インフォセックのセッションでは、セキュリティ・コンサルティングユニットの狩俣幸司氏が登壇、「テレワーク時代におけるクラウド活用のためのガバナンスと運用監視」をテーマに講演した。

インフォセック
サイバーセキュリティ事業本部 セキュリティ・コンサルティングユニット
セキュリティコンサルタント
狩俣幸司氏

 狩俣氏は、まず「2020年初頭からの新型コロナウイルス感染症の大流行によって、セキュリティを取り巻く環境が大きく変化している」と指摘。デジタル化が急速に進んでテレワークが当たり前の働き方になり、クラウドへの移行がますます加速する一方、情報漏えいやマルウェア感染などを引き起こす攻撃も多発しているという。

 このような状況下で、「ゼロトラスト」と呼ばれるセキュリティの概念が脚光を浴びている。これは、企業内リソースに対するアクセスについて、内部アクセスとインターネットからのアクセスを同じ方法でコントロールすることによってリソースを保護するという考え方。「テレワーク時代のセキュリティ対策はゼロトラスト型にならざるを得ない」と狩俣氏はいう。

 ただし、ゼロトラストを企業のセキュリティ対策に適用するにあたっては、二つの準備をする必要がある。「ゼロトラスト対応のガバナンスの再構築」「多様化するガバナンス推進のための省力化プロセスの導入」だ。

 ガバナンスの再構築は、公開されている種々のガイドライン(Cloud Security Allianceの「セキュリティガイダンス」やNIST SP800-207など)を基に、ゼロトラストを考慮した見直しをするのが簡単・確実だ。「テレワークやクラウドの特性を加味した見直しをするには、最低限、そのガバナンスを適用する範囲を定め、情報資産の取扱条件を決めなければならない」と、狩俣氏。さらに、実際のアクティビティに対する監視や監査、サービス自体の信頼性検証も継続的に行う必要があるという。

 また、ゼロトラスト型のセキュリティ対策に切り替えると、従来の境界防御型に比べて業務範囲が多様化・複雑化する。そこで求められるのが、セキュリティ対策業務の省力化だ。ポイントは、「組織内共通業務を集約化」「定型的業務をツールで代替」「有事の該当条件を定義しプロセス圧縮」の三つ。狩俣氏は、「ツールとしては、クラウドサービス事業者が提供しているセキュリティ対策機能、CASB、CSPM、SOARなどが利用できる」と説明した。

 セッションを締めくくるにあたって、狩俣氏はインフォセックがガバナンス構築やポリシーの策定支援を提供していることにも言及。テレワークの導入アセスメント、セキュリティ製品の導入支援、運用監視のためのSOC支援なども行っているとアピールした。