セキュリティ

政府機関のためのゼロトラスト対応手引き

序章

政府機関に対するサイバーセキュリティ攻撃の頻発と絶え間なく高度化していることから、1つのシンプルな真実が導き出されました。これが、政府の最高情報責任者(CIO)と最高情報セキュリティ責任者(CISO)のデフォルトの地位に急速になりつつあるゼロトラストへの動きの背後にあるコンセプトです。

バックグラウンドリーディング

背景については、ゼロトラストに関する最近の2つのレポートをお読みください。

ゼロトラスト・モデルは、これらの指針に基づいて構築されています。

  • ネットワークは常に敵対的であると仮定しなければならない
  • ネットワーク上には、外部脅威と内部脅威が常に存在します。
  • ネットワークの信頼性を決定するためには、局所性が十分ではない
  • すべてのデバイス、ユーザー、ネットワークフローは認証され、承認されなければなりません。
  • セキュリティポリシーは、可能な限り多くのデータソースから動的に決定される必要があります。

政府機関やネットワークには、特定のニーズがあることが多い。

  • 複数のハードウェアとソフトウェアの世代にまたがるレガシーアプリケーションとプラットフォームに依存しています。
  • 極めて機密性の高いデータを安全な施設に保管していることが多い
  • 敵対的な国民国家を含む複数のアクターから継続的な攻撃を受けていることが多い。

ゼロトラストとは?

ゼロトラストのコンセプトは、機密性の高い重要なデータの周囲に効果的な境界線を確立することに焦点を当てています。ペリメーターには、ファイアウォールVPN、アクセス制御などの従来の防御技術だけでなく、アイデンティティ、アプリケーション、データ層レベルでの認証、ロギング、制御も含まれます。

ゼロトラストの概念の多くは、「防御の深化」や「侵害の想定」など、確立されたベストプラクティスと正しく比較されています。ゼロトラストは、実際には、これらの概念とその結果としてのアーキテクチャを進化させたものであり、根本的な新しいアプローチではありません。

しかし、コンセプトはよく知られていますが、ゼロトラストセキュリティの実現は、特に政府機関では、以下のような理由から複雑になっています。

  • 多くの政府機関は、物理、仮想、クラウド環境に分散した複数世代のIT資産に依存しています。
  • 多くの機関は、不満を持つ個人から、組織化され、資金的に動機づけられた犯罪シンジケートや敵対的な国民国家に至るまで、悪質な行為者からの継続的な攻撃を受けている。

大きな課題は、ゼロトラストに向けた進展は、機関の現在のセキュリティ姿勢と能力を低下させることなく、飛行中に行われなければならないということです。

ACT-IAC報告書に沿ったもの

政府機関に対しては、ゼロトラストモデルを導入することで、ACT-IAC報告書で特定された目標とする成果を達成することができます。

  • より安全なネットワークの構築
  • データをより安全に
  • 違反による悪影響の軽減
  • コンプライアンスと視認性の向上
  • サイバーセキュリティ全体のコストを削減
  • 組織のセキュリティとリスク姿勢の改善

なぜ今、ゼロトラストが必要なのか?

ニュースを読むだけで、なぜゼロトラストが重要視されるようになったのかを知ることができます。私たちは、毎日のようにセキュリティが破られ、データが盗まれる世界に生きています。これらの攻撃は非常に破壊的であり、個人の財務データや健康データのプライバシーから、国家安全保障を含む政府の運営や機関の完全性まで、あらゆるものに影響を与えています。

ゼロトラストに向けて前進することが政府機関の目標でなければならないという転換点に達しています。ゼロトラストへの道のりは様々であり、どの機関も同じ戦略に従う必要はありませんが、今すぐに最初の一歩を踏み出すことが重要です。

良いニュースは、どこから始めるかに関係なく、ゼロトラストに向けた一歩一歩を踏み出すことで、資産、データ、および使命のセキュリティが強化されるということです。

ゼロトラストのすべてにメリットがある

多くのベンダーは、ゼロトラストを達成することは、自社製品を購入するのと同じくらい簡単だと主張しています。しかし、現実はもっと複雑です。ゼロトラスト・モデルは、一朝一夕に設計して実装することはできません。それは、最も複雑な政府環境の中には、完全には実現できないかもしれない結果に向けての旅路である。

しかし、ゼロトラスト・アーキテクチャ(ZTA)を開発することで、セキュリティと運用上のメリットを提供する基礎能力の広範なセットを構築することができます。

基礎的な能力

まず最初に、ファウンダメンタル・ケイパビリティ、これは以下のように識別されます。

  • ネットワーク資産のインベントリと管理
    – レガシーアプリケーションを含むアプリケーションのインベントリ
    – データインベントリ
    – リモートアクセスの方法
  • 連続データの識別と分類
  • 二要素認証(ハードウェアデバイスまたはトークンベース)
  • ユーザーとアプリケーションの両方に対応したセントラル・アイデンティティ・クレデンシャル・アクセス管理(ICAM)
  • ジョブの役割とデータアクセスのニーズに基づいて、ユーザーグループと権限を細かく設定

