変化の時代のセキュリティ対策で重要なのは、情報収集と分析、コミュニケーション、人材の確保――オリックス銀行 鈴木智之氏：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

コロナ禍でテレワークが常態化する中、サイバーセキュリティのリスクはさらに増大し、一般的な境界防御型のセキュリティでは対策が困難になりつつある。より実践的で効果的なサイバーセキュリティを追求するためのヒントとは。

[山下竜大，ITmedia]

オリックス銀行 情報セキュリティ統括部長 鈴木智之氏

　アイティメディアが主催するライブ配信セミナー「ITmedia Security Week 2022 夏：長引くコロナ禍でサイバー攻撃も加速 再点検、“新常態”のサイバーセキュリティ対策」のDay1基調講演に、オリックス銀行 情報セキュリティ統括部長の鈴木智之氏が登場。「変わること・変わらないこと〜「変化の時代」のサイバーセキュリティマネジメント」をテーマに講演した。

セキュリティに関する悩みは多くの企業で共通

　鈴木氏は、「セキュリティ対策には、常に存在する課題、変化への対応という大きく2つの悩みがあります」と話す。

　セキュリティに関する悩みは、多くの企業で共通している。例えば常に存在する課題として、自社のセキュリティ対策は十分なのか、セキュリティ対策がビジネスを妨害していないか、対策への投資は適切か、経営者の理解をどう高めていくか、社員やユーザーのセキュリティ知識をいかに向上させるか、セキュリティ人材をどのように育成・採用するかなどがある。

　また変化への対応として、自社の対策は新しい脅威に対応できているか、競業他社に比べて遅れていないか、セキュリティ対応のゴールはどこか、セキュリティポリシーはこのままでよいか、グループ企業や取引先のセキュリティは大丈夫かなどがある。

　セキュリティに関する変化としては、大きく2つ。1つ目は世の中や自社を取り巻く状況の変化であり、2つ目はセキュリティ自体の状況の変化だ。世の中や自社を取り巻く状況の変化には、コロナ禍や地震、風水害などの自然環境・疫病、ロシアとウクライナの紛争や東アジアの政治状況などの国際情勢、欧米の政治状況などがある。

　一方、セキュリティ自体の状況の変化には、脅威の動機やインパクト、攻撃手法・技術などがある。セキュリティの位置付け、重要性が変化し、インパクトの大きさを考えると、すでにITだけの問題ではなく、経営の問題といえる。これに伴い、サイバーセキュリティの担い手も変化する。以前はIT担当者やセキュリティ担当者の問題だったが、一般ユーザーはもちろん、経営層や業務担当者、取引先も含めた課題となる。

セキュリティ自体の変化は、脅威の動機やインパクト、攻撃手法・技術など。

　鈴木氏は、「社会やITの環境の変化、セキュリティ自体の影響の重要性の変化を考えると、セキュリティの位置付けや重要性など、セキュリティを取り巻く変化が起きていると言わざるを得ません。変化が起きている以上、ユーザー企業としても対応が必要です」と話す。それでは、変化とは何か。そもそも対応は必要なのだろうか。

既存の対応でカバーできるものと新しい対応が必要なものを見極める

　セキュリティ自体の変化で、最近特に話題になっているのがEmotet（エモテット）やランサムウェアの大流行である。Emotetやランサムウェアの挙動、感染経路などを分解してみると、感染経路は取引偽装メールやOfficeファイルマクロ、Windowsの脆弱性などで、ファイルの暗号化やWeb経由で情報を漏えいするなどの挙動が確認されている。鈴木氏は、「感染経路や挙動までを解析すると、新たに必要な対策もありますが、すでに自社でできている対策もあることが分かります」と話す。

　セキュリティの新技術の採用にも変化がある。昨今、ゼロトラストが注目されているが、ゼロトラストには、VPNやSSO、CASB、EDRなど、さまざまなソリューションがある。ゼロトラストは、社内を含めた通信を保護する、最小権限に認可をする、アクセスの都度認証する、全ての機器を対象にするなど、NIST SP 800-207の7つの基本原則に基づいており、この原則に基づくと、セキュリティの新技術も、実は既存の技術でカバーできている部分と追加の対策が必要な部分に分けることができる。

セキュリティ新技術の採用の変化で注目されるゼロトラスト。