パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #12/令和の時代に備えるべきセキュリティ対策とは?(第3回)

f:id:sky-pca:20191020115630p:plain

立命館大学 情報理工学部 セキュリティ・ネットワークコース 教授
京都大学博士(工学):上原 哲太郎

1995年 京都大学大学院工学研究科博士後期課程研究指導認定退学。1996年 京都大学博士(工学)。京都大学大学院工学研究科助手、和歌山大学システム工学部講師、京都大学大学院工学研究科助教授、京都大学学術情報メディアセンター准教授を経て、2011年総務省技官。通信規格と情報セキュリティ政策に従事。2013年より現職。NPO情報セキュリティ研究所理事、NPOデジタルフォレンジック研究会理事。京都府警サイバー犯罪対策テクニカルアドバイザー、和歌山県警サイバー犯罪対策アドバイザー、芦屋市CIO補佐官。

f:id:sky-pca:20191025165748p:plain

f:id:sky-pca:20191025165754p:plain


 

働き方改革を推進するためにRPAの導入を検討されている企業が多いと思いますが、導入にあたっての注意点はありますか?

RPA(Robotic Process Automation)の使い方として適切ではないのは、人間が行っていた「定型的な作業」をRPAに置き換えることです。一般にRPAの導入が成功していると言われているのが、帳票をOCR(Optical Character Reader)で文字認識させ、その結果を入力させるデータ入力オペレーターの作業です。しかし、本来は最初からWebサイトの入力フォームで帳票を入力すれば大幅に効率がアップするにもかかわらず、手書きの帳票をRPAで文字認識させれば「手書きの帳票を使用する」ことが固定化されてしまい、結局は業務の効率化につながりません。

このような言い方をするとR P Aを否定しているようですが決してそうではなく、使いどころを間違えなければ有効なツールだと思っています。情報システムご担当者の業務でも、あるシステムのデータベースをCSVファイル出力し、Excelで修正して別のシステムに取り込む作業が頻繁に発生していると思います。RPAが役立つのは、このような二つの互換性のないシステムをつないで有効活用したいが、それぞれのシステムの改修はやりたくない場合や、パッケージにAPI(Application Programming Interface)が提供されていないのでプログラミングができない場合です。これらの用途でRPAを導入することは、システム化を進めるという意味でも適切だと思います。業務の効率化を妨げている問題を把握しないまま導入してしまえば、本来必要としている業務には活用できず、業務改革の機会を失ってしまいます。

数年前に「ビッグデータ」というキーワードがはやったとき、これをI T戦略として掲げてキーワード経営を行う企業が現れました。しかし、その多くは現場に丸投げのような状態で、上から「よろしく頼む」と言われた各現場では、保有しているデータソースをかき集め、それを一生懸命Excelで分析することでビッグデータを活用したように見せていました。今もまた「働き方改革」というキーワードのために「RPA」の導入を検討されている企業があると思いますが、二つの殺し文句が並んでいることに注意してください。

R P Aを形だけの導入としないために、まずは組織内に多くの無駄な間接業務が潜んでいることに着目し、導入前に業務整理しておくことが重要です。例えば、スタンプラリーのようになっている書類への押印などは、責任者のチェック済みだと証拠が残ることが重要なので、画面のクリックやログを見るだけでチェック済みだとわかるようにするなど、形骸化している業務に対してシステム化を急ぐことを優先していただきたいと思います。


 

f:id:sky-pca:20191025182834p:plain

 

予算確保に苦労されているご担当者は依然として多いと思いますが、今、経営層に響く訴求ポイントについてお聞かせください。

一番の問題点は、いまだに「セキュリティ対策はコスト」と考えられている経営者が多いことです。企業・組織の担当者は、セキュリティのための予算をどう確保するか悩まれているとお聞きしますが、解決にはさまざまな手段を駆使していくしかないと思います。その一つが、経営者への報告・相談の際、セキュリティを主文にしないことです。今はちょうど「働き方改革」という、主文にすべきとてもわかりやすいキーワードがあります。「IT化を進めたことで残業代が減りました」「IT化により人件費を抑制できました」など、経営層に成果をアピールできるタイミングです。もう何年も日本の生産性は先進国の中で最下位のため改善が求められていますが、業務を見直せばたくさんの無駄が見つかり、削り代がたくさん出てくるはずです。

