5月に運用が開始された「経済安全保障推進法」の
特定社会基盤役務の安定的な提供の確保に関する制度が
もたらす規制に企業はどう備えるべきか
フォーカスすべき3つの領域、求められる「可視化」と「可観測性」とは
セキュリティリスクの複雑化、深刻化が増している。サイバー攻撃によるシステム障害や、データの復元と引き換えに身代金を要求するランサムウェアなどによってサプライチェーンに大きな影響が出たこともある。2024年5月17日には国家・国民の安全を害する行為を未然に防止する基本方針の策定および必要な制度を定めた「経済安全保障推進法」で特定社会基盤役務の安定的な提供の確保に関する制度の運用が開始され、日本国内で重要なインフラを担う企業にはより一層のセキュリティ強化が求められている。企業は今後、セキュリティ対策をどう強化すべきか。キンドリルのセキュリティ&レジリエンシー(復旧・復元力)担当のグローバル・プラクティスリーダーであるクリス・ラブジョイ(Kris Lovejoy)氏と、キンドリルジャパンの最高技術責任者 兼 最高情報セキュリティ責任者である澤橋松王氏に話を聞いた。
規制やガイダンスに共通する
求められる要素の理解を
――今、セキュリティに大きな関心が寄せられている背景には何があるのでしょうか。
ラブジョイセキュリティは目新しいコンセプトではありません。ただ、多くのセキュリティ企業が製品やサービスを提供し、多くの企業が大きな投資をしているにもかかわらず、ますます複雑になり深刻化しています。
キンドリルホールディングス
セキュリティ&レジリエンシー
グローバル・プラクティスリーダー
クリス・ラブジョイ氏
理由の一つに挙げられるのが、セキュリティリスクに対する取り組み方の問題です。セキュリティソリューションは、特定のリスクやコンプライアンスに対応するために導入される傾向が強く、日々のビジネスとは切り離され、運用しているテクノロジーの中に組み込まれていません。またコロナ禍では、多くの企業がセキュリティの体制を整えることなく、テレワークという新たな働き方にシフトしたために攻撃の対象とされてしまいました。
今、日本を含め多くの国がセキュリティの重要性を認識し、重要インフラのセキュリティの強化に動き出しています。しかし、個人情報の保護以外のセキュリティの規則はありませんでした。そこでEU(欧州連合)のDORA(デジタル・オペレーショナル・レジリエンス法)や米国のSEC(証券取引委員会)などが規制やガイダンスを設けるようになったのです。
――こうした動きは国によって異なるのでしょうか。
ラブジョイ規制やガイダンスはそれぞれ存在しますが、根幹となる要素は共通しています。ガバナンスを向上させること、セキュリティリスクを監視して強化することです。企業にはそれらについての説明責任が求められ、経営者は新たな義務を負うことになります。要件を満たさない組織は罰金だけでなく、他の刑罰を受けることもあります。
可視化と可観測性なしでは
セキュリティを担保できない
――セキュリティの規制やガイダンスに対応するためにはどのような取り組みが必要でしょうか。
ラブジョイ主に3つの領域にフォーカスする必要があります。1つめは、セキュリティ・バイ・デザインの理念の実行です。重要インフラを提供する企業はセキュリティ関連の製品やサービスの安全性を正しく評価したうえで導入しなければなりません。
2つめは、健全性を担保するための主要なコントロールの実装です。そこで問題になるのがテクノロジーの調達予算です。長いサイクルを想定していると、テクノロジーの進化に追いつけません。設備投資ではなく運用コストとして考えることをお勧めします。
そして3つめが、危機を乗り越える力、レジリエンシーへの注力です。重要なサービスはどれかを見極め、人、プロセス、テクノロジーの組み合わせを把握し、攻撃に備えておくことです。
これらの3つのフォーカスに共通して求められるのが、可視化と可観測性です。モニタリングできなければセキュリティを担保できません。
