(右から)ジーグラビティ CISO 兜森清忠氏、セキュアエッジ 代表取締役 西島正憲氏、ジーグラビティ プロダクト&アライアンス部 部長 天白由都氏
IT環境の“クラウド化”が進む昨今、民間企業はもちろん、公的機関でもこうした動きが起きている。しかし、公共の中でもとりわけ「防衛」が求められる中央省庁では、本当にクラウドを軸にDXを推進することが最適解なのか――。このような疑問を投げかけるITの専門家たちがいる。背景にあるのは、近年の技術革新、そして急速なサイバーリスクの高まりだ。セキュアエッジ 代表取締役の西島正憲氏、ジーグラビティ CISOの兜森清忠氏、同社プロダクト&アライアンス部 部長の天白由都氏が、サイバー安全保障の重要性が増す時代に中央省庁の取るべきDX戦略について語った。
サイバーリスクが急激に高まる3つの背景
ITを取り巻く環境に急激な変化が起きる中で、クラウド化・オープン化に代表されるDXの波は、あらゆる組織や業務に及んでいる。しかしこの波が実は、サイバーセキュリティリスクを高めている可能性があるという。
「今のDXの取り組みを見ると、利便性や効率化にウェイトがかかりすぎているのではないかという懸念を抱いています」。こう警鐘を鳴らすのは、企業から公的機関まで、さまざまな環境のITセキュリティ構築を支援してきたセキュアエッジの西島正憲氏だ。
「一例として、DXを進める中で、自分たちの持つシステムをつないでいく動きが見られます。ERPやCRMをはじめとした統合パッケージ製品利用はその代表でしょう。システムがつながればデータも一元化されて便利なのですが、つながっているからこそ、どこか一箇所でも突破されると、あらゆるところに被害が及ぶ危険性がある。利便性の向上は、こうしたセキュリティのリスクと裏腹であることを知っておかなければなりません」(西島氏)
もう1つ、AIの進化もサイバーリスクを大きく高める背景となっている。例えば生成AIは便利で誰もが気軽に使える分、ここから情報が漏えいするケースなども考えなければならなくなった。
さらにセキュリティの観点で悩ましいのは、AIが攻撃者の道具になっている点だ。
「少し前から、『AI駆動型マルウェア』という脅威が出てきました。これは、システムなどに被害を与える『マルウェア』に、AIエージェントや生成AIを掛け合わせたものです。例えば、標的のIT環境を隅から隅まで調べ、脆弱な部分を見つけたら攻撃していくマルウェアは以前からありましたが、ここにAIエージェントが掛け合わさることで、攻撃が高度化しています。一度プログラムを仕込めば、あとは簡単な指示を与えるだけで、AIが勝手に動いて攻撃までを実行してくれるのです」(西島氏)
セキュアエッジ 代表取締役 西島正憲氏
この脅威に対して、中央省庁のDXを支援するジーグラビティの兜森氏も警鐘を鳴らしている。
「AIによって、話すように指示を出せばコードを書いてくれる世界が実現しています。同時に意識されない脆弱性のあるシステムが生まれ、攻撃者もまたAIを攻撃の道具とする状況が生まれています。結果、攻撃の精度と頻度が上がり、我々“守る側”はより厳重な防御体制を築かなければならない局面に立たされています」(兜森氏)
サイバーリスク増大の3つ目の背景として、ジーグラビティの天白氏は「サイバー空間の戦場化」を挙げる。「国家間の争いがサイバー空間で起きるケースは増えています。国の重要インフラがサイバー攻撃を受けることもあり、国策として中枢システムを守る『サイバー安全保障』が不可欠な状況です」
この実情を受けて、日本では2027年度をめどに、「能動的サイバー防御」の導入に向けた法整備と運用を開始する予定だ。これは、従来の「攻撃を受けてから対処する」受動的な姿勢を変え、「攻撃前に脅威を検知し、無害化する」先制的な対応を許可するものである。政府が大きな転換を図る姿からも、いかにサイバー攻撃が国家の重要課題になっているかが分かる。
生成AIが「クラウド偏重」の呪縛を解き放つ
これほどのリスクに直面する中で、日本の中央省庁は、どのようなセキュリティ環境を構築していけばよいのか。
ここ数年、日本は「クラウド・バイ・デフォルト原則」を推進してきた。政府が情報システムを導入する際は、一部領域を除き、「クラウドサービスの利用を最優先で検討する」という方針だ。しかし3人は、昨今のサイバーリスクをふまえて、「本当にクラウド化、オープン化に傾倒することが正解なのか、慎重になるべきでは」と一石を投じる。
「パブリッククラウドは便利です。しかし中央省庁は国民の機密情報を扱っていますから、何もかもそこに上げていいのか、熟考すべきではないでしょうか。万が一インシデントが起きれば、国民の不利益になってしまいます。収益の追求が使命である民間企業に対し、中央省庁は国民の安全を確保するのが第一ですから、安全を担保しにくいクラウドを敢えて選択せず、守りを重視することも必要だと考えています」(兜森氏)
ジーグラビティ CISO 兜森清忠氏
