資料請求リストに製品が追加されていません。


IT製品の比較サイト|ITトレンド
ITトレンドNo.1ヘッダー

資料請求リスト

資料請求
0件
  • ホーム
  • 製品を探す
  • ランキングから探す
  • 記事を読む
  • はじめての方へ
  • 掲載について
  • ITトレンドEXPO
  1. IT製品 比較TOP
  2. その他
  3. コラム
  4. コラムの関連記事一覧
  5. 【情シス必見!】DX時代に必須のサイバーレジリエンスとは?

【情シス必見!】DX時代に必須のサイバーレジリエンスとは?

#ITトレンドEXPOセッションログ
#専門家
2022年07月07日 最終更新
【情シス必見!】DX時代に必須のサイバーレジリエンスとは?

DX時代において、ITやIoT、AIなどの活用は企業の活動と切り離せないものになりました。一方で、ランサムウエアによる攻撃やさまざまな障害の発生など、重大なインシデントへの対策や対応も必須になっています。今回は話題のサイバーレジリエンスについて、奈良先端科学技術大学院大学 門林先生にお話しいただきました。事例や分かりやすい例えを交えて解説いただいているので、情シスの方だけではなくDXにかかわる経営者、事業部の方も必見です。

※本記事は2022年3月8日~11日にITトレンド主催で開催された「ITトレンドEXPO2022 Spring」のセッションを一部抜粋・編集しお届けします。

登壇者プロフィール

奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授
門林 雄基氏

大阪大学大型計算機センターなどを経て、平成29年より現職。 同年、「サイバーレジリエンス構成学研究室」を設立。国立研究開発法人情報通信研究機構において20件のサイバーセキュリティ国際標準成立に携わる。

サイバーリスクは全面展開

DX時代にどうやってビジネスを進めるかというときに、やはりサイバーリスクが問題になります。クラウドが止まる、AIの誤検知によるエラーが生じる、ほかにもAIに悪意ある情報を教え込まれて差別発言をするようなチャットアプリができるとか、さまざまな問題があります。どんなITも同じように狙われており、どれが狙われるかは狙われてみるまでは分かりません。

DXはやりたいけれどインシデントや問題が起きるし、どのようにビジネスを継続していこうかと皆さま考えていらっしゃると思います。

サイバーレジリエンス

サイバーレジリエンスとは、一言で言うと防災・減災の発想をITやサイバーセキュリティの分野に応用しようというものです。

セキュリティ事故が起きている背景として、「部品」の点数が増えていることが挙げられます。数千万点、数億点の部品がネット上にあるという現状を考えてみましょう。例えば、今いるスタジオにはパソコンが何台もありますし、カメラ、ライティング、空調ももしかしたらネットで制御できるかもしれません。これらの部品を全て安全なままに保つのは大変なことです。

ソフトウエアをつくって5年、10年、15年すると、ほころびが見つかってきます。最近も、LINUXというクラウドで使われている基本OSに大きな脆弱性が見つかって問題になっていますが、このような脆弱性が毎週見つかっています。つまり、数億点の部品に毎週ひびが入っていくという状況なので、安全な状況を完全に維持するのはなかなか難しいのです。

そこで、サイバーレジリエンスという発想が必要になってきます。個々の部品にひびが入ったり、脆弱性が見つかったり、誤動作、誤操作したりしてしまっても、ビジネスが回復不能にならないようにするということです。要するに、少しでも危険な状態になったら、そこからなるべく安全なところに早く回復させるという考え方です。

部品が多いのは仕方がないので、少しずつしっかり点検したり少しずつ安全なものへ取り換えるとか、良いものへ取り換えて、ビジネスが続行できない状況にならないようにすることです。この予防的措置というところが非常に重要です。

サイバーレジリエンスをどう確保するか:6つの分岐点

「じゃあ、どうしたらいいの?」と、対応についてはなかなか厳しいなと思われるかもしれませんが、セキュリティの専門家ではなくてもできることがあります。

1.単一障害点をつくらない

1つ目は、単一障害点をつくらないということです。ある橋は、梁(はり)の1つひとつが三角形になっています。仮に柱の1つにひびが入ったり折れたりしても、橋全体としてはひしゃげたり、折れないように非常に頑丈につくられています。皆さんのITはこうなっているでしょうか。

つまり、柱が1本折れたところでビジネスができなくならないように工夫しているでしょうかということです。例えば、VPNがないと病院のシステムのリモートメンテナンスができないという場合、VPNは1社でいいんでしょうか。VPNをA社とB社、2社入れてもいいかもしれません。

ほかにもOffice365の場合、これが止まってもビジネスが続行できるかを考えることです。またAWSのクラウドやCDNが止まった場合、動画配信サービスをやっている企業は配信ができなくなるというような事案もあるでしょう。

つまり、どれが大事な梁で、これをやられたら終わりという柱はどれかを把握し、経営層と現状認識を共有できているでしょうか。「うちはAmazon1本足打法」、「うちはGoogle1本足打法」など、さまざまな方法があると思いますが、それでいいのかも含めて、経営層やIT関連部門、リスク管理部門の方々と共有すると。最悪の事態を想定し共有しておくことが非常に重要なんです。

