今後、Society 5.0の実現に向けて、5G/6Gの本格利用やコネクテッドカーの普及、空飛ぶタクシー、スマートシティなど未来社会に向け開発が進んでいく。例に挙げた医療や農業のように、あらゆるものがつながり自動化されていくであろう。そうなると、不正アクセスやマルウェア感染のターゲットが増えることになる。Society 5.0の実現に向けたシステムを設計していく上で、セキュリティは欠かせない。セキュリティなしには、社会インフラの維持、人権、人命の保護など、基本的なことが満たせなくなる。

バリュークリエイションプロセス(サプライチェーン)全体で、関わる組織、人が、セキュリティをデジタルプラットフォームとして捉え、当たり前のように、あらゆるシステムにおいてSecurity By Designを行っていくことが求められるだろう。

また、現在、大手企業ではあらゆるもの(人、デバイス、アプリケーション、ネットワーク)が攻撃にさらされ信用しきることはできないという前提のもと、企業のインフラネットワークにゼロトラストセキュリティの考え方を適用する動きが盛んになっている。Society 5.0のシステムにおいても、クラウドやIoT機器はインターネットに直接さらされることになり、複雑性も増していくため、リスクに対応するためにゼロトラストセキュリティの考え方を適用していくべきであると考える。ゼロトラストセキュリティの参考文献としてNIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)が発行しているSP 800-207 Zero Trust Architectureがある。ここでは、理念として7つの考え方でまとめている。

(1)すべてのデータソースとコンピューティングサービスをリソースとみなす
(2)ネットワークの場所に関係なく、すべての通信を保護する
(3)企業リソースへのアクセスは、セッション単位で付与する
(4)リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
(5)すべての資産の整合性とセキュリティ動作を監視し、測定する
(6)すべてのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
(7)資産、ネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する

(1)のコンピューティングサービスをSociety 5.0のシステムを構成するクラウドやIoT機器、パソコンやネットワークに置き換えて考えれば、自ずと何を考えなければならないのかが見えてくる。(2)は暗号化や改ざんチェック、(3)は通信するたびにアクセスを認可する仕組み、(4)や(6)はクラウドやIoT機器など、さまざまなリソースの状態・状況を把握し、アクセス認可の判断材料にする仕組み、(5)や(7)は、さまざまなリソースからできるだけ多くの情報を集め、セキュリティ状態の維持・改善に役立てる仕組みと捉えることができる。その求められる仕組みを実現するには、ソフトウェアBOM(IoT機器のソフトウェア部品表)の管理や資産の可視化、PKI(Public Key Infrastructure:公開鍵暗号基盤)、ネットワーク監視やSIEM(Security Information and Event Management:セキュリティ情報およびイベント管理)などの技術が役に立つであろう。

そして、巨大化、複雑化していくオープンなネットワークシステムは、セキュリティ人財の不足という課題にもつながるため、社会システムだけでなくセキュリティ自体も、設計から運用に至るまでAIの活用や自動化といった改革を進めていく必要がある。

セキュリティを含むリスク管理は経営の一部であり、DX(Digital Transformation)の推進やSDGs(Sustainable Development Goals:持続可能な開発目標)の実現を行う上で必須のものであると同時に、社会から信頼(トラスト)を得るための重要なファクターとなる。


邦訳:PwCコンサルティング合同会社
NIST SP800-207 「ゼロトラスト・アーキテクチャ」より抜粋
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/zero-trust-architecture-jp.pdf