アプリケーション機能

資産を発明したら、次のアプリケーション機能を開発します。

  • アプリケーションと中央ICAM間の統合
  • アプリケーション層とデータ層の両方でのユーザーグループとロールベースのパーミッション
  • ICAMを活用したアプリケーション開発者研修
  • 中央ログ管理プラットフォームへの堅牢なアクセスロギング
  • 開発標準とアーキテクチャを継続的に更新
  • レガシーアプリケーションのフェーズアウトまたは移行のための開発計画

セキュリティ機能

次に、セキュリティ機能をアプリケーション機能にオーバーレイします。

  • 可視性とセキュリティをサポートするデータアーキテクチャとスキーマ
  • 復号化されたネットワークトラフィック、アクセスゲートウェイ(プロキシ)、アプリケーションログによるアプリケーションの可視化
  • セキュリティ情報・イベント管理(SIEM)の上にルールや検出を記述する
  • ネットワーク層の可視性
  • デバイスまたはエンドポイントの可視性
  • アプリケーションのロギングと可視性
  • アイデンティティのロギングと可視性
  • データ層のロギングと可視性

トレーニングとサポート機能

最後に、ゼロトラストの人間的要素を強化するために、堅牢で継続的なトレーニングとサポート能力を開発し、実施する。

  • ユーザーを役割別およびレベル別のグループに分類し、各グループのトレーニング要件を特定する
  • そして、各グループ、新規ユーザー、既存ユーザー、アプリケーション開発者に対するトレーニングとサポートを提供します。

ゼロトラストに関して気になる点

これまで述べてきたように、ゼロトラストへの道には、正しい道も間違った道もありません。しかし、旅のあらゆる段階で質問すべきことがあります。

あなたのネットワーク資産をどのくらい知っていますか?

すべてのゼロトラストの取り組みは、組織内のハードウェアおよびソフトウェア資産を理解することから始めなければなりません。この理解を得て、常に変化し続けるITの状況の中でそれを維持することは、DHSの継続的診断と緩和(CDM)プログラムのフェーズ1、すなわちハードウェアとソフトウェアの資産管理と構成設定の自動化に対応しています。

資産の管理が自動化されれば、保護すべき資産をリアルタイムで正確に登録することができます。

ゼロトラストの世界でデータはどのように管理されているのか?

従来のユーザー中心のデータ管理戦略(例えば、ユーザーの役割によってデータアクセスのレベルが定義される)とは異なり、ゼロトラストの世界では、この戦略はデータ中心にならなければなりません。

このモデルでは、データの機密性に基づいて、ストレージ層でのデータアクセス制御から始まる同心円状の防御策を構築し、このデータにアクセスしようとするデバイス、ユーザー、および場所の強力な認証を強制します。

ネットワークアクセスは誰が持っているのか、その理由は?

歴史的に、ほとんどのネットワークの脅威は、その機関から暗黙のうちに信頼されているユーザーからもたらされてきました。対照的に、ゼロトラスト・モデルでは、すべてのユーザ、デバイス、アプリケーション、およびネットワーク・フローが認証され、承認されなければなりません。

ユーザーレベルでは、従業員、請負業者、または第三者にどのレベルのデータアクセスが許可されているかを把握し、継続的に見直し、更新し、必要に応じてそのアクセスを取り消すことが重要です。

ゼロトラストはペリメーターレスを意味するのか?

一言で言えば「ノー」です。ゼロトラスト・アーキテクチャでは、境界線の概念をマイクロ・セグメンテーション・レベルと呼ばれるものに適用します。このモデルでは、もはやセキュリティを確保する必要があるのはネットワークの境界だけではありません。ゼロトラスト・アーキテクチャは、アプリケーション・レイヤーとそれに関連するデータ、そして非リーガシーなIT環境では通常このレイヤーの基盤となるコンピュート・コンテナや仮想マシンも保護する必要があります。またVPNを使っている場合、VPNもペリメータなのでゼロトラストへの移行が必要な可能性も高いです。

ゼロトラスト・アーキテクチャをサポートするために必要なデータの可視性を持っていますか?

