SaaS への移行がサイバーセキュリティにもたらす影響

ボストンのシーポート地区にある PTC 本社を投資家として訪れるところを想像してみてください。太陽の光を浴びて輝く 17 階建てのビルの全フロアは、情熱にあふれたプロフェッショナルたちと画期的なソフトウェアで埋め尽くされています。そこに CEO のジム・ヘプルマンが登場します。ジムは、確信に満ちた口調で、あなたの出資金は他の出資者からのお金と一緒に「マットレスの下」に保管してあるから安全だと宣言します。そのときのあなたの反応を表現するには、「ショック」という言葉だけではとても足りないでしょう。この世には銀行というものがあります。銀行という組織は、個人に代わって資金を管理し、保護するために存在します。

このおかしなたとえ話は、驚くべき現実を浮き彫りにしています。それは、現代の多くの企業が、ある貴重品をマットレスの下に隠しているということです。ただし、この場合、隠されているのは紙幣や硬貨ではなく機密データやユーザー情報です。マットレスの下に隠されていることを誰も知らなければ、安全かもしれません。とはいえ、安全な状態で隠し続ける責任はすべて、その所有者とチームにあることは間違いありません。

はっきり言って、オンプレミスのサイバーセキュリティソリューションは標準的なマットレスよりもかなり安全です。また、IT チームの勤勉な取り組みは称賛に値しますが、サイバーセキュリティに関しては勝ち目のない戦いに挑んでいることも珍しくありません。

現在、ロシア、中国、米国など、多くの国々がサイバー戦争に関与しています。Gartner 社は最近の記事で、ロシアがウクライナ侵攻計画の一環として、戦争の初期段階において ロシアによる組織的なサイバー攻撃 を行ったことについて取り上げました。地政学的な紛争だけでなく、データを盗んで身代金を要求する悪意のある第三者や、明白なメリットがないにもかかわらず情報を消去または公開しようとする愉快犯、さらには社内の偶発的および意図的な妨害工作にも警戒する必要があります。

このように複雑に絡み合う脅威を考慮すると、2021 年だけでサイバー犯罪による損失額が約 70 億ドルに上ったという FBI の報告も不思議ではありません。サイバー攻撃の首謀者が誰であるかにかかわらず、すべての攻撃に根ざす共通した要因があります。IT チームの担当業務が過剰であったか、業務の担当範囲があまりにも広すぎたためにセキュリティ対策に後れを取り、侵害が発生したのです。

現代の通貨保護策としては、マットレスではなく銀行が標準とみなされていることには理由があります。貴重品をその保護と活用に特化した専門の組織に預けることで、継続的かつ包括的なセキュリティが実現する確率が高まります。

伝統を守ろうとして、新しく（率直に言って）優れたデータ保護方式の導入を妨げるべきではありません。クラウド技術とクラウドベースのプログラム、そしてそこから派生した SaaS (Software as a Service) ソリューションは進化を遂げ、今後も改良が重ねられます。そしてその大部分では、オンプレミスのセキュリティソリューションの制約が解消されています。長期間オンプレミスのサイバーセキュリティソリューションを採用してきた企業にとって、機密データを直接所有する体制からの移行を考えるのは困難かもしれませんが、次第に攻撃が激しさを増すデジタル環境の現状を考慮すると、考えかたを変えざるを得ません。

このホワイトペーパーで、PTC はサイバーセキュリティを理解するための基準を提示し、サイバーセキュリティと SaaS およびクラウドとの関係、そしてデータ保護を強化する可能性を秘めた技術について解説します。SaaS への移行の重要性をより明確に示すために、最近の調査データを用いて、企業がサイバーセキュリティへの取り組みをどこまで検討し、どの程度の投資をしているかをご紹介します。

本ホワイトペーパーの制作に際して、PTC は SaaS (Software as a Service) とクラウドサービス業務に焦点を当て、業務の進化に関するさまざまなトピックに関する 28 の質問を作成し、76 名に回答を依頼しました。回答者は全員、米国のさまざまな業界で働くフルタイムの意思決定者（ディレクターレベル以上）です。

