日本オムニチャネル協会は2024年1月23日、IT製品・サービスの動向を解説する「IT勉強会」を開催しました。今回のテーマは「クラウド・セキュリティ」。システムのクラウド移行が進む中、足元のセキュリティをどう考え、どんな対策を施すのが望ましいか。セキュリティに精通する担当者をゲストに招き、セキュリティのトレンドを解説しました。
日本オムニチャネル協会が主催する「IT勉強会」は、特定領域のITの動向や製品・サービスを解説するセミナー。今回は、多くの企業にとって見逃してはならないクラウドのセキュリティ対策について解説しました。
ゲストとして、ソフトクリエイト 戦略ビジネス部 エバンジェリスト 松村真氏と、TIS IT基盤技術事業本部 IT基盤ビジネス事業部 IT基盤ビジネス推進部 奥山暁仁氏の2人が登壇。さらにモデレーターのクラスメソッド 代表取締役 横田聡氏、司会の日本オムニチャネル協会 専務理事でecbeing 代表取締役社長の林雅也氏を交え、最新動向について議論しました。
最初に講演したのはクラスメソッドの横田聡代表取締役。クラウドの基本的な考え方に触れつつ、セキュリティの重要性について講演しました。
横田氏はクラウドのセキュリティについて、「クラウドではオンプレミスから移行した基幹システムを運用するケースも珍しくない。インフラとしてのセキュリティを考えるのはもちろん、そこにはデータのガバナンスも含まれる。さらに最近は生成AIも見逃せない。クラウド上で生成AIを活用する機運が高まっている。こうした新たな用途に対し、どんなセキュリティ対策を施すべきか。さらには人為的な設定ミスなどによる重大な事故を防ぐため、従業員にどんな教育を施すべきかも重要なテーマだ」(横田氏)と指摘します。
AI環境については、「AIが生み出す膨大なコンテンツの流出、さらには外部からの攻撃に備えることが大切だ。これらのリスク対策をAIで、という考え方もあるが、人の判断力がより重要であることを忘れてはならない。人を前提とした対策をきちんと施すのが望ましい」(横田氏)といいます。人による意思決定を支援する仕組みを導入することが求められ、それを支える技術やサービスを選択利用すべきと訴えました。
続いて登壇したソフトクリエイト 戦略ビジネス部 エバンジェリスト 松村真氏は、ドキュメント管理におけるセキュリティについて講演しました。データ化した書類をクラウドで管理する上での課題、クラウド移行する上での注意点、認証とセキュリティの重要性、データの特性に応じたクラウドサービスの選別、具体的なシステムの利用例、セキュリティの進化などについて触れました。
ドキュメント管理を取り巻く現状について松村氏は、「チャットやスマートフォンなどの普及に伴い、業務スピードは加速し続けている。そんなときこそ、情報漏洩などのリスクに目を向けるべきだ。コンプライアンスも厳しくなる中、どんなセキュリティ体制を構築すべきか、現状の課題をどう解消するのかを今一度見直すことが求められる」(松村氏)と述べました。
ドキュメントを効率よく活用する手段として、システムのクラウド移行が進むが、「システムの移行は慎重に考慮すべきだ」(松村氏)と訴えます。松村氏は「漏えいなどのセキュリティ対策はもちろん、誰がどのファイルにアクセスできるのかといった認証の仕組みが不十分なケースも目立つ。さらにバックアップ環境をきちんと整備しない企業も決して珍しくない」と指摘。クラウド化によって容易にドキュメントにアクセスできるようになった今こそ、さまざまなリスクを想定すべきと訴えます。
クラウドを前提としたシステムを運用するなら、「従来のファイアウォールに頼るセキュリティから、ゼロトラストセキュリティへの移行が必要だ。すべてのアクセスを信頼せず、アクセスがある度に確認するゼロトラストを前提とした対策を構築する機運が高まっている。これまでのセキュリティ対策を強化し続けるのではなく、クラウド化を想定した新たな技術やサービスの導入も検討する必要がある」(松村氏)と述べました。
最後に登壇したのは、TIS IT基盤技術事業本部 IT基盤ビジネス事業部 IT基盤ビジネス推進部 奥山暁仁氏。セキュリティの動向を包括的に解説しました。
近年の脅威について奥山氏は、「情報処理推進機構(IPA)の発表によると、外部からの不正アクセスが主な脅威である一方、内部の従業員による情報漏洩も少なくないという。クラウドでは不正アクセスや設定の不備を招く恐れさえある。こうした環境でクラウドを運用すると重大なインシデントを引き起こしかねない」と警鐘を鳴らします。
では具体的にどんな対策が望まれるのか。奥山氏は、「クラウドを利用する際の責任範囲を明確化すべきだ。規定やポリシーを明示し、トラブル発生時の責任をはっきりさせることが大切だ。さらに、トラブル発生時の対応策も準備しておかなければならない。顧客向けのサービスをクラウドで運用する企業においては、クラウドの停止は売上減に直結しかねない。すぐに復旧できるような対策や体制を今のうちから構築するのが望ましい」と指摘します。
さらに、ゼロトラストセキュリティについて「機密性を保持する上で重要な考え方となる。技術的にどう構築するのかを検討するほか、規定やポリシー、運用する組織体制も含めて、ゼロトラストセキュリティ環境を適切に稼働させるための整備を怠ってはならない」(奥山氏)と続けました。
なお、セミナーの後半は、モデレーターの横田氏や司会の林氏を交え、インシデント発生時に迅速に復旧することの必要性や、具体的なインシデント例なども紹介されました。クラウドの利点ばかりを活かすシステム構築ではなく、脆弱性を踏まえて適切な対策を施す必要性も訴えていました。
関連リンク
日本オムニチャネル協会