2.新技術を放置しない

2つ目は、新技術を放置しないことです。企業でDXを導入するということは、知らない間にIoTがどこかに入っていたり、どこかでRPAを使っていたりするように、すごいスピードで技術を使うということです。

例えばタイ工場でAIを使うという話になったら、必ず把握して「もしAIのモデルを取られたらどうしよう」などというふうに考えていくのです。あるいは、専門用語で「コンセプトドリフト」と言いますが、半年たったらAIが動かなくなる可能性もあります。そのためのコストを積むことができていますか、ということなんですね。

3.マルチプラットフォーム

3つ目は、マルチプラットフォームを駆使できる能力です。例えば東京の山手線が止まったときは京浜東北線や地下鉄に乗り換えるし、地下鉄も一線が止まったら別の線に振替輸送をしますよね。同じことがITでもできていますかということなんです。

「今日はMicrosoft365が使えない。だから仕事にならないよ」と言うのは、「銀座線が止まったから商売できない」と言っているのと同じです。もしAzureが止まったら、AWSやGCPを使うと。あるいはWindowsに問題があったら、Macを使う。オンプレに問題があったらクラウドを使う。逆にクラウドに問題があったらオンプレを使うと。こういう乗り換える能力が非常に重要になってきます。

そのためには、普段からいろんなものを使っておくことです。電車も、普段からいろんな路線に乗り換えて土地勘を養っておくと、振替輸送したときにまごまごしなくて済みますね。いろんなものをべったり使うともちろん効率は上がりますが、技術の幅を取っておくのはサイバーレジリエンスを考える上で非常に重要です。

4.爆速IT

4つ目は、問題が発生したときに同じものをすぐにつくれるか、ということです。例えば受発注システムが止まったとします。受発注システムは「これを何個買う、何個売る、誰が起案し決裁する」というものですから、つくるのはそんなに難しくありません。障害が起きたときに、これを1週間以内でつくれるかどうかということです。

ギリシャの神殿は非常に壮麗ですが、屋根が朽ちていたりかなり古いです。今、Javaでつくった企業内のシステムは、この神殿のようなシステムになっていることがあります。もう一方は屋台です。屋台でもやはり商売はできますよね。きれいなものにこだわって壮麗な神殿をつくり、一切触るなということがいいのか、すぐにつくれる屋台で最短時間でビジネスをやりながら拡大していくのか、どちらがいいのかを考えるという話です。

5.防御と復旧の演習

5つ目は、防災訓練です。われわれは防御と復旧の演習を毎年2回ほど、200人ぐらい動員してやっています。実際に事故が起きたと想定し、最短時間で復旧もしくは問題を修復します。さらには、お客様に現在の状況をお知らせしたり役員に説明したりする。こういったことを全部演習でやっています。それこそ消火器をはじめて使う状況で火を消せるでしょうかというのと同じですよね。

プレス対応、役員対応、政府機関との連携などいろんな対応がありますので、技術ではないところで練習する要素もたくさんあります。

6.透明性、可視性

最後は透明性、可視性です。ある企業がランサムウェアなどの被害にあったことを隠しておいて、いよいよ決算のときにようやく発表した事例があります。そうやって社内で起きたことを隠しておく会社というのは、社会的に信用を得られるでしょうか。取引先からすると、「ランサムウェアに感染して事業続行できなくなったのに、数か月も隠してたんだって?」となりますよね。

やはり市場の信頼を勝ち得るためには、株主や取引先、お客様に対する透明性、可視性というのは非常に重要なポイントです。

システムの活用

このセッションのスポンサーである日立ソリューションズ様は、これらの問題に対応するソリューションを扱っていますが、対策できることはどんどんやるのが大切です。

どういうクラウドを使っていて、どういう問題がありそうかというのをCSPM(Cloud Security Posture Management)で把握したり、自分たちのモバイルやパソコンでどんな不審な挙動が発生しているのかをいち早く知るためにEDR(Endpoint Detection and Response)やXDR(Extended Detection and Response)を導入したりするなど、さまざまな製品やサービスの活用ができます。

それらを有機的に組み合わせて復旧の迅速化を図るSOAR(Security Orchestration, Automation and Response)という製品群は世界的に見ても重宝されていますので、積極的に使いながらサイバーレジリエンスを確保するのも重要かと思います。

まとめ

DX時代は、簡単・便利・低コストというものが好まれます。「こうすればローコードで簡単です」「こうすれば低コストでできます」といった宣伝を皆さんも聞いたことがあると思います。でも、それはもしかすると手抜き工法かもしれないということなんです。

また、DXという言葉としては非常に新しい新技術のように見えますが、実態としては古い技術の積み重ねです。端的に言うと、錆びたボルトがどこに使われていてもおかしくないという状況なのです。

やはりポイントは計装です。工場ではパイプにメーターが付いていて、「このパイプは正常に空気が流れていますよ。隣のパイプも正常にガスが流れていますよ」と把握するために計装をしています。つまり、普段から見える化をやっているんですね。同じことを皆さんのITやDXでやっていますか?ということです。さまざまな製品やサービスがありますので、活用しながら自分たちのDXの実態を見える化し、対策効率化に取り組んでいただければと思います。

ITトレンドEXPO次回もお楽しみに!