調査データの収集期間は 2022 年 3 月～4 月で、回答者の当時の見解と主な問題の把握状況を反映しています。

インターネットの普及とともに、サイバーセキュリティの重要性が高まってきました。オンラインに保存される情報が増加するほど、特定のデータを保護する重要性も高まります。残念なことに、デジタル環境の進化に伴い、サイバー犯罪も多様化しています。現代のサイバー攻撃の形態は数多くありますが、最も多いのがマルウェアとフィッシングの 2 つです。

その他のよくあるサイバー犯罪の形態としては、サービス妨害 (DoS) や中間者 (MitM) も挙げられます。また、対応デバイスの普及に伴って展開が加速している IoT ソリューションは、場合によっては十分な配慮がなされておらず、無防備なネットワークアクセスポイントになることがあります。プリンターのような単純な機械でさえも、適切に保護しなければ脆弱になり得ます。さらに、外部の人間を警戒すべきである一方、知識がないか適切なトレーニングを受けていない従業員が、誤って機密情報を漏洩したり公開したりしてデータ侵害の原因となる可能性があります。RedTeam Security 社が収集したデータから、71% のデータ侵害がユーザーの不注意による誤ったデータの公開に起因しており、68% は過失（ユーザーはデータに関するポリシーを認識していたが適切な手順をすべて守っていない）によるものであることが判明しています。これらの侵害はどれも悪意をもってなされたものではありませんが、すべてが金銭面での損害を引き起こしました。

サイバー犯罪の形態がどのようなものであれ、その多くの目的は同じです。それは、機密データを悪用して被害者に損害を与えることです。サイバー犯罪者は、デジタル環境の新規性と変化し続ける性質を利用します。従業員が特別なトレーニングを受けておらず、サイバー犯罪を検知できない、または防ぐことができない企業は恰好の的です。知識の欠如は簡単にデータ侵害を招きます。

この状況が劇的に悪化したのが、新型コロナウイルスの感染が拡大した 2020 年です。リモートワークや、一元化されていないソフトウェアやインフラによる業務について真剣に検討していなかった企業は、突如として、早急に対応を迫られました。多くの従業員や経営幹部は、馴染みのないソリューションに適応しなければなりませんでした。その結果、FBI から報告されているように、2019 年～ 2021 年の間にサイバー攻撃に起因する苦情と損失がほぼ 2 倍となりました。その損失によるコストも 35 億ドルから約 70 億ドルに倍増しています。

新型コロナウイルスの世界的な感染拡大が収束して風土病として扱われるようになり、企業が新しい柔軟な働きかたに慣れてきた中で、サイバーセキュリティが果たす役割が注目を集めています。サイバー犯罪への対応はもはや「仮定」ではなく、「必須」であるという視点に変わりました。PTC のデータから回答者全体の 64% がサイバーセキュリティの重要性を認識しており、それを最優先事項として挙げていることが判明していますが、この課題に対応する方法を正確に把握することは困難です。

デジタルの時代におけるデータ保護の重要性を考慮し、PTC はサイバーセキュリティだけでなくプライバシーの保護全般に関して包括的かつ多層的なアプローチを採用するようお客様に推奨しています。忘れてはならないのが、アクセスポイントやサーバーがいかに厳重に保護されていても、1 カ所でもセキュリティが脆弱なネットワークがあれば、そのネットワークは安全ではないということです。弱い輪によって鎖が切れてしまうだけでなく、ネットワーク全体の強度が低下します。これは SaaS でもオンプレミスでも同様です。

効果的なサイバー保護は複雑になる可能性がありますが、そのスタート地点は、人、プロセス、技術という 3 つのシンプルな基本要素です。

人: 現状では、人の重要性を除外できるような、本質的に安全な技術はありません。あらゆる立場の関係者が、効果的なサイバーセキュリティ戦略を促進するうえで自らが果たす役割に合わせてトレーニングを受けるべきです。サイバー犯罪は静的なものではないため、これらのトレーニングは集中的かつ定期的に実施する必要があります。意識を高めることで、従業員が策略にはまるリスクを低減できるだけでなく、従業員の誤った行動に起因するデータ侵害が発生する可能性を抑えることもできます。

