜山は説明する。

さらに、Azure上でのシステム設計のベストプラクティスを集大成した「Azure Well-Architected Framework」も、同インフラ上でのセキュアアーキテクティングにかかわる検討を進めるにあたっては、きわめて有用な参考情報となるはずだ。

「そのほか、クラウドベンダーやNIST、CSA（Cloud Security Alliance）といった関連団体が公開している『責任共有モデル』や、わが国の政府が提唱する『クラウド・バイ・デフォルト原則』にかかわる資料にも目を通しておくことをおすすめします」と強調した。

お問い合わせ