Canon Security Days/ESET Security Days 2019
開催レポート

開催報告 専門家が語る!DXで進化を目指す企業に必要なセキュリティとは Canon Security Days/ESET Security Days

2019年11月12日(火)から13日(水)まで、Canon Security Days/ESET Security Days 2019を開催いたしました。
今年で3回目の開催となる本イベントでは、セキュリティの最前線を走り続ける豪華講師陣をお迎えし、産官学それぞれの視点から「デジタル・トランスフォーメーション(DX)時代に必須となるセキュリティ対策」について熱く語っていただきました。
会期中は多くの方にご来場いただき、セキュリティ対策の「次の一歩」について、多くの議論が交わされました。

会場プログラムの最終講演として開催したパネルディスカッションを、開催レポートとしてお届けいたします。

専門家が教えるDX時代のセキュリティ、
「GDPR」「DevSecOps」「CSF」…その本質は?

デジタル技術を活用して現在のビジネスを再構築する「デジタル・トランスフォーメーション(DX)」の進展に伴い、クラウドやAI(人工知能)、IoT(モノのインターネット)、ロボットなどさまざまな先進技術が利用されるようになった。そこで改めて考えなければならないのが「セキュリティ」だ。これまで考えられなかった危険・リスクが顕在化するDX時代に求められる、セキュリティの正しい姿とは何か。多摩大学大学院 西尾 素己氏、JPCERTコーディネーションセンター 洞田 慎一氏、キヤノンマーケティングジャパン 石川 滋人氏が議論した。モデレータは日経BP総研フェロー 桔梗原 富夫氏が務めた。

(写真左から)日経BP総研フェロー 桔梗原 富夫氏、
多摩大学大学院 ルール形成戦略研究所 首席研究員 西尾 素己氏、
JPCERTコーディネーションセンター 早期警戒グループ担当部長・マネージャ 洞田 慎一氏、
キヤノンマーケティングジャパン セキュリティソリューション事業企画部 部長 石川 滋人氏

DX実現に不可欠な先進技術が抱えるセキュリティの課題

日経BP総研 桔梗原 富夫氏(以下、桔梗原氏):まずはDX時代の新たな脅威について、ご意見をお聞かせください。

多摩大学大学院 西尾 素己氏(以下、西尾氏):サイバー攻撃はこれまでと比べ、明らかに変質しています。2010年前後は、愉快犯やハクティビスト(政治的・社会的なメッセージ性を持つネット犯罪者)といった、自己顕示欲を満たしたり政治的思想を表現したりすることを目的とする攻撃が多数派でした。その後、「サイバー攻撃のビジネス化」が進行します。現在はさらに進んで、サイバー空間におけるスパイ活動である「サイバーエスピオナージ」が活発化しています。

多摩大学大学院 ルール形成戦略研究所 首席研究員 西尾 素己氏

幼少期より世界各国の著名ホワイトハットと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。ITベンチャー企業での新規事業立ち上げや、セキュリティベンダーでの基礎研究に従事したのちに大手検索エンジン企業に入社。その後、米国会計系コンサルティングファーム、多摩大学大学院 ルール形成戦略研究所、米安全保障系シンクタンクに着任。

キヤノンマーケティングジャパン 石川 滋人氏(以下、石川氏):一般的な企業はIPS(侵入防止システム)やファイアウォール、アンチウイルス、アンチスパム、サンドボックスなどの対策を実施していますから、それらをかいくぐるのは容易ではないと考えられてきました。ところが、現在のサイバー攻撃は非常に巧妙化しています。たとえば、あるマルウェアは、仮想OSでは動作しない仕組みを持ち、サンドボックスでは検知できません。また、あるランサムウェアは、感染後に支払いを求めるポップアップを表示しますが、それは偽装で、本当の目的はバックドアを仕掛けることにあります。

キヤノンマーケティングジャパン セキュリティソリューション事業企画部 部長 石川 滋人氏

1987年、キヤノン販売(現キヤノンマーケティングジャパン)に入社。 2003年よりセキュリティ事業の本格立上げに参画。2016年7月より現職。情報処理安全確保支援士。

桔梗原氏:DX時代のテクノロジーとして、多くの組織がクラウドを活用しています。クラウドの普及に伴う脅威についてはいかがでしょうか。

西尾氏:4年ほど前に、当時の議員の方と一緒に日本版FedRAMPを作ろうとしたことがありました。そこで浮き彫りになったのが、米国と日本の考え方の違いです。米国では、もはや1つの組織で米国のセキュリティ水準を保つことは不可能だと考えているのです。そこで出てきたのが、NIST(米国標準技術研究所)のフレームワークであり、それに準拠していることを証明するのがFedRAMPという位置付けになります。

  • FedRAMP(Federal Risk and Authorization Management Program)。米国の連邦政府共通のクラウドサービス調達のためのセキュリティ基準のこと。

桔梗原氏:つまり、国がクラウドのセキュリティ基準を定め、クラウドベンダー側がその認証を取得してセキュリティを担保するという流れですね。では、クラウドを使うユーザー側には何が求められているのでしょうか。