プロセス: 信頼できる従業員が社内のあらゆる部門の業務を担当しているとしても、透明性を高め、記録を保持するためのプロセスが必要です。また、プロセスには「セキュリティ・バイ・デザイン」に基づくゼロトラストや最小特権の原則などの設計理念を含めることができます。情報漏洩とリスクを制限し、デジタル処理のあらゆる側面を追跡するよう設計された組織を構築することで、経営幹部は制御不能に陥る侵害が発生する可能性を低下させられます。

技術: すべての技術は異なるため、セキュリティと使いやすさの両面で、より大きな領域で機能するプログラムを確実に選択する必要があります。自動化は、人間がかかわるポイントを制限することで、サイバー犯罪者が企業のインフラに侵入する危険を削減できるという点では有効的と言えます。オンプレミスでもクラウドでも、導入するソリューションにかかわらず、必要に応じて確実に技術を追跡し、アップデートするための対策を常に講じる必要があります。

まだ新しい存在であるクラウドネイティブの SaaS が推進するサイバーセキュリティ環境にクライアントが適切に対応できるよう、PTC は、人、プロセス、技術の各レベルでセキュリティを優先する SaaS パートナーを選択することを推奨しています。

サイバーセキュリティは包括的で企業全体に及ぶものでなくてはなりません。「一度で終わり」のソリューションではなく、改良と革新を積み重ねる継続的な取り組みです。総合的なサイバーセキュリティポリシーを策定できるよう、組織的なレベルで人、プロセス、技術に必要な準備を調える方法を検討してください。

サイバーセキュリティ、そしてその延長として SaaS のサイバーセキュリティの話題になると、「ゼロトラスト」や「最小特権の原則」という用語がよく取り上げられます。それぞれに独自の定義がありますが、どちらもサイバーセキュリティの原則のより大きな枠組みである「セキュリティ・バイ・デザイン」に含まれます。セキュリティバイデザインは現代のサイバーセキュリティに関するポリシーの原則の核となる要素であり、この原則がクラウドおよび SaaS ソリューションにも関連すると PTC が考える根拠のひとつでもあります。

セキュリティ・バイ・デザインはソフトウェアの領域で生まれました。「設計段階からセキュリティを組み込む」ことを示すこの用語は、ソフトウェアエンジニアがさらなる時間を費やし、既存のソフトウェアよりも本質的に安全でリスクが少ないソリューションを考案して開発することを意味します。例えば、ファーストフード店として使用されていた建物を銀行に改装するのではなく、ゼロから銀行を設計すると仮定します。この場合、セキュリティ強化のために多額の投資をしなくても、より高い本質的なセキュリティを実現できます。

このような考え方がソフトウェアの領域外にも広がり、さまざまな企業がインフラ全体にセキュリティ・バイ・デザインの適用を目指しています。その形態はさまざまで、前述した定期的なトレーニングスケジュールもそのひとつです。データ侵害が疑われる、または確認された場合にとるべき明確な行動の概要を定めた対応計画を策定している企業も、セキュリティ・バイ・デザインの原則に従っています。最小特権の原則は、ユーザーによるソフトウェアとプログラムの操作を制限するという意味で、セキュリティ・バイ・デザインに属します。具体的に言えば、最小特権の原則では、権限を持つユーザーが職務を遂行するうえで不可欠な、また正当な理由から必要とするソフトウェアプログラムの機能にのみアクセスできるべきであるということです。たとえば、給与明細について考えてみましょう。従業員が自分の給与明細を確認することはよくありますが、全社員の給与明細へのアクセスを必要とする正当な理由はありません。

ゼロトラストも同じような概念です。その名が示すとおり、ゼロトラストは「疑わしきは確認せよ」を信条とするソフトウェアアーキテクチャの設計原則です。オフィスなどの信頼できる場所からアクセスする不明なデバイスを含め、どのデバイスも始めからで信頼すべきではありません。この原則では、設計プロセスのあらゆる段階で個人を確認し、適切なユーザーのみがネットワークにアクセスできるようにします。

競争力のある SaaS ソリューションはすべて、セキュリティ・バイ・デザインの原則に従っています。それに対して、オンプレミスのソリューションはレガシーシステムであることが多く、サイバーセキュリティの優先度がかなり低い時代に作られた仕組みです。たとえアップグレードしても、これらの仕組みには脆弱性とセキュリティの穴が残る可能性があり、それらを修正するには高額なコストがかかります。デジタルの時代においては、侵害が発生してからセキュリティについて検討するというオプションはもはやありません。企業は、社内および社外の両方の従業員にとって、セキュリティは業務全般に関して基本的な要素であると考えるべきです。

