クラウドサービスの積極的な活用やモバイルデバイスのビジネス利用、あるいはIoTへの取り組みなどにより、企業のIT環境はますます複雑化しています。こうした背景から、あらためて問題として浮かび上がっているのがセキュリティです。IT環境が複雑化すれば、それだけ守るのも困難となるのは避けられないでしょう。こうした課題を抱える企業に対し、セキュリティコンサルティングサービスを提供しているのがディメンションデータです。セキュリティ対策の基本的な考え方や具体的なアプローチ方法について、株式会社ディメンションデータジャパンにお話を伺いました。
1983年に設立され、2010年以降はNTTグループの1社として事業を展開しているのがディメンションデータです。システムインテグレーターとして豊富な実績を持ち、特にシスコシステムズのソリューションについては、グローバルでナンバーワンのインテグレーターとなっています。さらに世界47カ国に現地法人があり、顧客のグローバルビジネスを支えられる体制を整えていること、NTTグループ各社との連携によってフルスタックサービスをワンストップで提供できることも大きな強みでしょう。
同社の日本法人である株式会社ディメンションデータジャパン(以下、ディメンションデータジャパン)の能島純一代表取締役社長は「同じくNTTグループの1社であるNTTコミュニケーションズは、ネットワークやデータセンターを提供しているのに対し、ディメンションデータはネットワークに付随する機器、あるいはデータセンターの中で使う機器のインテグレーションを行い、ソリューションとして提供することを軸にしています。このように補完し合った上で、NTTグループのお客さまが海外に進出する際にそれを手助けする。ディメンションデータジャパンはそのような立ち位置であると考えています」と話します。
セキュリティ領域においても、ディメンションデータには多くの企業をサポートしてきた実績があります。ディメンションデータジャパンの森 美華氏は「私たちはセキュリティに関するグローバルなコンサルティングフレームを持っているほか、グループ会社の1つであるNTTセキュリティと連携することで、設計から構築、そして導入後の運用までを担うことができます。このようにセキュリティに関する課題に対してワンストップで、かつグローバルで対応することが可能です」と語ります。
前述のように、ディメンションデータはセキュリティ領域において、多くの企業にコンサルティングサービスを提供しています。その特長として、「SABSA(Sherwood Applied Business Security Architecture)」と呼ばれるフレームワークを意識している点、セキュリティドメインという考え方を重視していること、そしてグローバルの多数の企業におけるセキュリティ対策状況のスコア(=ベンチマーク)を保持していることなどが挙げられました。
1つ目のSABSAは、世界的に普及が始まっているセキュリティに関するフレームワークです。企業のIT戦略に合わせてセキュリティも考えるのが、世界的な潮流になっています。このフレームワークでは、経営的な観点から運用的な観点まで落とし込んで、企業固有のセキュリティアーキテクチャを検討することができます。
ビジネス主導のセキュリティアーキテクチャ
「このフレームワークで重要になっているのは、企業においてアプリケーションやインフラに関する計画がある際には、セキュリティもそれに合わせて考えていく必要があるとしている点です」(森氏)
セキュリティ対策の強化は、何らかのセキュリティインシデントが発生した、あるいは重大なセキュリティホールが発見されたなど、外部起因で検討されることが少なくありません。しかしSABSAでは、そのように対処療法的にセキュリティ対策を講じるのではなく、経営戦略といった長期的な視点に沿って計画を立案すべきだとしているわけです。
2つ目のセキュリティドメインは、ユーザーとプロセス、それを保護する技術をグループ化して対策を講じていくという考え方です。
「以前のファイアウォールでは、あるデバイスから別の特定のデバイスに向かうパケットの中で、特定のプロトコルを使ったものを遮断する、そういった設定を行います。これは非常にレガシーな考え方で、本来はデバイスではなく、そのデバイスを使っている人を意識しなければなりません。たとえば『AというユーザーはR&D部門の設計図共有フォルダにはアクセスできない』そういった形で設定できるべきです。こういった考え方を採り入れているのがセキュリティドメインと呼ばれるものであり、私たちはそれが実現できるノウハウをお客さまに推奨しています」
セキュリティドメイン
1つ目のSABSAと呼ばれるフレームワークを意識している、そして2つ目のセキュリティドメインと呼ばれる考え方を重視していることに加えて、ディメンションデータのセキュリティサービスの3つ目の特長として説明されたのは、数多くの企業のセキュリティ対策をスコア化した情報(=ベンチマーク)を保持していることです。
ディメンションデータでは、CMMI(Capability Maturity Model Integration:能力成熟度モデル統合)と呼ばれる能力成熟度モデルの基準に則り、各企業のセキュリティ対策を0から5までのレベルでスコア化し、インダストリー単位などで平均値を出しています。セキュリティ対策を検討する際、ディメンションデータのコンサルティングサービスを受ければ、この他社のスコアを参考に検討を進められます。
「セキュリティ対策にどの程度力を入れるべきかの判断は、多くの企業が悩んでいるポイントであり、妥当なコストや妥当なレベルが判断できないという声は少なくありません。その際、私たちであれば各インダストリーの平均スコアを指し示しつつ、『この少し上を目指しませんか』とアドバイスすることができます」
AS-ISとTO-BEのベンチマーク情報の提供
なぜ平均の少し上を目指すのでしょうか。ハッカー側から考えると、平均を上回る、セキュリティが強固な企業をわざわざ狙うよりも、平均以下の脆弱な企業の方が目的を達成しやすいためです。
「たとえばお客さまが金融業で、現状は平均を下回っているとしましょう。そこで同業他社が目標としているセキュリティレベルを少し上回っているところを示した上で、そのためにはどういった対策や戦略が必要なのかをアドバイスします。こうしたスコアはディメンションデータならではのベンチマークであり、我々の大きな武器となっています」
ここまで解説した3つの特長に加え、セキュリティベンダー各社とのリレーションシップを生かした、それぞれが提供するセキュリティ製品のポートフォリオの詳細な情報を保持していることもポイントとなっています。
特に大手セキュリティベンダーでは、セキュリティ製品のラインナップは拡大傾向にあり、そのポートフォリオ、さらには戦略や提供されている機能までを把握するのは容易ではありません。その中から自社で必要なものを選択するのは、さらに大変でしょう。
しかし各社のポートフォリオを把握しているディメンションデータであれば、顧客の課題を把握した上で、その解消に必要な適切なセキュリティ製品を提案することが可能だとします。
セキュリティアーキテクチャ参照モデルのベンダーマッピングの提供
最後に、森氏にデジタルトランスフォーメーションを見据えたときに、どのようにセキュリティ対策を考えるべきかと尋ねると、次のように答えてくれました。
「デジタルトランスフォーメーション(DX)を進めていくと、事業部門が主導して新たなサービスを開発するといった状況も珍しくなくなるでしょう。そうして開発されるサービスに対して、どのようにしてセキュリティのアーキテクチャやフレームワークを組み込んで行くかを考えなければなりません。そして、それこそが私たちのコンサルティングサービスが協力できる部分でもあると思っています」
デジタルトランスフォーメーションは大きなメリットをもたらす可能性がある一方、新たなリスクが生じることも事実です。そのリスクをどうコントロールするのか、そのためにはどういったセキュリティ対策を講じるべきなのか、そろそろ真剣に考えるべきではないでしょうか。
※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。