澤橋5月17日に運用が開始された経済安全保障推進法で求められているのもレジリエンシーです。4つの制度の一つ「基幹インフラ役務の安定的な提供の確保」では、電気、石油、水道、鉄道、金融などの14業種の200を超える企業や団体が特定社会基盤事業者に指定され、重要な設備の導入や維持に計画書の提出と審査を受けることが義務付けられています。
この制度はサプライチェーンの保全や重要インフラの保護などの観点から考慮されたもので、導入時に審査を受けるだけでなく、継続的な取り組みが求められています。特にITシステムの構築と運用におけるリスク管理という面では、あらゆる面でセキュリティを担保することが求められ、そのためにはモニタリングできることが不可欠です。
キンドリルジャパン株式会社
執行役員 テクノロジーイノベーション本部
最高技術責任者 兼 最高情報セキュリティ責任者
澤橋松王氏
4つの包括的な
ソリューションポートフォリオを
設定しAIによる高度な機能追加も
――キンドリルとしてはどのように企業や組織を支援していくのでしょうか。
ラブジョイ4つの包括的なソリューションポートフォリオを設定しています。特定(効果的なガバナンスの実行)、防御(ゼロトラスト型のインフラを導入)、対応(監視や対応を行う)、復旧(インシデントが起きた後の復旧)です。セキュリティの担保に必要な可視化と可観測性の実現をクラウドベースのオープン統合プラットフォームであるKyndryl Bridgeで提供します。
AI(人工知能)を使ってリスクを確実に予測。モニタリングによって分析し、問題点を検出して復旧まで含めた対応ができるようにKyndryl Bridgeの機能を強化していく予定です。リスクを管理するだけでなく、対応コストも踏まえた賢い形でリスクを回避する支援をします。
澤橋Kyndryl Bridgeでは各国の規制に対応することのできるダッシュボード機能も追加され、これは今年6月から利用できるようになる予定です。既存のセキュリティソリューションとデータ連携することにより、セキュリティ機器をトレースできるイベントリー、チェック項目を一元管理するヘルスチェック、パッチの適用状況を一覧化するパッチ管理、データ復旧に備えたバックアップ管理などが可能になります。
Kyndryl Bridgeの輪を広げて
他社にはないサービスの提供を
――今後はどのような展開をお考えでしょうか。
澤橋1200社以上に利用していただいているKyndryl Bridgeの最大の特徴はクラウドベースで提供されていることです。そこには全てのデータが集まってきます。世界のどこかで発生したインシデントをいち早く知ることができますし、セキュリティの対応状況も把握できます。
集まったデータを分析することで、業界内の他社と比較するための尺度を提供して目標設定に役立ててもらうこともでき、他社のインサイトを自社の取り組みに生かしてもらうこともできます。サイバー攻撃に対して組織の枠を超えた共同戦線の世界をKyndryl Bridge上で実現したいですね。
――最後に日本企業に向けたメッセージをお願いします。
ラブジョイ日本は世界に対してモノやサービスを提供できるユニークな国です。ビジネスとITの融合という視点に立ち、長期的に日本の組織や企業の競争力向上に貢献していきます。
また今回の本社移転に伴い、お客様やパートナー企業との共創を加速するために「Kyndryl Vital Studio」を新設しました。最新のイノベーションのプロセスを体験していただき、テクノロジーを効果的に実践するための議論をしていきたいと考えています。気軽にご利用ください。
澤橋Kyndryl Vital Studioという場を通して、戦略的なロードマップを描く活動もすでに本格化しています。今回の経済安全保障推進法をきっかけにセキュリティの強化を検討している日本企業を、効率よく高い安全性を確立できるKyndryl Bridgeで支援していきます。
「AIを使 ってリスクを確実 に予測 。モニタリングによって分析 し、問題 点 を検出 して復旧 まで含 めた対応 ができるようになっていきます」(ラブジョイ氏 )