エンタープライズセキュリティとは？

エンタープライズセキュリティの重要性

エンタープライズセキュリティは、すべての組織に求められる規律です。エンタープライズセキュリティを徹底すれば、マルウェア、フィッシング、IT資産の物理的な窃盗など、幅広い攻撃から組織を守ることができます。エンタープライズセキュリティには以下の施策が含まれます。

• ユーザーアクセスの管理と認証
• データの暗号化を含む保護
• パッチ適用やその他の更新の戦略策定
• ディザスタリカバリー計画の策定と災害対策

エンタープライズセキュリティ(コーポレートセキュリティとも呼ばれます)では、テクノロジースタックのすべての層が保護対象になります。つまり、ネットワークハードウェア/ソフトウェアから、エンドユーザーデバイス、アプリケーション、データ管理/ストレージシステムまで、組織のIT資産すべてが対象になります。

すべてのIT資産が対象となるのは、事業のあらゆる面でテクノロジーサービスやデジタル資産への依存度が高まっているためです。部屋の入退室といった日常的な行動でもテクノロジーが使われるようになり、攻撃や侵害のリスクがあります。また近年、組織が管理するデバイスの数が急激に増え、それに伴って管理すべきデータも爆発的に増加しています。しかも、これらのデバイスは社外を含むさまざまな場所に分散しています。すべてのデバイスを適切に管理することは困難ですが、もはや避けては通れない義務と言えます。

同時に、企業ネットワークに対する脅威がかつてないほど増加し、巧妙化しています。フィッシング、マルウェア、ランサムウェア、さらには企業ネットワーク全体に過剰な負荷をかけるDDoS攻撃など、攻撃のリスクは高まり続けています。こうして企業ネットワークの保護対策が急務になる一方で、クラウドへの移行が進み、ネットワークがさまざまな物理資産と仮想資産で構成されるようになって、その複雑さが保護を難しくし、保護の重要性もまた増しています。

サイバーセキュリティとエンタープライズセキュリティの違い

サイバーセキュリティとエンタープライズセキュリティは混同されがちですが異なります。サイバーセキュリティはエンタープライズセキュリティの一部で、主にコンピューター資産を外部の攻撃から守ることを指します。サイバーセキュリティの対策には、マルウェア対策製品やファイアウォールの導入、各種サービスの適切な設定、適切なユーザートレーニングの実施などが含まれます。サイバーセキュリティの目標は、システムを攻撃から守り、攻撃を受けた際には速やかに修復することです。

エンタープライズセキュリティはもっと幅広く包括的な概念であり、その中でも組織のデータ保護が強く意識されます。エンタープライズセキュリティの目標は、顧客と従業員のデータを保護し、企業秘密や知的財産の漏えいを防ぎ、これらに関連するさまざまなリスクに対処することです。また、各種規制への準拠も重要な目標の1つです。その一部はサイバーセキュリティ対策を適切に導入することによって実現できますが、エンタープライズセキュリティを徹底するには、ビジネス、規制状況、サプライチェーンなどをより深く理解することが求められます。

エンタープライズセキュリティチームの役割

エンタープライズセキュリティチームの編成は組織によって異なりますが、その任務には一般的に以下のものが含まれます。

• ネットワークセキュリティ対策とサイバー脅威への対応：当然ですが、エンタープライズセキュリティチームの主な役割は組織のネットワークを安全に保つことです。セキュリティ責任者(通常はCISO)は、戦略、ポリシー、セキュリティ製品/サービス、その他のネットワークセキュリティの設計と実装を含め、セキュリティに関するすべての事項の発案と最終決定の責任を担います。ネットワークアーキテクチャの設計から、パスワード基準の設定、定期的なセキュリティテストと監査の実施まで、ネットワークセキュリティ対策を徹底することで、セキュリティの抜け漏れを防ぐことができます。
• インシデント対応：セキュリティ侵害が発生したときは、インシデント対応チームがすばやく対応に取り掛かり、脅威の特定、被害の封じ込めと最小化、システムやサービスの復旧を迅速に行う責任を担います。
• プライバシー規制への準拠：今日の企業には、従業員と顧客のデータ保護に関するさまざまな法規制が課されます。エンタープライズセキュリティチームは、罰金やその他の処罰を避けるために、これらの規制に確実に準拠する責任を担います。
• リスク管理：セキュリティ脅威のリスクは一様ではありません。そのため、エンタープライズセキュリティチームは対応の優先順位を理解しておく必要があります。リスクを評価するときは、各脅威が財務やビジネス、またはその両面で組織に及ぼす影響の大きさを基準に判断します。リスク管理の任務は、定期的なリスク評価が中心になります。
• 提携組織の調査：データを他の組織と共有する場合は、その組織が、セキュリティエキスパートが定める厳しい要件を満たしていること、暗号化とプライバシー保護について同じレベルのポリシーを制定していること、問題の発生時にすばやく対応する体制が整っていることを確認することが重要です。
• セキュリティ監査：上記のすべての任務を監督することがセキュリティ監査の目的です。監査では、セキュリティポリシー(ネットワークアクセスに関するルールなど)が適切に守られていること、データが安全に保たれていること、バックアップに破損がないこと、提携組織が合意した規則に従っていることなどを確認します。