そもそもセキュリティ技術者から見ると、クラウドは仕組みが複雑であり、守りの難易度が高いという。「オンプレミスに比べると、クラウドは要素統合的であるゆえに監視項目が多く、複雑に関係しあっており、それら1つ1つの脆弱性をチェックしていかなければなりません。システムを作るのは簡単、でも守るのは難しいのがクラウドなんです」と西島氏は指摘する。
兜森氏も同様の見解で、「最初ミニマムな機能で実装して、その後アップデートを繰り返しながら拡張していくのがクラウドの基本。この経緯を経てアーキテクチャが複雑になりやすく、またアップデートの際に脆弱性が発生するケースも少なくありません。そこを狙われる事例も出ています」と話す。
もう1つ、西島氏は別の観点から、中央省庁がクラウド比率を高めるリスクを口にする。
「クラウドを使うとなると、どうしても海外企業のサービスが増えていきます。中央省庁の情報は機密性が高いからこそ、国外への依存度が高まっていく点は気になりますね。もちろん公的機関が海外クラウドサービスを使うとしても、データセンターやサーバは国内に置くなど、一定のポリシーが定められています。その範囲内であったとしても、そもそも本当に国外のサービスに依存してよいのか、慎重に議論する必要があるのではないでしょうか」(西島氏)
こうしたクラウド依存のデメリットを踏まえ、天白氏は、日本が「デジタルソブリンティ」を高める意義を口にする。ソブリンティとは「主権」という意味。ITが国家間の安全保障にも影響を及ぼす時代だからこそ、国家のコアシステムは国内由来にするなど「デジタルにおける主権」を握ることを重要視するべきという見解だ。
ジーグラビティ プロダクト&アライアンス部 部長 天白由都氏
さらに天白氏は、「生成AIの進化により、そもそも既存のクラウドに業務を合わせる必要がなくなったのではないか」という疑問を投げかける。
「クラウド、もといSaaSを導入する際には、業務をシステム側の標準機能に合わせる『Fit to Standard』が鉄則とされてきました。一方、中央省庁の実業務は法令や独自の慣習に基づいた独自のものが多く、Fit to Standardとは根本的に相性が悪い側面がありました。しかしAIが自動で高度なプログラミングを行えるようになった今、開発コストは劇的に下がっています。自分たちの業務要件に完璧にフィットした『個別の最適解』を、AIを使って素早く構築できる時代が来たのです」(天白氏)
高度なセキュリティが担保された閉域網の中に、最新のAI技術を用いて「自組織専用の高度なDX環境」を構築するという新たな選択肢が、攻めと守りの両側面から見ても現実的な最適解として浮上しているのである。
クラウドとオンプレミスの使い分けを
ここまでの議論をふまえると、現在の政府方針はパブリッククラウドに重心が寄りすぎており、扱う情報によっては閉域網での保護を選ぶ必要があるという状況が明らかになった。ではどのようにクラウドとオンプレミス、公開網と閉域網を使い分けていけばよいのか。
兜森氏は、情報セキュリティの3要素であるCIA(機密性:Confidentiality、完全性:Integrity、可用性:Availability)が判断基準になると示した。3つの観点から情報資産ごとにリスクを分類する基本に立ち返り、クラウドに委ねるかどうか判断していくべきだ、という見解だ。
西島氏・天白氏も、バランスが取れたアプローチで進めていく必要があると同意している。
「すべてをクラウドに寄せるのも、その反対にすべてをオンプレミスに戻すのも正解ではないと思います。オンプレミスの場合は、拡張性や運用コストの点で制約が出やすく、DXの妨げになることもありますから。兜森さんの話にもあったように、『デフォルト』といった単純化を避け、適材適所で選択していく。そういったアーキテクチャを設計する必要があるでしょう」(西島氏)
実は近年、民間企業でも、クラウドへのシフトを止めてオンプレミスへ回帰する動きが現れている。参考になるのがガートナーの調査(※)だ。同社では毎年、企業のクラウドとオンプレミスの利用率を調査しているが、そのデータを見ると、「オンプレミスの利用率が下降を経て再び上がり始めている」と天白氏は話す。もちろんその裏にあるのは、サイバーリスクの高まりだ。
※参考:ガートナー、日本企業のクラウド・コンピューティングに関する調査結果を発表
効率と利便性を追求する民間企業でさえ、オンプレミス回帰の動きが出始めている。だとすると、守りを重視すべき中央省庁では、なおさらクラウド一辺倒の流れを見直す必要があるかもしれない。
とはいえ、オンプレミスや閉域網では、十分なDXができないのではないかと疑問を抱く人もいるだろう。しかし近年、クラウドとオンプレミスをミックスした中央省庁の大規模DX事例も生まれている。次回の記事では、具体的なプロジェクトを取り上げながら、中央省庁の新たなDXの形を紹介していく。
株式会社ジーグラビティの詳細はこちら
<PR>
