米国シリコンバレー目線で見る -> 日本のIT成熟度の低さと「セキュリティの空白」
以下は現在進めている、日本企業にとってのゼロトラストアーキテクチャへの移行に関連した諸問題の解明と、その解決策に関する調査の報告書の一部です。多くのIT関係者にとって参考になると思われるので共有します。
こういう現状があるため、世界レベルで技術を磨いているランサムウェア犯罪集団がいったん侵入してしまうと、目も当てられない状況となります。
抜本的な対策は、米政府が推奨するゼロトラストアーキテクチャへの移行です。大工事になります。これまでの費用の3〜5倍はかかります。手掛けられるのも世界的にトップレベルにあるAWSインテグレーター及びそれに準じる存在です。(ランサムウェア対策という意味では:安く、小手先で済ませてきたのが従来の日本のITベンダーです。それを世界レベルに引き上げるので世界レベルの費用がかかります。これは情シスが手に負える問題ではなく、アサヒグループと同様に社長が決断をすべき問題です。経営企画部が社長に進言しなければなりません。)
1 「2025年の崖」とレガシーシステムの重圧
日本の経済産業省が警鐘を鳴らす「2025年の崖」は、単なるシステムの老朽化問題ではない。それは、日本企業が長年にわたり築き上げてきた「過剰なカスタマイズ」と「ベンダー依存」の結果生じた、複雑怪奇なブラックボックス化したレガシー資産の累積を指す。
IT成熟度の低い日本企業の特徴として、以下の点が挙げられる:
-
塩漬けされたOSの存在: Windows Server 2003や2008、Windows XPといったサポート切れのOSが、製造現場(OT環境)や基幹業務システムの一部として稼働し続けている
-
境界防御への過信: 「社内ネットワークは安全である」という前提に基づき、ファイアウォールとVPNに依存した設計が維持されている。しかし、クラウド利用の拡大とテレワークの普及により、この境界はすでに崩壊している
-
IT人材の不足: 多くの日本企業では、セキュリティ専任のCISO(最高情報セキュリティ責任者)が不在か、兼務であり、高度な脅威分析を行うスキルセットを持った内部人材が圧倒的に不足している
2 アイデンティティ・クライシス:Active Directoryの荒廃
ゼロトラストの根幹は「アイデンティティ(ID)」にあるが、IT成熟度の低い組織において、この基盤であるActive Directory(AD)は極めて不衛生な状態にあることが多い。
-
幽霊アカウント: 退職者のIDが削除されずに残存している。
-
過剰な権限付与: トラブル対応の迅速化を理由に、ベンダーや運用担当者に恒久的なDomain Admin権限が付与されている
-
サービスアカウントの放置: アプリケーション連携用のIDが、パスワード変更なしで何年も運用されている
このような「不衛生なAD」の上に最新のセキュリティツールを導入しても、土台が腐っていては効果を発揮しない。しかし、日本企業のIT部門にとって、ADのクリーンアップは業務影響の懸念から着手困難な領域となっている
3 従来の対策の限界:ポイントソリューションの散乱
脅威が高まるたびに、アンチウイルス、サンドボックス、URLフィルタリングといったポイントソリューションを継ぎ足してきた結果、管理コンソールが乱立し、アラートの洪水(Alert Fatigue)が発生している