当日のセッションでは、登壇者が視聴者の皆さんからの質問にリアルタイムで答えてくれます。ぜひ次回のITトレンドEXPOへのご参加お待ちしております!(参加無料)
▽ITトレンドEXPOの開催情報はこちら
ITトレンドEXPO次回告知

このカテゴリーに関連する記事

Zoomでユーザーの画面が大きくならない!対処法を状況別に解説!

Zoomでユーザーの画面が大きくならない!対処法を状況別に解説!

Zoomでホスト不在のままミーティングを行う方法を解説!

Zoomでホスト不在のままミーティングを行う方法を解説!

会社法とは?これだけは知っておきたい基礎を5分で解説

会社法とは?これだけは知っておきたい基礎を5分で解説

Zoomで参加者の音声を一斉・個別にミュート設定する方法を解説!

Zoomで参加者の音声を一斉・個別にミュート設定する方法を解説!

5分で解説!ソフトウェア資産の減価償却の計算方法

5分で解説!ソフトウェア資産の減価償却の計算方法

会社の数字はここを読め!決算書の読み解き方

会社の数字はここを読め!決算書の読み解き方

在宅勤務中の社員のサボりを防ぐには?企業が実施すべきこと

在宅勤務中の社員のサボりを防ぐには?企業が実施すべきこと

組織風土とは何か?意味や定義を分かりやすく解説

組織風土とは何か?意味や定義を分かりやすく解説

【2021年最新版】税制改正で便利、キャッシュレス決済で領収書が不要

【2021年最新版】税制改正で便利、キャッシュレス決済で領収書が不要

コロナ禍の中での労務管理Q&A【2020年9月労務ニュース】

コロナ禍の中での労務管理Q&A【2020年9月労務ニュース】

  • ログイン
  • 新規会員登録
ITトレンドへの製品掲載・広告出稿はこちらから
レビュー用バナー
新着記事
  • 結局、ナーチャリングは何から始めればいいの?【ITトレンドEXPO 2021 summer セッションログvol.2】
    ※本記事は2021年7月9日~11日にITトレンド主催で開...
  • リモートワークを推進する時に、会社がやるべきこと・個人がやるべきこと【ITトレンドEXPO 2021 summer セッションログvol.9】
    ※本記事は2021年7月9日~11日にITトレンド主催で開...
  • 「脱PPAP」って、結局何をすればいいの?~起こりうる問題と対策~【ITトレンドEXPO 2021 summer セッションログvol.1】
    ※本記事は2021年7月9日~11日にITトレンド主催で開...
  • TOPベンダー2社が語る、BtoBマーケティングの”これから“【ITトレンドEXPO 2021 summer セッションログvol.3】
    ※本記事は2021年7月9日~11日にITトレンド主催で開...
  • あなたは大丈夫?こういうカスタマーサクセスは”必ず”失敗する【ITトレンドEXPO 2021 summer セッションログvol.4】
    ※本記事は2021年7月9日~11日にITトレンド主催で開...
  • ルート営業の成果を上げる、MA×SFAを活用した営業手法とは?【ITトレンドEXPO 2021 summer セッションログvol.5】
    ※本記事は2021年7月9日~11日にITトレンド主催で開...
  • 売上増加・業務効率化、これからは”音声の見える化”が鍵!【ITトレンドEXPO 2021 summer セッションログvol.6】
    ※本記事は2021年7月9日~11日にITトレンド主催で開...
  • DX化にギアをいれろ!AI×データ分析が導く新たな一手【ITトレンドEXPO 2021 summer セッションログvol.7】
    ※本記事は2021年7月9日~11日にITトレンド主催で開...
  • DXで何が変わる? 中堅・中小企業のDX推進 【ITトレンドEXPO 2021 summer セッションログvol.8】
    本セッションでは、登壇者、各社が実践して変わっ...
  • デジマ歴13年の執行役員が自社のマーケティングに欠かせない3つのITツールを紹介 【プロに聞く!リアルに役立つITツールVol.1】
    デジタル化や、リモートワーク推進により社内で使...
ページトップへ
ITトレンドについて
ITトレンドとは|
ご利用規約|
レビューガイドライン|
プライバシーポリシー|
クッキーポリシー|
運営会社|
サイトマップ|
お問い合わせ
IT製品を探す
製品を探す |
ランキングから探す |
専門家一覧
IT製品を知る
用語集
IT製品を掲載する
掲載について
関連サービス・サイト
List Finder |
Urumo! |
bizplay |
Sales Doc

Copyright (C) 2022 IT Trend All Rights Reserved.