エンタープライズセキュリティチームは上記以外の責任も担うことがあります。データセキュリティやデータプライバシーに関するすべての任務がエンタープライズセキュリティチームの責任範囲と考えておくとよいでしょう。

エンタープライズセキュリティで解決すべき問題

組織は、データの急増と攻撃対象の拡大が同時進行する中でビジネスの継続性を維持するために、無数の脅威に対処しなければなりません。たとえば、以下のようなものがあります。

• ランサムウェア攻撃：今日多くの組織が直面する中でも特に発生頻度が高く被害の大きいサイバー攻撃です。この攻撃では、組織のデータやファイルが暗号化され、復号カギと引き換えに身代金が要求されます。最近では、身代金を支払わないとデータをインターネットで暴露すると脅す二重脅迫の手口も増えています。
• プライバシー規制へのコンプライアンス違反：GDPR、HIPAA、CCPAなどの規制では、企業による顧客データの収集、管理、使用が厳しく制限されています。こうした規制は世界的に増加しており、適用されるすべての規制に準拠するのは容易ではありませんが、エンタープライズセキュリティの中核をなす責任の1つです。
• サプライチェーンの混乱：サプライチェーン攻撃が注目され始めたきっかけの1つが、Colonial Pipeline社へのサイバー攻撃です。ランサムウェア攻撃を伴ったこの攻撃では、システムの深刻な脆弱性が原因で、供給業者から、運輸業者、販売業者、顧客にまで影響が及びました。セキュリティインシデントに起因することの多いサプライチェーンの問題は今日、多くのケースで、価格の高騰や小売店での品切れなど、消費者レベルで売上を低下させる要因になります。
• サードパーティリスクの問題：今日のビジネスは1つの組織内では完結しません。テクノロジーを通じて多数のサプライヤーや顧客とつながり、そのすべての接点との間でデータがやり取りされます。こういったデータはエンドツーエンドで保護する必要があります。エンタープライズセキュリティには、これらのデータを不正アクセスから守る役割もあります。
• ハイブリッドワークに関する懸念：リモートワークが定着しつつある中で、多くの組織が今でも、出社する従業員とリモートワークをする従業員が混在する状況を管理するための最適解を探し求めています。同時に、在宅勤務の広がりで新たに生じたセキュリティの問題もまだ残されています。
• IoTの脆弱性：IoT (モノのインターネット)は当初、セキュリティを念頭に置いていませんでした。そのため、多くのサイバー攻撃でIoTデバイスが組織のITインフラへの侵入経路として悪用されました。今日では、基本的なセキュリティを確保するためにIoTデバイスの弱点をカバーする対策が必要であるという認識が広がっています。
• 内部脅威：故意の悪質な攻撃であるか不注意によるミスであるかを問わず、従業員やその他の内部関係者がデータ漏えいを起こす事件が絶えません。エンタープライズセキュリティの重要な柱には、このような脅威を避けることも含まれます。

今日特に重大な脅威ベクトル

上記の脅威に加えて、今日組織にとって特に重大な脅威ベクトルがいくつかあります。

• データプライバシー違反：サイバー攻撃の結果を含め、不注意による顧客データの漏えいは、規制違反による罰金や組織の評判低下など、甚大な損害をもたらす可能性があります。
• ハイブリッド環境やマルチクラウド環境の管理の問題：オンプレミスからクラウドベース環境への移行が進むにつれて、異なるクラウドサービス間やクラウドとデータセンター間でやり取りされるデータが適切に保護されているかどうか把握できなくなり、潜在的なセキュリティリスクになることがあります。
• 適切なトレーニングの欠如：サイバー攻撃は着実に洗練され、巧妙になっています。それに対して、高度なフィッシング攻撃、マルウェア攻撃、ソーシャルエンジニアリングなどに備えるためのユーザートレーニングは、特にリモートワークが進む今日、攻撃のレベルに追いついていません。
• APT (Advanced Persistent Threat)：従来多かった、短期間で強引に目的を達成する「ショーウインドー破り」型の単純な攻撃に代わって、攻撃者が組織のネットワーク内に長期間潜伏して攻撃の機会をじっと待つAPT攻撃が増えています。APT攻撃は早期に発見しないと数週間や数カ月もの間脅威がとどまり続け、知的財産の窃取やネットワークの乗っ取りなど、深刻な被害をもたらす可能性があります。