石川氏:かつてクラウドは不安だという時代もありましたが、現在はむしろクラウドの方が安全だと認識が変わってきていますね。ただし、クラウドを利用する側は何もしなくて良いわけではありません。

たとえば、ID管理やアクセス制御、データを預けるのであれば暗号化も必要です。また、マルチクラウド/ハイブリッドクラウド環境では、クラウドごとに設定が異なるため、CASB(Cloud Access Security Broker)のようなサービスが必要になりますが、現実の運用にフィットするサービスがないというのが実態です。クラウド関連の技術・製品は、今後さらに整備が必要でしょう。

桔梗原氏:IoT(モノのインターネット)についてはどうでしょうか。すでにPoC(概念実証)のフェーズをすぎて、実用段階に入っていると思いますが。

JPCERTコーディネーションセンター 洞田 慎一氏(以下、洞田氏):IoTのセキュリティといえば、Webカメラやルータに感染してDDoS攻撃を引き起こしたマルウェア「Mirai」が有名です。しかし、それは問題の一側面にすぎません。注意すべきは、これまでネットワークにつながっていなかったモノがつながることで何が起きるかを考える“想像力”の欠如だと思います。

JPCERTコーディネーションセンター 早期警戒グループ担当部長・マネージャ 洞田 慎一氏

前職において大学のシステム管理業務に従事。2015年4月に、JPCERTコーディネーションセンター 早期警戒グループ情報分析ラインに着任。2019年3月より現職。
情報セキュリティアナリストとして、主に国内を標的としたサイバー攻撃に対する情報収集や分析、早期警戒情報、注意喚起情報の提供、また、サイバーメトリクスグループにおいてインターネット定点観測システムやインターネットリスク可視化サービスの運用改善に従事。その他、国内外のカンファレンス等での啓発活動なども行っている。

西尾氏:似たことはレギュレーションの世界でも起きています。たとえば、国内のある部品メーカーは、これまでサイバーセキュリティとは無縁だと考えていました。しかし、自動運転車が開発されるようになって、調達先から外れてしまったのです。なぜなら、自動運転車を米国で走行テストするには、その車両がNIST対応している必要があったためです。このように、DX時代はこれまで思いもよらなかった事業リスクが突然現れます。

「DevSecOps」は本当に有効か?「CSF」が注目される理由は

桔梗原氏:最近は「DevOps」で開発スピードを上げながら、同時にセキュリティも対策するという意味で、「DevSecOps」という概念が聞かれるようになりました。

日経BP総研 フェロー 桔梗原 富夫氏

1983年早稲田大学理工学部卒業後、SIベンダーを経て87年日経BPに入社。一貫してICT分野を担当。「日経IT21」「日経ソリューションビジネス」「日経コンピュータ」の編集長を経て、2010年コンピュータ・ネットワーク局長、12年執行役員、13年「日経BP総研 イノベーションICTラボ」所長、18年4月より現職

洞田氏:長年、脆弱(ぜいじゃく)性を調査してきた立場からは、脆弱性を悪用された攻撃に対してその対応をどう進めるかという点で混乱があるように思います。1つひとつのコンポーネントはセキュアコーディングできていても、全体を組み合わせたとき、本当にビジネスとしてのセキュリティが担保されているかという視点が重要ではないでしょうか。

石川氏:やはり、全体の中でどうとらえるかということですね。セキュリティの世界には「セキュリティは投資なのか、コストなのか」という議論がずっとありますが、私の考えでは、事前にシステムに組み込まれたセキュリティは「投資」で、後追いで必要になるセキュリティは「コスト」です。

そもそもセキュリティは非機能要件であり、システムやサービスを開発する側に任せられるケースがほとんどです。顧客側から開発手法を指定されることはまずありません。したがって、DevSecOpsのような開発手法を採用するかどうかは、開発側次第ということになります。そこで、スピードとコストとセキュリティのバランスを考えることになるでしょう。

西尾氏:私は開発者でもありましたので技術的な観点からコメントすると、「SAST(静的アプリケーションセキュリティテスト)」や「DAST(動的アプリケーションセキュリティテスト)」といったテストを開発のフローに組み込むことで、かなりの脆弱性を防げるのは確かです。したがって、こうした取り組みは重要だと考えています。

桔梗原氏:もう1つ近年よく聞くようになったのが、NISTの「サイバーセキュリティフレームワーク(CSF)」です。

西尾氏:NISTのCSFが注目される理由は、侵入されることを前提としている点です。CSFは「特定」「防御」「検知」「対応」「復旧」という5段階で構成されています。「特定」「防御」でいかに侵入されないようにするか、「検知」「対応」「復旧」で侵入されたらどう対処するかを規定しています。

セキュリティに完璧はありませんし、コストも重要です。セキュリティを強化するために100億円かけても、市場規模が1億円しかなかったら大損です。したがって、何らかの脆弱性は残ります。ある程度の侵入はやむを得ません。それを前提に考えられたNISTのCSFは高く評価できると思います。

