キンドリル、ガバナンス運用に対応した伴走型アドバイザリーサービスについて説明

　キンドリルジャパン株式会社は25日、ガバナンス運用に対応した伴走型アドバイザリーサービスについて説明した。

　同社では、「サイバー・レジリエンス・フレームワーク」により、レジリエンスに対する取り組みを整理。「予測（管理）」、「防御」、「対応」、「復旧」の4つのステップからアプローチし、マルチベンダー環境におけるインフラ運用から有事対応までのフルライフサイクルを、ワンストップでサポートする体制を整えている。

　今回の伴走型アドバイザリーサービスは、サイバー・レジリエンス・フレームワークに基づいて、キンドリルが提供するセキュリティ＆レジリエンシー ソリューションの「セキュリティ管理・監査（CTRaC）」サービスのひとつ。

キンドリル セキュリティ＆レジリエンシー ソリューション全体像（サービス）

　「これまでのアドバイザリーサービスが、期間を限定して、目標に向けて取り組む課題解決型であるのに対して、伴走型アドバイザリーサービスはHowの部分を重視し、実装から運用までを伴走する点が異なる。ガバナンス運用がなかなか定着しない企業や、ガバナンスが形骸（けいがい）化している企業などにとってもメリットがある」（キンドリルジャパン セキュリティ＆レジリエンシー事業部 クライアント・トラスト、リスク＆コンプライアンス統括部長の田中真一郎氏）とし、「組織のガバナンスを強化したい、継続して責任を果たすための内製化を進めたい、あるいは課題解決のために経験豊富な実務経験者のサポートが欲しいといった企業の要望にも対応できる」と述べた。

キンドリルジャパン セキュリティ＆レジリエンシー事業部 クライアント・トラスト、リスク＆コンプライアンス統括部長の田中真一郎氏

　日本IBMから分社したキンドリルジャパンは、日本IBM時代を含めて30年以上に渡ってガバナンスに関する専門知識を蓄積。これを活用して、現場目線を通じたガバナンスの課題を抽出できるのが特徴だという。また、課題を認識し、顧客と共有した上で、失敗経験や成功体験を生かした解決策を提示。顧客と伴走しながら、セキュリティやガバナンスに関する課題を解決することになる。

“伴走型”アドバイザリーサービスの特長

　同サービスを担当するCTRaCチームでは、アウトソーシングサービスにおけるセキュリティ管理を中心に活動を行っており、キンドリルの顧客担当組織のサポートによって、顧客システムが安全に運用され、きちんと保護していることを統制する役割も担っているとのこと。

　「キンドリルは、アウトソーシングを通じて、多様な要望に応えたり、企業ごとや業界ごとの固有の案件にも対応したりといった実績がある。これを生かしたセキュリティ・ガバナンスモデルの活用、アウトソーシング事例の活用、グローバルリソースの活用によって、社内のセキュリティ問題や、社内外に向けたガバナンスの問題を伴走型で解決する」とした。

　かつては日本固有の要件があったが、昨今では、グローバルサプライチェーンの広がりや、各国の法規制への対応といった問題もあり、日本でも海外と同様の課題感があるという。そのため、グローバルでの実績やグローバルリソースによる対応は、日本の企業にとってもメリットが大きいとのことだ。

サービスを支える（CTRaC Client Trust, Risk ＆ Compliance）チームの活動

　伴走型アドバイザリーサービスでは、「セキュリティガバナンス確立・運用」、「セキュリティ基準・施策の見直し・展開」、「セキュリティ管理状況のアセスメント」、「クラウドセキュリティ基準策定・管理」、「リスクアセスメントやリスク対応計画策定」、「脆弱性管理などの各種管理プロセス強化」、「監査・テスティング実施」、「監査受審・第三者認証取得」、「サードバーティリスクマネジメント」などを提供。「お客さまごとに、いま対応しなければならない課題は異なる。それぞれのフェーズや企業規模、業界ごとにあわせた解決策を示すだけでなく、ガバナンスが定着するところまで伴走し、サポートし、見届ける。そして、次の課題解決にも挑むことになる」としている。

　伴走型アドバイザリーサービスの期間や価格は、企業の要件や状況によって変わり、最短では3カ月間からとなっている。年間を通じた継続サポート契約が多いという。

CTRaCの知見を生かした伴走型アドバイザリーサービスのモデルケース

　新たな機能としては、Kyndryl Bridgeにおいて、自動化および見える化を行うダッシュボードを、2024年6月から、追加で提供することを発表している。

　現在利用中のセキュリティや、ITサービス管理ツールのデータを取り込み、それらをAI分析するとともに、ダッシュボードに表示。製品製造国の追跡、委託先を含む変更管理と構成管理の履歴管理、セキュリティ順守状況を一目で把握できるという。

Kyndryl Bridgeによる自動化＆見える化で複雑なIT環境管理を効率化

　キンドリルジャパン 理事 セキュリティ＆レジリエンシー事業部長の増田博史氏は、「新たなツールを活用することで可視化が可能になり、複雑なIT環境においても、効率性の高いセキュリティおよびガバナンスを実現できる。順次機能を拡張していくことになる」とし、「ピープル、プロセス、テクノロジーが組み合わさって、伴走型アドバイザリーサービスを提供することになる点も大きな特徴である」と述べた。

キンドリルジャパン 理事 セキュリティ＆レジリエンシー事業部長の増田博史氏

　キンドリルによると、企業のシステム停止のリスクとして、サイバー攻撃の影響が増えており、中でもランサムウェアによる被害が増加していることを挙げる。また、欧米や日本において、サイバーに関する規制強化が進むなかで、ガバナンスやレジリエンスを強化するための規制が増えていることも指摘する。

　そうした背景もあり、これまでは、「防御重視のサイバーセキュリティ」だったものが、いまでは、サイバーセキュリティに、BCPとDRを加えた、「事業継続のサイバーレジリエンシー」へと、ニーズが変化してきていることも示す。

　「20年前は、不正ユーザーによる不正アクセスへの対応が中心であり、境界防御やアクセス制御で対策を行ってきた。約10年前からは標的型攻撃が増え、正規ユーザーあるいは正規ユーザーになりすました不正アクションを防御するなど、振る舞い検知の技術が注目されてきた。いまは、正規ユーザーの正規アクションを認識し、ひとつひとつのリソースを管理しながら、社内にガバナンスをきかせることが求められている。何が不正かを判断するには、何が正かを理解するというアプローチが必要になり、この仕組みを組み合わせなくてはならない。これによって、ガバナンスの向上や、生産性の向上が実現できるようになる」とした。

お客さまのガバナンス運用に寄り添う伴走型アドバイザリーサービス

　また、「サイバーセキュリティや規制対応などが重視される一方で、SOCはセキュリティ部門が担当しているが、復旧はIT部門が行うといったように、お客さまの組織のなかでのサイロ化の問題が生まれている。高度化するサイバー攻撃へのセキュリティ対策や、規制対応などのガバナンスに関する取り組みは、IT部門の問題でなく、経営層にとっても喫緊の課題となっている。ライフサイクル全体でカバーする取り組みは必要になる」とし、「キンドリルでは、ゼロトラストのように、デバイスやネットワーク、アプリケーション、データ、IDといったリソースに着眼したセキュリティと、可視化および分析、自動化とオーケストレーション、ガバナンスと適用といったリソースを横断するようなサービスも提供している。フルライフサイクルでお客さまを支援できるからこそ、ガバナンス運用に対応する伴走型アドバイザリーサービスを提供できる」と述べた。