Splunk Services Japan合同会社は2023年4月26日、オンラインセミナー「Splunk Security Forum 2023」を開催した。パネルセッションでは、サイバー攻撃に対する国内企業のレジリエンスの現状と阻害要因、解決方法について、サイバーディフェンス研究所(以下、CDI)の名和利男氏と、Splunk Services Japan合同会社(以下、Splunk)の野村健氏が持論を展開。データに基づくリアルタイムの状況把握や、リーダーシップのあり方について、熱く語り合った。
パネルセッションの冒頭、一つの題材としてSplunkが実施した調査「デジタルレジデンスの強化による効果」の結果が示された(図1)。コロナ禍によるリモートワークの導入や、人材不足などのビジネス環境の変化を背景に、世界中の企業でシステム障害やセキュリティ侵害といった課題に直面するケースが増えている。このインフラやデジタル環境での課題はビジネスに直結しており、ダウンタイムや生産性低下による損失は1時間あたり約4800万円に相当し、年間では240時間で約115億円ものインパクトを与えているという。
図1 Splunkが実施した調査「デジタルレジデンスの強化による効果」から拡大画像表示
例えば、ECサイトがサイバー攻撃を受けて数日間復旧できなかった場合、機会損失や風評被害が極めて甚大になるのは周知の通り。だからこそ、予期せぬ問題が発生した際には、サービスを迅速に復旧し、ダウンタイムを最小限に抑えることが重要だ。日頃から攻撃を想定し、ものの数分で復旧できる体制を整えている企業と、そうでない企業とでは雲泥の差が生じる。昨今のビジネスシーンで耳目に触れることが増えたキーワード、「レジリエンス(耐久力/復旧力)」の強化が最優先のテーマであることを肝に命じなければならない。
こうした中でSplunkが特に重要視しているのが、「組織全体のデジタルレジリエンス」だ(図2)。デジタルレジリエンスとは、業務やサービスを中断させる可能性がある事象を予測し・予防し・検出し、速やかに対応して復旧する機能、準備、あるいは能力を指す。パネルディスカッションでは、主にサイバー攻撃に対するレジリエンスについての議論が熱を帯びた。
図2 システム障害やサービス停止による機会損失を最小限に抑えるために必要な「デジタルレジリエンス」の概要拡大画像表示
サイバー攻撃での復元力で日本企業は後手に回る
CDIの名和利男氏は、サイバー攻撃に対するレジリエンスを日本と他国で比べた場合、「事案が発生した場合の復元力において、日本はやや見劣りします」と指摘。日本以外の国は急速に改善されてきているが、日本では改善のペースがやや遅いというのだ。
理由はシンプルで「経営層など組織の中枢による状況認識レベルの違いが、差に表れています」という。日本企業の場合、自組織などコントロールが及ぶ範囲の状況は認識できるのだが、海外拠点や国内拠点、あるいは委託先などについては心許ないという声が少なくない。そのような状況でインシデントが発生すると、復元までの時間が後手に回ってしまうのが当然だ。
「東日本大震災の際には、スピーディーに状況を把握し行政をはじめとしたプロセスを柔軟かつ迅速に整えました。このことが象徴するように、日本のレジリエンスはもともと高いのです。その潜在的な能力をいかんなく発揮させるためにも、日本の組織が今後強化しなければならないのが『可視性の確保』。今、何が起こっているのか、全体の状況をリアルタイムに見渡す力を磨かなければなりません」(名和氏)。
この話を受けてSplunkの野村健氏は、「昨今、企業システムの構成が複雑になりセキュリティ運用の負荷が高まっていることが、レジリエンスの低迷につながっているのではないでしょうか」と問題を提起した。クラウド活用が当たり前となってシステムが分散化しているのは多くの企業に共通している。監視対象が増え、取得するべきログが増え、アラートも増えていることは多くが実感していることだろう。
サイバーディフェンス研究所で専務理事/上級分析官を務める名和利男氏(左)と、Splunk Services Japan合同会社で社長執行役員を務める野村健氏(右)拡大画像表示