レガシーソフトウェアのアップデートにはさまざまな課題が付きまとうものの、情報システムの部門長と経営幹部はクラウドを活用したサイバーセキュリティにまだ躊躇しています。昔から、「自分たちで対応したほうがまだ安全だ」という考え方があります。しかし、レガシーシステムの課題を無視したとしても、オンプレミスが優れているというわけではありません。現場の専用サーバーにデータを保存すれば、機密データすべてを即時かつ完全に制御できますが、これはもろ刃の剣であると言えます。

IT 担当者、特に情報セキュリティチームの担当者が十分に配属されている理想的な環境であれば、企業はデータを効果的に保護できるかもしれませんが、その考えかたでは、経験豊富な人員の不足、離職率の増加、燃え尽き症候群の増大などの問題が考慮されていません。当然、これらの問題にはますます強力になるサイバー攻撃も含まれます。災害回復計画を策定してデータ侵害に備えている企業ですら安全ではありません。2022 年に IDC 社が実施した調査によれば、回答者の 79% が過去 12 カ月以内にそれに類する計画を有効化しています。

PTC が収集したデータから、68% の企業の IT チームがほぼ休みなくメンテナンス業務を行っていることが判明しています。現代では多くの業務がデジタル処理への移行を進め、IT はビジネスのほぼすべてに関与するようになり、社内の IT チームは「事後対応」モードになっています。そのため、発生し得るセキュリティの課題を見越して対応する、または対応計画を立てるための時間も余力もありません。比喩としても文字通りの意味としても、何かが実際に「炎上」しなければ、注意を払われることはありません。たとえそうすべきであったとしても。

このアプローチは、機密データおよび情報の保護を専門とするクラウドストレージプロバイダーと対照的です。当然ながら、すべてのクラウドストレージプロバイダーがサイバーセキュリティに関して優れているわけではありません。しかし、データの安全な保存を専門とする組織にその負担を託すことで、経営幹部は違反や漏洩がないか常にモニタリングされている場所に機密情報を保存できるようになります。

極言になりますが、クラウドはセキュリティ・バイ・デザインの一翼を担っています。クライアント企業のユーザーは、クラウドに追ってデータにアクセスしにくくなるからです。クラウドプロバイダーは本質的に権限に関して慎重であるため、通常はクライアントに直接、どのユーザーがどのデータにアクセスできるのかを確認します。この運用方式により、従業員が関係のないシステムにアクセスする可能性が低くなります。また、従業員が誤って、あるいは故意に現場のサーバーを破損または破壊するのを回避できます。オンプレミスのソリューションを設定することもできますが、その場合も、社内の IT 部門による常時のモニタリング、アップデート、管理という別作業が必要になります。

従来のソフトウェアアップデートは主に機能に関するものであり、新しいコンテンツと機能の追加は今でも最新のソフトウェアにアップグレードする最大のメリットとなっています。しかし、アップデートせざるを得ない理由としてセキュリティも挙げられるようになり、プロバイダーによってはアップデートを強制的に行う場合もあります。SaaS は、一度導入すればそれで終わり、というソリューションではありません。企業はソフトウェアを購入するのではなく、最新バージョンを借りているのです。完全な所有権を失うということはレベルの低下のように感じられるかもしれませんが、SaaS によりサイバー保護全体を大幅に強化できます。

従来のインストール型のソフトウェアを例に挙げましょう。ユーザーがコンピューターにそのソフトウェアを読み込むと、ソフトウェアはそのままそこに残り、必要に応じて使用されます。個人が使用するパソコンでは、ユーザーが新機能を必要とするタイミングやセキュリティの脆弱性を修正するタイミングでソフトウェアをアップデートできます。しかし、ビジネスの現場では、このような対応が推奨されないことが多くあります。従業員はコンピューターを適切にアップデートするかもしれませんが、許容できないほど長期間コンピューターを放置することも考えられます。大部分の企業では、このようなアップデートを行うために必要な権限を一般の従業員には付与していません。

