※本コンテンツは、2021年7月1日に開催されたJBpress主催「第1回金融DXフォーラム」のセッション4「DXによる社会変革に必要な情報セキュリティへのMcAfee Enterpriseの取り組み」の内容を採録したものです。
McAfee Enterprise
セールスエンジニアリング本部
櫻田 昌己 氏
DXは間接業務から主業務、クラウド型サービスへ
McAfee Enterpriseは1987年の創業以来、30年以上にわたり皆様のご利用になるITの安全を守ってきました。長らく、個人向けのコンシューマー部門と法人向けのエンタープライズ部門の売り上げはほぼ均衡していましたが、2021年の冒頭にエンタープライズ部門は投資ファンドに買収されました。ファンドから得た資金をもとに現在急ピッチで法人向け新製品の開発を行っております。
私たちの法人向け製品・サービス・ソリューションは、PCからネットワーク、クラウドの情報セキュリティだけでなく、コンビニエンスストアのPOSレジや大手金融機関のATMなど、皆様の身近なところでも業界標準として利用されています。
企業におけるDXは、メールシステムやファイルサーバなどの、間接業務において、生産性向上とコスト削減を目的としてクラウド化が進められてきました。どの企業でも共通に利用されるITインフラは、導入や運用のノウハウ共有による初期費用の低減をはじめ、資産を経費に転用することで費用対効果を比較的可視化しやすかったからです。一方で、セキュリティの境界線は従来の社内・社外に加えて、クラウド上にも延伸することが必要になりました。
McAfee Enterpriseはマルウエアやフィッシング詐欺をはじめとした外部からの攻撃に対するサイバーセキュリティの視点と、意図しない情報漏洩から意図的な内部犯行まで防御するデータセキュリティの視点の両面から、セキュリティ境界線をクラウドまで延伸させるため、製品・サービス・ソリューションを拡充することにより、皆様が安心してクラウドサービスを利用できるようセキュリティの観点から支援して参りました。これらのソリューションの根幹は人間中心、つまりヒューマンエラーやミス、意図的な機密情報漏えいなどから企業の資産を守るものです。
間接業務のDXが一段落すると、次に企業の利益の源泉となる主業務のDXに移っていきます。間接業務との一番の違いは、そこに企業独自のノウハウや競合差別化要素が組み込まれ、それがクラウド上に設置される独自システムである点です。
主業務アプリケーションがクラウド型サービスへ移行
従来こうした主業務は、ウォーターフォール型開発で時間と費用をかけるのが主流でした。しかし現在は、システムを稼働させながら変更や拡張を容易にするため、いくつもの小さなプログラムの集合体を連携させた「クラウド型」「分散型」へと移行しつつあります。これに応じてセキュリティの在り方も大きく変化することになります。
アプリケーションを構成するプログラム群には三つの要素が必要です。
まずは「標準化」。小さなプログラムの集合体が共通の手続きで連携できるよう、データ通信やプログラム間のやりとりを標準化する必要があります。
次に「柔軟性・汎用性・拡張性」。小さなプログラムの集合体になると、何かを一つ変えるために全体のテストをしていてはシステムとして成り立ちません。仕様変更に対して特殊な仕組みを必要としない柔軟性、稼働基盤を選ばない汎用性と可搬性、事業規模が急変したときに即時対応できる拡張性の確保が重要になります。必要なときに必要なリソースだけを利用するクラウド型サービスの特性を利用することで大きなコスト削減にもつながります。
さらに、小さなプログラム間をつないだとき、その中で何が行われているかを見る「可視化」が必要です。
クラウド型システムに必要な「可視化」とは?
例えば最近のWebサイトでは、郵便番号を入力すれば自動的に住所が入力される機能があります。住所を入力するプログラムが、郵便番号から住所に変換するプログラムに対して「郵便番号」と「住所」をプログラム間でやりとりしています。
同じような仕組みでもう少し複雑になると、あるネット証券口座で残高が少なくなった場合に、別会社のインターネットバンキングと連動して現金の振替を即時に行う、といった処理があります。背景には異なる企業同士のオンライン決済業務連携があります。入金依頼と実際の入金処理をシームレスに行うには、証券会社と銀行が信頼できるシステム同士で互いにつながっていなければなりません。こうしたシステム間連携が次世代型アプリケーションの開発において非常に重要なポイントとなっています。
同時に、セキュリティの考え方も変えていく必要があります。
従来のシステムでは企業内のネットワークの中で動いていたため、境界防衛型の仕組みによってサイバー攻撃から防御していました。アプリケーションはそれぞれのOSで動いているので、それぞれにセキュリティ製品を導入して保護することが一般的でした。
一方クラウド型システムになると、アプリケーションは必ずしもOS上で稼働しているわけではなく、企業の外にあるネットワークを利用しているため、セキュリティの境界線を引くことも難しくなります。一般的にはCSPM(設定監査のソリューション)を入れ、CWPP(ぜい弱性診断と脅威検知・システム監視)、さらにクラウド上にあるデータの機密保護と、マルウエアが潜んでいないかスキャンするという仕組みをクラウド上で行うことが必要です。
つまりクラウド型システムではこれまでの人間中心ではなく、アプリケーション中心のセキュリティへのシフトが必要になります。こうした情報セキュリティの変革なしに、お客様の主業務をクラウドにのせていくことは困難な時代になってきています。
データ・セキュリティにおけるリスクアセスメント
さきほど例に挙げた証券会社と銀行のように、あるシステムが一つの処理をするために、複数社にわたるプログラムを介して処理を行うことが当たり前の時代になってきました。どこからが正しいルートで入った通信なのか、次にどこへいくのか、そのデータ内容はどのようなものか、機密情報を含んでいないかなど、可視化した上で判断して処理することが必要です。さらにきちんとログを取り、処理データを正しく守ることが重要なだけでなく、正当な要求か不正な要求かを認識し、判断することが求められます。
McAfee Enterpriseでは、製品・サービス・ソリューションとしてのセキュリティだけでなく、「データ・セキュリティ・リスクアセスメント」として、プログラムのデータ入出力やログ確保状況をチェックし、セキュリティのリスクを低減するためのお客様の現状を調査させていただくサービスを実施しています。各国の法規制(データ法令や規制の視点、技術・運用の視点で出ているガイドライン)などをベースに、専門のコンサルタントがお客さまごとにコンサルテーションを提供することが可能です。
McAfee Enterpriseのコンサルタントが提供するプロフェッショナル・サービスの特徴は、私たちの製品・サービス・ソリューションを現在利用されていないお客さまにも対応している点です。弊社のコンサルタントを使ってセキュリティ面の調査・分析を実施した次工程に、他社のソリューションをご利用いただくことも想定しています。
McAfee Enterpriseの製品・サービス・ソリューション群の特色として、人間系のミスや犯罪に関してはSASEのフレームワークに準じています。具体的には機密情報漏洩防止(DLP)、SWGやCASBをまとめた「MVISION Unified Cloud Edge」というサービスを提供しています。併せて、いわゆるアプリケーション系のセキュリティ対策としてCNAPPのフレームワークに準じた「MVISION CNAPP」を提供しています。これからもMcAfee Enterpriseは、製品・サービス・ソリューションによる皆様の情報セキュリティご支援だけでなく、各種アセスメント、導入支援、クラウド利用ポリシー策定、機密情報漏洩防止支援など、多くのサービスで皆さまの安心・安全を担保するために活動してゆきます。
<PR>
