多様化するシステムにおける情報セキュリティ対策(IT・情シスDXPO'25東京 夏なゆ視点)
- なゆ
- 9月3日
- 読了時間: 5分
アーキテクトGの「なゆ」です。
今回は2025/8/21(木)~8/22(金)に開催されていた「IT・情シスDXPO'25東京 夏」に行ってきました。
近年では、クラウドサービスを活用する企業が急速に増えており、オンプレミス中心だった時代に比べてシステム環境は多様化しています。それに伴い、セキュリティ対策も単一の境界防御では不十分となり、エンドポイント保護、ゼロトラスト、復元性といった多面的なアプローチが求められるようになっています。
こうした背景を踏まえ、今回は「多様化するシステムにおける情報セキュリティ対策」というテーマを設定し、その観点で見て回ってきました。特に流行の傾向や今後企業が取り組むべきセキュリティの方向性について考える機会となりましたので、その所感についてお届けします。
DXPOとは?
DXPOは、デジタルトランスフォーメーションに関する最新のソリューションや製品・サービスが一堂に会する大規模展示会です。ITシステムや情報システム部門に関わる担当者にとって、最新動向を学び、製品選定のヒントを得る場となっています。
会場限定でのセミナーや開催期間に限らないWeb出展、ウェビナーなど様々な形態で出店されております。
会場については、東京だけでなく、福岡、横浜、大阪、名古屋、札幌などでも今後開催されますので、ぜひ参加してみてください。
現在のセキュリティ情勢
IPAが公開した2023年度のセキュリティ被害ランキング(下表)によると、多くの企業が依然としてマルウェア感染や標的型攻撃、ランサムウェア被害に苦しんでいます。DXPOのセミナーでも近年ウイルス対策を停止させるランサムウェア(サイバー攻撃者の常套手段「セキュリティソフトの無効化」に対抗するためには?|トレンドマイクロ | トレンドマイクロ (JP))が登場しており、従来の回復性では迅速な復旧が困難になってきているとお話がありました。そのため、従来型の防御だけでなく、自己修復機能やゼロトラストモデルの導入といった新たな対策が必要です。
今回展示の製品を確認していると、登録した端末のみアクセス、多要素認証などは実装されておりましたが、ゼロトラストモデルを実装している製品はほとんどありませんでした。
そのため、従来型のアクセス制御を実装しつつ、ゼロトラスト製品の組み合わせでよりセキュアな環境づくりが必要であると考えます。
ゼロトラストとは?
ゼロトラストとは「すべてのアクセスを信頼せず、常に検証する」という考え方を基本とするセキュリティモデルです。従来の境界防御型セキュリティが社内ネットワークを“安全な領域”と見なしていたのに対し、ゼロトラストではエンドポイントやユーザーごとにアクセスを厳密に検証し、信頼を置かない設計を行います。これにより、リモートワークやクラウド利用が拡大する現代の働き方に対応したセキュリティが実現できます。
IPA公開の23年度被害ランキング(組織向け)
順位 | 「組織」向け脅威 | 10大脅威での取り扱い (2016年以降) |
1 | ランサムウェアによる被害 | 10年連続 |
2 | サプライチェーンの弱点を悪用した攻撃 | 7年連続 |
3 | 内部不正による情報漏えい等の被害 | 5年連続 |
4 | 標的型攻撃による機密情報の窃取 | 8年連続 |
5 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 10年連続 |
今後行うべき対策
今回のイベントを通して多くの企業がセキュリティ機能を充実させていると感じましたが、それでも十分な対策とは言えないのが昨今のサイバー攻撃の現状です。
また昨今SaaSサービスとして製品を提供している企業も多く見受けられるため、クライアント端末側でも十分な対策が求められている。
そのため、以下のことを重点的にセキュリティ対策を実施していく必要があると考えております。
エンドポイントの回復性確保 自己修復可能なエージェント導入や、エンドポイントの健全性モニタリングを行い、常に正常な状態を維持できる体制を整える。 特に近年はランサムウェアによってウイルス対策ソフトそのものが停止させられるケースが増えており、復元性を持った仕組みが不可欠となっています。端末が攻撃を受けても自動的に復旧できる環境を整えることは、事業継続性の観点からも大きな価値があります。
ゼロトラストアーキテクチャの段階的導入 ネットワーク・認証・デバイス管理を横断的に統合し、「信頼は常に検証する」という前提でのアクセス制御を実現していく。 ゼロトラストは一度に全てを導入するのは困難なため、まずは多要素認証やデバイス認証、SaaSサービスなど組み合わせて、段階的に取り入れるのが現実的です。その上で、クラウドやオンプレを横断した統合的なアクセス制御に発展させていくことが重要です。
従業員教育の継続 技術だけでなく、人の行動も重要な要素です。フィッシングやマルウェア攻撃に対するリテラシー向上を継続的に行う。 特に標的型攻撃では従業員が入口となるケースが多く、技術的防御だけでは限界があります。定期的な訓練やシミュレーションを行い、実践的に備えることが効果的です。
セキュリティポリシーと運用体制の見直し 多様化する働き方(リモートワーク、クラウド利用など)に対応できるよう、運用ポリシーをゼロトラスト前提で再構築する。 単なる規定文書の更新ではなく、実際の業務プロセスや利用するサービスに合わせた柔軟な運用設計が必要です。また、経営層を含む全社的なガバナンス体制を強化し、セキュリティを経営課題として取り組むことが求められます。
おわりに
今回のDXPOを通じて、セキュリティの未来は「境界から回復性へ」「静的防御から継続的検証へ」と進化していること、また出展していた各社はそれぞれ異なるアプローチでセキュリティ対策を提案しており、自社に合った製品やサービスを選ぶことの重要性を改めて感じました。
そのためにも、展示会やセミナーに参加して実際に体験することが、今後のセキュリティ戦略を考える上で大きなヒントになると考えます。
今後も新しい技術や考え方を取り入れながら、企業としてのセキュリティレベルを段階的に高めていく必要があると感じています。
コメント