コラム第900号:「2025年の崖は乗り越えられたのか、足元は大丈夫か?」
第900号コラム:小山 覚 理事(NTTドコモビジネス株式会社 情報セキュリティ部 部長)
題:2025年の崖は乗り越えられたのか、足元は大丈夫か?
最近になって身に染みて思い出した言葉がある。それが「2025年の崖」である。経済産業省が2018年に出したDXレポートの副題は“ITシステム「2025年の崖」の克服とDXの本格的な展開”だった。当時は奇をてらった表現に眉をひそめながら読み進めたが、書いてあることは至極もっとも、老朽化したシステム刷新の遅れや人材不足が、DX進める企業に立ちはだかる崖だとして、警鐘が鳴らされていた。
このコラムでは、2025年の崖を克服する以前に、障壁となった足元の課題についてお伝えしたい。
● 足元の課題としての古いOSとネットワーク機器
私は通信事業者の情報セキュリティを担当している。ゼロトラスト化などのセキュリティ対策を進めることが、DXを後押しすると信じており、レガシーシステムの刷新と歩調を合わせてセキュリティ対策を進めてきた。
その一環として、各種OSの脆弱性対策に取り組んできたが、ご多分に漏れずEOLとなったCentOS(無償のLinuxディストリビューション)を代替OSに更改する取り組みを、四苦八苦しながら推進してきた。
CentOSは2024年6月末でEOL(End of Life)を迎えた。OSの上物であるアプリケーションの刷新が間に合わないものは代替OSへの更改や、代替OSへの移行が出来ないシステムは要塞化を行うなど、セキュリティ対策を進めてきた。そしてCentOSのEOLから1年が経過しようやくその目途がついたところである。
アプリケーションとOSのライフサイクルが一致してくれると良いのだが、実際は様々な課題(本コラムでは割愛)があり、簡単には進まない。そこでセキュリティ面だけでも強化しようとOSの更改に取り組もうと考えるわけだが、サービスや機能が高度化しない単なるOSの更改は、経営者にとって「コスト」以外の何物でもなく自分の任期中は避けたいことに違いない。
しかし意外にも、実際には喧々諤々の議論があったのだが、過去にあったサイバー攻撃の被害経験から、EOLの製品を使い続けることは「コンプライアンス違反と言われても仕方がない」と経営者が考えるようになり、CISOの旗振りでEOLの更改は粛々と進んでいったのだ。うちの会社も捨てたものじゃない。少し誇らしかった。
● ネットワーク機器の脆弱性が攻撃の温床に?
システムの刷新が難しい場合であっても考えねばならないのは、ネットワーク機器のリスク対策である。古いシステムを繋ぐネットワークは当然のように古い。システムは止められないがネットワークはもっと止められない。そのため古いファームウェアのまま動かし続けているネットワーク機器が多い。つまりは脆弱性が残ったままの状態である。
最近のサイバー攻撃の傾向とまで言えるどうか分からないが、ネットワーク機器を狙った攻撃が増えている。米国では、2024年1月31日に公聴会「アメリカ国土と国家安全保障に対する中国共産党のサイバー脅威(The CCP Cyber Threat to the American Homeland and National Security)」を開き、ネットワーク機器を侵害して行われたサイバー攻撃が、如何に深刻で切迫したものであるか説明した、と報道されている。
ネットワーク機器など専用アプライアンスは、設置した後からウィルス対策やEDRなどのセキュリティソリューションを導入することは困難である。報道された米国の事例では、米当局が攻撃者の活動をリモートから無力化したと伝えられている。日本国内では、能動的サイバー防御が実行段階に入れば無害化措置により、米当局の対応策と同様の取り組みが行われる可能性があるものの、それを待っていては重要インフラへのサイバー攻撃を許すことになりかねない。いま喫緊の課題は、ネットワーク機器のセキュリティ対策であろう。
気が付けば、2025年が終わろうとしている。多くの企業では「崖」を克服する取り組みが継続されていることだろう。レガシーシステム、人材、セキュリティといった根本的な課題には、足元の課題解決が重要だ。急がなければ老朽化したシステムやネットワークの維持管理コストが増大し、新たなIT投資の妨げになっていく。崖を克服するまで気が抜けない。
【著作権は、小山氏に属します】