こうした状況下でも、いや、こうした状況下だからこそ、セキュリティを侵害され、防御が破られてしまった場合を想定することが肝要だと野村氏は話す。「いざという時に、いかに被害の拡大を防ぐのか、そしていち早く元の状態に戻すのか、という視点をあらかじめ持っておくことが企業活動の礎になるのです」。
Splunkの調査によると、サイバー攻撃に対するレジリエンスを阻害する要因は3つある(図3)。「ツールやチームのサイロ化」「セキュリティ人材」「リーダーシップ」である。名和氏と野村氏は、これらにどう対峙していくかについて議論を続けた。
図3 サイバー攻撃に対するレジリエンスを阻害する3つの要因拡大画像表示
実情把握に影を落とすツールやチームのサイロ化
情報を正しく把握するうえで障害となるのが「ツールやチームのサイロ化」だ。サイロとは元来、穀物を格納する大きな鉄塔のようなもので、馬や牛などの家畜が冬の時期に食べる飼料を保管しておくもの。一方、組織における「サイロ化」とは、穀物の代わりにデータが入った入れ物がいくつも乱立しており、互いにデータが共有されていない状況を指す。
データの流通は、レジリエンスの確保はもとより、ビジネスの成功にも欠かせない。しかし、現実にはサイロ化によって情報がスムーズに行き渡らないため、欲しいときに欲しい情報が手に入らない。意思決定の精度は下がるし、発生したインシデントに対処しづらい状況を生んでいる。
「役員や事業部長のレベルで情報が流通する頃には、最初10~20枚あった報告書が、A4の1枚に圧縮されてしまうことも珍しくありません。要職者が粗い情報しか見られないようでは、会社に対して適切な指示ができなくなるのは当然です」という名和氏は、サイロ化を打ち破るために一番重要な要素は、現在の慣習を打ち砕くリーダーシップだと持論を展開した。
野村氏は「攻撃の件数が増えるのに伴って誤検知の数も増えます。調査と分析に追われ、仕事は山積するばかり」と実務現場の大変さに言及。事後対応で手が塞がって事前対応に時間を割く余裕がないという構図から脱却しなければならないことを強調した。
それには、監視や分析のツールを集約し、ログを集約して連携させて可視化し、組織全体で共有することが起点になると野村氏。「機械学習で予測し、問題を未然に防ぐことも大切です。問題を自動で修復して被害を最小化する仕掛けも必要。AIや自動化には、属人化を排除する効果も期待できます」とテクノロジーを味方につける姿勢の大事さも付け加えた。
人材問題の構図において成熟度が問われる
セキュリティ人材については、「かねてから不足が叫ばれていましたが、それを訴えている側に変化が見られます。以前はIT部門長やセキュリティ部門長だったのに対し、現在は事業部門や経営層の声が目立ちますね。セキュリティがビジネス直結のテーマになっている証左ではないでしょうか」と名和氏は話す。
もっとも、国際的に見ると日本は少しばかり状況が異なるという。他国ではセキュリティ人材のファンクション(機能)が定義されており、インシデント発生時に期待することが明確になっている。一方の日本では、「人材をどう育成するか」が議論されており、「人材にどういう機能(能力)を持たせるのか」が追い付いていない。すなわち、「日本では人材が不足しているというよりは、そもそもセキュリティの知識や能力を持っている人が不足しているのです」(名和氏)。
同氏はセキュリティ能力を高めるヒントの一つとして、外国語を習得するケースを挙げる。「海外転勤が決まってから勉強を始める場合でも、赴任して1~2年もすると現地語を喋れるようになっているのが通例です。言語の習得プロセスはほぼ完成されていると言ってよく、セキュリティ人材の育成という観点でも多くの示唆を与えてくれると感じています」とは名和氏の弁だ。
野村氏は、セキュリティ人材が不足していることの弊害として「売り手市場で給与が高騰しており、外部からの採用が難しい」ことなどを指摘。また、社内異動を検討しても、「スキルが足りていない」「教育体制が整っていない」といった問題に直面しがちだという。そうした中で企業は、情報システム子会社からの転籍や協力会社からの支援によって、セキュリティ人材の内製化比率を高めるなどの工夫を凝らしているそうだ。