エンタープライズセキュリティのベストプラクティス

重要なセキュリティ対策には以下のものが含まれます。

• 監査を定期的に実施する：システムのセキュリティ状況を正確に把握するには、定期的にストレステストを実行し、詳細な監査を実施して、弱点を見つけ出すことが重要です。
• 保存されているデータと移動中のデータの両方を保護する：データを保護するには、ストレージを暗号化するだけでは不十分です。システム間を移動するデータにも保護対策を施す必要があります。
• アクセスを必要な人のみに制限する：多くの違反は、ユーザーにリソースへのアクセス権が必要以上に与えられている場合や、退職した人員のアカウントが削除されずに残されている場合に起こります。強力なアイデンティティ/アクセス管理(IAM)システムを導入すれば、各リソースに本当にアクセスする必要がある人にのみアクセス権を付与できます。
• 災害に備える：データ喪失の原因には悪質な攻撃だけではなく災害もあります。災害はいつ起こるかわかりません。バックアップを確実に取り、その妥当性を定期的にチェックすることが重要です。
• 必要に応じてセキュリティシステムを拡張する：ビジネス負荷の増加ペースに対応できないセキュリティテクノロジーは役に立ちません。既存のITインフラ環境に合わせて、ゼロトラストポリシーを制定し、エンドポイントセキュリティや多要素認証などのテクノロジーを導入するなど、セキュリティを拡張する必要があります。
• コンプライアンスを念頭に置いて計画を立てる：新しいプライバシー規制が登場するたびにあわてて対応する組織が少なくありません。ビジネスイニシアチブを開始するときは常にこうした規制を念頭に置くことが大切です。
• データセンターだけでなくエンドポイントも守る：在宅勤務制度を導入すると、海外の従業員を受け入れて自宅で仕事をしてもらう機会もあるでしょう。こうした状況に備えて、データセンターやクラウドコンピューティングリソースだけでなくエッジについても適切なセキュリティソリューションで保護するための具体策を立てることが重要です。
• トレーニングを定期的に実施する：組織内で問題が悪化するのを避けるには、経営幹部と従業員のどちらにも、セキュリティ戦略や実践的な対策に関するトレーニングを定期的に実施する必要があります。

効果的なエンタープライズセキュリティ戦略の立て方

効果的なエンタープライズセキュリティ戦略を構築するために重要な取り組みとして以下のものが挙げられます。

• どのようなセキュリティ対策が効果的であるかについて、ビジネス部門とIT部門間で意見を擦り合わせます。
• オンプレミス、クラウド、エッジを含め、組織のデータがどこにあるかをすべて把握します。
• データサイロを解消し、バックエンドを含む組織内のすべてのデータを保護するための戦略を一本化します。
• セキュリティの抜け漏れだけでなく、それらがもたらすリスクも詳細に把握します。
• セキュリティ戦略、ツール、コントロールを効果的に導入します。
• よく耳にするものから新しいものまで、業界に大きな影響をもたらす脅威について最新情報をチェックし理解を深めます。
• 適切なトレーニング計画を立てて、セキュリティ戦略に対するすべての関係者の意識向上を促します。

エンタープライズセキュリティの導入方法

エンタープライズセキュリティに取り組み始めるための基本ステップを以下に示します。

• 責任者を決めます。多くの場合、CISOの役職を設置して該当者を指名します。
• 組織内のすべてのデータ資産を棚卸しして、それぞれの場所を把握します。
• 各データ資産にリスク指標を割り当てます。
• それらの各リスクを緩和するための方法を洗い出し、重大度や損害の大きさに基づいてリスク対策の優先順位を決めます。
• 組織の全体的なセキュリティ態勢を強化するためのツールを導入します。これには、バックアップ計画やディザスタリカバリー計画を支援するツールも含まれます。
• クラウドプラットフォームを含め、組織のデータを共有するサードパーティの監査を実施します。
• 関係者に常に最新のセキュリティ戦略とポリシーを理解してもらうためのトレーニング計画を立て、実施します。
• 組織の全体的なセキュリティ準備状況を監査し、上記のステップを必要なだけ繰り返して、セキュリティ態勢を強化し、セキュリティの穴をふさぎます。

エンタープライズセキュリティというとまずマルウェア対策ソフトウェアの導入やパスワード要件の強化などを思い浮かべるかもしれませんが、真のエンタープライズセキュリティはそれよりもずっと複雑で包括的な取り組みです。今日のビジネス環境では、組織の最重要資産であるデータを守るためにエンタープライズセキュリティは欠かせません。エンタープライズセキュリティのリスクを軽視していると、システム侵害、評判の低下、ビジネスへの損害といった代償を払うことになります。