桔梗原氏:キヤノンマーケティングジャパンでは、NISTのフレームワークにのっとった提案をしているのでしょうか。

石川氏:実際の提案は、お客さまの要望に沿って「防御」に偏りがちですが、現実を見れば侵入を前提とすべきなのは明らかです。NISTのCSFに沿って「特定」「防御」「検知」「対応」「復旧」のバランスを見ながらお客さまと話をするだけでも、非常に意味があると思います。たとえば、「新しい脅威に対して防御はできているが、復旧はまだ不十分」など“可視化”ができるからです。NISTのCSFは現状を整理するためにも、とても分かりやすい考え方だと思います。

桔梗原氏:対策という点では、「CSIRT(Computer Security Incident Response Team)」もかなり広がってきました。洞田さんは、CSIRTの現状をどう見ていますか。

洞田氏:CSIRTはかなり一般的になったと思いますが、それだけでは問題は解決できません。CSIRTにできることは、あくまで現実に起きていることへの対応です。それが脆弱性に起因するなら、脆弱性を修正しない限り問題は終わりません。したがって、そこは製品の脆弱性に起因するリスクに対応する組織である「PSCIRT(Product Security Incident Response Team)」が必要になります。CSIRTとPSIRTがバランスを取りながらインシデントに対応することが、DX時代には求められています。

ルールの明確化は、攻めのデータ活用を後押しする

桔梗原氏:DX時代に攻めのデータ活用を推進する上で、注意すべきことは何でしょうか。

西尾氏:データ活用に関しては、各国にGDPR(EU一般データ保護規則)を始めとするさまざまな規制があります。その結果、「活用したくても怖くてできない」と考えている日本企業も多いかもしれません。しかし、米国、欧州、中国などのデータ活用に積極的な企業のトップは、まったく違います。彼らは「これらのルールをすべて満たせば、何をしてもいいのだ」と考えているのです。

かつては法整備が不十分だったため、何かやると「それは大丈夫なのか」となり、さまざまな訴訟が起きていました。しかし現在は「やってはいけないこと」「守るべきこと」が明確に定義されたので、先進的な企業はむしろ積極的になっています。やってはいけない“黒いエリア”が決まったので、“白いエリア”も決まったといえるでしょう。それが真の攻めのデータ活用ではないでしょうか。

洞田氏:重要なことはデータの透明性だと考えます。一言でデータといっても、個人情報もあればIoTのセンサーデータもありますし、それらをAI(人工知能)に学習させて、そこから出てきた二次データ、三次データもあります。さらに、こうしたデータがクラウド上にあったり、パートナーが持っていたり、サプライチェーンで活用されたりと、データの所在も非常に分かりにくくなっています。こういったデータの透明性をどうやって担保するかが、重要になるのではないでしょうか。

桔梗原氏:AIの話が少し出ましたが、AIとセキュリティという観点ではいかがですか。

西尾氏:AIでは、教師データの正しさが重要になります。たとえば、これから利用する道路を空ける目的で、私が「道路が混んでいる」という偽の情報を流したとします。するとほかの人はその道を避けるため、結果的に私はすいた道を利用できることになります。これは間違ったAIの育て方です。こうしたことを防ぎ、AIを正しく育てるためには、教師データの真正性を担保することが重要です。

求められるのは、ルールと想像力とバランス感覚

桔梗原氏:最後に、DX時代のセキュリティを考える上でのアドバイスをいただけますか。

西尾氏:私はもともと独学でサイバーセキュリティを学び、海外のホワイトハッカーたちと互いのサーバをVPNでつないで攻撃し合う“模擬戦”のようなことをやっていました。それから技術の世界に入って企業のセキュリティを担当し、現在はレギュレーション、特に安全保障に関わるサイバーセキュリティに携わっています。その中で感じることは「視点の重要性」です。視点が異なれば、見え方も考え方も変わります。レギュレーションは重要ですが、同時に現場のリアリティーも重要であり、やはりそこでもバランスが求められるのだと強く感じています。

洞田氏:ITはすでにインフラであり、その上でビジネスを展開することは、今後も変わりません。だからこそ、どういう形で自分たちがサイバー攻撃に巻き込まれるのか、想像力を働かせることが大切です。特にサプライチェーンの中では、自社が被害を受けるだけでなく、攻撃に加担することもありうることを、もっと意識すべきだと思います。

石川氏:日本企業のセキュリティ対策は、2005年4月から施行された個人情報保護法をきっかけに本格化しました。それから約15年が経過し、その間に着実にセキュリティレベルを上げてきた企業もあれば、そうでない企業もあります。サプライチェーンでは、こうしたさまざまな企業がつながるわけですから、改めてその難しさを感じます。だからこそ、NISTのCSFのようなルールが重要になり、ルールにのっとってバランスを取っていくことが、DX実現のキーになるのだと思います。

あらゆるセキュリティリスクをトータルで解決するセキュリティソリューション