その結果、多くのバージョンのソフトウェアが企業全体で同時に動作しようとします。運が良ければ、これらのバージョンは互いに完全に機能し続けるでしょう。しかし、ソフトウェアによっては一部の機能が失われる可能性もあります。最悪の場合、特定の従業員が、パッチが適用されていない既知のセキュリティの穴を持つソフトウェアで業務を行うことになります。

これは、職場が 1 カ所である場合ですら大きな問題です。従業員が分散することで、問題はさらに深刻になります。そのソフトウェアがオンプレミス専用として購入されたものである場合、自分のコンピューターを修理に出す必要があるかもしれません。もしくは、IT が新しいソフトウェアを郵送し、詳細な手順を指示しなければなりません。それでも、エラーが発生する可能性があります。

SaaS ソリューションの場合、アップデートは一律に展開され、従業員全員が同じ基盤を利用します。また、アップデートプロセスの自動化により、サイバーセキュリティの脆弱性のリスクを大幅に軽減できます。SaaS ソリューションを採用する企業では、IT 担当者が手動ですべてのハードウェアの保管場所や稼働場所を調査し、ソフトウェアのセキュリティが確保されていることを確認する必要はありません。SaaS ソリューションにより、高度なスキルを持つ従業員がメンテナンスと管理に費やす労力を削減し、ビジネス上の重要な取り組みに関する戦略立案やサポートに専念できるようになります。

ビジネスのデジタル化が進んでいます。数年間続くこの状況がすぐに変わることはありません。新型コロナウイルスの感染拡大や現在のインフレなどの危機的状況によってリモートワークを望む従業員が増加し、柔軟な勤務体制を実現する堅牢で安全なインフラの構築が、企業にとってより重要かつ大きなプレッシャーになっています。

結果的に、サイバーセキュリティの重要性は増加する一方です。多くの企業がこの現実をすでに把握していることがデータから判明しており、33% の企業がほかの最優先事項よりもサイバーセキュリティに多く投資していると回答しています（43% の企業は、投資レベルがほかの最優先事項と同等と回答）。しかし、回答者の約 4 分の 1 は、ほかのビジネス領域ほどサイバーセキュリティに対する投資を重視していないことになります。これらの企業は、変化し続けるサイバー攻撃に対抗するうえで必要な堅牢なインフラを備えていないため、深刻なリスクを抱えています。

サイバーセキュリティに関する支出が今後 2 年で増加すると思うかという質問については、28% が増加しないと回答しています。大部分の企業は、サイバー犯罪による被害の拡大に応じて、その対策への投資も拡大する必要があることを理解しています。

インターネット対応のデバイスの種類が増加し、リモートワークの従業員の存在感が高まる中、ただでさえ複雑なサイバーセキュリティの状況はさらに複雑になっています。オンプレミスのソリューションからクラウドベースの SaaS ソリューションに切り替えることで、確実な保護を実現し、先を見越して行動できるよう IT チームの負担を緩和できます。分散化したデジタルの世界では、SaaS はオンプレミスよりも効果的であるだけでなく、一般により適合性の高いソリューションでもあります。信じがたいかもしれませんが、ほとんどの場合、機密情報は従来のオンプレミスソリューションの外に保存したほうが安全です。

SaaS はサイバーセキュリティの現実を変えました。保護に関して、企業はもう自社の IT インフラの限界に縛られることはありません。総合的に考えれば、SaaS のメリットのほうが上回ります。諸外国を含めた数多くの脅威を考えると、平均的な中小企業が独自に自社とデータを包括的に保護するのは不可能です。

社内から外部のパートナーにサイバーセキュリティの管理を移行する計画は、そう簡単ではないでしょう。すべての SaaS 企業が同じレベルのサイバーセキュリティ保護を提供しているわけではないので、ベンダーから「SaaS」という言葉を聞いたからといってオンプレミスのデータ保護を簡単に放棄してしまうことは推奨しません。優れた SaaS パートナーはプログラムに多くのサイバーセキュリティ・プロトコルを組み込んでおり、初期段階からセキュリティを念頭に置いて設計を行っています。

PTC の詳細を確認

サイバーセキュリティに対する PTC のアプローチについては、トラストセンターをご確認いただくか、こちらからお問い合わせください。