人材不足への当面の解決策としてSplunkが推奨するのは、ベンダーが提供する支援サービスやMSSP(マネージドセキュリティサービスプロバイダ)などを利用すること。Splunkでも、教育メニュー(一部無償)を積極的にお客様へ提供している。「人材をどのように教育するのか、セキュリティ人材にどう投資するのかは普遍的なテーマであり続けます」(野村氏)。
数少ないセキュリティ人材を有効活用するという文脈でもテクノロジーの果たす役割は大きい。「インシデントの発生を予測したり、未然に防止したり、インシデントに対処するワークフローを自動化したり、といった取り組みの巧拙が事業継続力、ひいては企業競争力を大きく左右します」と野村氏は強調し、級数的な進化を遂げるテクノロジーへの好奇心を貪欲に持ち続けることの大切さを訴えた。
すべての礎となるリーダーシップのあり方とは
「5~6年前からずっと言い続けてきた強いメッセージがリーダーシップのあり方です」と名和氏は話す。2021年9月28日に内閣サイバーセキュリティセンターが発行した「サイバーセキュリティ戦略」(閣議決定)においても、目的達成のための施策として最初に書かれている項目が「経営層の意識改革」である。
地震が発生したり台風が直撃したりの状況下、「家は大丈夫か?」と家族に向かって叫ぶ家主がいたとしよう。「これはリーダーシップが欠如している典型例。まず家族を守ろうという気概がまったく感じられません」と、名和氏は分かりやすい例で説明した。サイバー脅威の恐ろしさは各種の報道で再三にわたって伝えられているはずだ。「我が社は大丈夫なのか?」は企業のリーダーが最も口にしてはいけないフレーズであり、自らが企業を守るんだという強い姿勢を示さなければならない。
リーダーシップを発揮するためには、目の前で何が発生してるのかを正確に把握することが大前提だ。脅威インテリジェンス(情報)を購入してでも把握する必要がある。「指揮命令系統の中で判断力を養い、得られた情報の中で最適な手段と方向性を示す。それが指揮官の姿です」(名和氏)。「ツールやチームのサイロ化」が障害になっているのであれば、それを無くすのもリーダーシップであり、意思決定層による最高レベルの使命となるだろう。
現場で実際にインシデントに対処する際には、セキュリティの知識と経験、スキルを持った人材が必要になる。「人材は投資によって得られます。スキルを持つ人でチームを組織したり、足りないファンクションがあればトレーニングしたりといった施策で盤石の体制を整えるのもリーダーシップなのです」と名和氏は語気を強めた。
野村氏は、リアルタイムに状況を把握することの重要性に同意しつつ、Splunkの調査結果に触れた。レジリエンスに関するテクノロジー投資の目的として、リアルタイムに状況を把握するために必要な「可視性の向上」を挙げた日本の組織は37%しかなく、アジア太平洋の平均(46%)と比べて9ポイントも低い。
「リアルタイムによる状況把握の重要性を地道に伝えていかなければなりません。ツールやデータ、組織のサイロ化を解決することが先決の課題であり、リーダーが投資の優先順位をしっかりと考えることが大切であることも併せて訴求していきます」(野村氏)。
部門を横断した組織全体のレジリエンスのために
名和氏は締めのメッセージとして「リーダーは、今起こってることをリアルタイムに知らなければなりません」と改めて強調した。「良い状況も悪い状況も含めて、状況を正しく把握することがリーダーシップにとって最も重要なこと。状況さえ正しく把握できていれば、あとは自然に、判断を下し、言葉に出したり行動したりできるのですから」。
野村氏も、日頃のお客様との会話からも特にリーダーシップの重要性をひしひしと感じているという。部門を横断した組織全体のレジリエンスをいかに強化するかに軸足を置いているSplunkが注力しているのがセキュリティ、IT運用、DevOpsの分野だ。「いずれにおいても小さく始めて大きく育てられるツールを提供しており、この場で議論してきた、実情のリアルタイム把握とリーダーシップをがっちり支えるものと自負しています」(野村氏)。
そのほか、コンサルティングサービスや教育プログラムの提供にも抜かりはなく、時代が求める“しなやかさ”を体現しようとする企業に対して、Splunkが大きな価値を届けることを伝えてセッションを終えた。
●お問い合わせ先