よく「デジタルトランスフォーメーションで働き方改革」と提唱されていますが、デジタルトランスフォーメーションを推進するのであれば、セキュリティリスク対策の強化も同時に進める必要があります。RPAを業務効率化のためのデジタルトランスフォーメーションとして取り入れるなら、セキュリティの強化もワンセットだと経営層に知ってもらえる機会です。まずは、各部門の業務内容を把握し、IT化が進んでいない業務に投資し続ければ将来的に業務効率が上がり間接経費を抑えることができると経営陣にわかってもらうこと。さらにIT化を進める段階で、セキュリティ・バイ・デザインを考慮し、セキュリティリスクを低減させる必要があることを知ってもらえれば、情報セキュリティ担当者にとっての課題である組織全体のセキュリティ強化も達成できるのではないでしょうか。


 

セキュリティ人材不足と言われていますが、そのような状況下でセキュリティを担保できる効果的な方法についてお聞かせください。

一度、いわゆるホワイトハッカーに全力で攻撃してもらうことも有効だと思います。すでにそういったサービスを事業として展開している会社もあります。ある大企業が実際にホワイトハッカーへ攻撃を依頼したところ、社内ネットワークの奥深くまで入られてしまい、経営陣が震え上がる事態になりました。これが悪意ある攻撃だったらその企業は今ごろどうなっていたのかと思いますが、この実例を見てホワイトハッカーに攻撃してもらうことはセキュリティの強化にかなりの効果があると感じました。

その組織では、ホワイトハッカーによる攻撃が行われることは、経営陣から承認を受けたごく少数の社員を除いて誰にも知らされませんでした。本気の攻撃が仕掛けられた結果、ファイアウォールや誰でも入れる場所とそうでない場所をきちんとゾーニングしているセキュアなはずのネットワークをすべて突破され、一番奥にある重要な機密データだけがコピーされていました。このようなホワイトハッカーは、セキュリティ技術者の良いロールモデルになると思いますが、残念ながらこのような「本気の攻撃」によるセキュリティ検査はまだ大企業でもそれほど浸透していません。

現在、企業・組織の多くが取り入れているIT監査やシステム監査は、管理項目を自己チェックしたり各部署へヒアリングするだけで完了してしまいます。チェック項目上は守れることになっていても本当にそうなのか、思い切ってホワイトハッカーの攻撃を受けてみることで事実を知ることができるのではないでしょうか。将来的に証券取引所での取引は、攻撃サービスを提供している監査法人が作成した対応結果を添付していなければ受けつけられないくらいになっても構わないのではないかと思っています。


 

最後に、情報システムご担当者へメッセージをお願いします。

情シスと呼ばれる人たちの仕事の質は、この20年くらいかけて徐々に変わってきました。大型から中型の計算機を使用していた頃の情シスは、プログラミング言語を記述するコーディングが主な業務でしたが、それは次第にアウトソーシングされるようになり、SI事業者への発注が業務になりました。それに代わるものとして、社内業務コンサルティング、セキュリティコンサルティングのような業務や、内部監査担当としてのスキルを積むことをやっていける方は、間接部門としての価値を認められ活躍されています。情シス担当者にとって、働き方改革に伴う業務のIT化、デジタルトランスフォーメーションの風が吹いている今が、会社に対して自分たちの存在価値をアピールする最大のチャンスです。さらに、そこにいかにセキュリティマインドを入れ込んでいけるかがポイントではないでしょうか。

長い間に情シスの方々の業務の中心はヘルプデスク的な内容となり、社内を走り回ることが多くなっているのではないかと思います。しかし、自組織のセキュリティを強化していくために、今後はトラブルシューターとしての業務を徐々に減らしていき、各部署の業務をよく見ていかにIT化できるかを考え提案することに力を注いでいただくことに期待しています。


 

第13回/『認証』について、 今、知っておくべきこと(前篇)