ネットワークデータをセグメント化、分離、制御するために、ネットワーク全体のエンドツーエンドの可視性を確保することは、ゼロトラスト・アーキテクチャにとって非常に重要です。可視性は、情報を提供し、管理し、実施する必要があり、そのためには、動的で多くのデータソースから構築されたセキュリティポリシーを開発する必要があります。

暗号化されたトラフィックの可視性を得ることは、暗号化されたトラフィックに悪意のあるペイロードが隠されている可能性があるため、特に脅威となります。暗号化されたトラフィックを管理するためには、自社に適したアプローチを使用してください。

人を自由にするツールを使っていますか?

代理店がゼロトラストネットワークを継続的に監視できるようにするには、ツールを使用して、日常的なネットワーク管理タスクを可能な限り自動化してください。

しかし、そのようなツールは単にタスクを自動化するだけのものではないことに注意することが重要です。また、予想されるトラフィックパターンや動作に対する例外を迅速に特定し、分離し、分析することができなければなりません。脅威の数が増え、多様化し、洗練されてきている現在、自動化および分析ツールは、時間と労力を節約し、脅威の検出や対応など、より価値の高い機能に適用できる不可欠なコンポーネントとなっています。

あなたのゼロトラスト対応はどこから始めますか?

ほぼすべての機関がゼロトラストモデルを検討しているにもかかわらず、このアプローチを導入し始めたのは約35%に過ぎません。最初の重要なステップを踏んでいますか?

まだ導入プロセスを開始していない場合は、多くのモデルやリソースを利用することができます。ゼロトラストの早期導入者である政府のCIOCISOの多くは、すでに、彼らが遭遇した複雑な問題にどのように対処するのが最善かについて情報を共有しています。

【端末管理・MDMやMAM】ゼロトラスト展開ガイド

現代の企業では、データにアクセスするエンドポイントが驚くほど多様化しています。その結果エンドポイントは、ゼロトラスト・セキュリティ実現におけるの最弱のリンクになりやすくなります。

業務で利用する端末が個人所有のBYODデバイスであっても、企業所有の完全に管理されたデバイスであっても、ネットワークにアクセスしているエンドポイントを可視化し、健全でコンプライアンスに準拠したデバイスのみが企業リソースにアクセスできるようにしたいものです。同様に、エンドポイント上で実行されるモバイル・アプリケーションやデスクトップ・アプリケーションの健全性と信頼性についても懸念しています。これらのアプリも健全でコンプライアンスに準拠しており、悪意や偶発的な手段によって企業データが消費者向けアプリやサービスに漏洩することがないようにしたいと考えています。

続きを読む

【徹底解説】シングルサインオンのための必須ガイド

最近はアプリが大活躍しています。アプリのおかげで、机やコンピュータに縛られることなく、必要な情報を簡単に入手したり、仕事をしたり、つながりを維持したりすることができます。ウェブベースのアプリがローカルでホストされているソフトウェアに完全に取って代わるかどうかはまだ議論されていますが、一つ確かなことは、アプリはここに留まるということです。

平均的な企業では、すでに 200 以上のアプリが使用されていると推定されています。例えば、さまざまなログイン認証情報の管理などです。「覚えておくべきユーザー名とパスワードがもっとあればいいのに」と思う人はいないでしょう。そうしなくてはならないのを避けるために、あまりにも多くのユーザーが危険なパスワードを使っています。

その一方で、重要なデータやリソースを守るために、同じような薄っぺらいパスワードに頼っているのです。人気のある童話「三匹の子ブタ」を引用すると、パスワードだけに頼るのは藁の家を建てるようなものです。特に、大きな悪いオオカミがあなたの家を吹き飛ばそうと待ち構えているときには、それは不安定な立場にあります。

完璧な例えではないかもしれません。しかし、それはあなたをトリップさせないでください。ポイントはこうです。アプリにアクセスするために、複数の異なるユーザー名とパスワードの組み合わせを作成しなければならないという立場にユーザーを置いているのであれば、企業全体を不必要なリスクにさらしていることになります。

シングルサインオン (SSO) には、より良い、より安全なアプローチがあります。SSO は、企業が必要とするセキュリティに加えて、ユーザーが好む合理化されたログインとアクセスを提供します。

続きを読むことで、以下のようなSSOについて知っておくべきことをすべて学ぶことができます。

  • パスワードを超えて移動するさらに多くの理由
  • SSOを実装することで、お客様とユーザーにメリットがある理由
  • ベーシックSSOとフェデレーションSSOの決定的な違い
  • クラウドやモバイルアプリへのアクセスを確保する方法

第1章:パスワードについての意外と知られていない事実

パスワードにセキュリティハットをかけることの危険性は、ほとんどニュースになっていません。今では、誰もがパスワードを選ぶときに何をしてはいけないかをよく知っています。しかし、盗難されたクレデンシャルは、いまだにデータ侵害につながる行為のリストのトップを占めています。

悲しいことに、パスワードの習慣は改善されていません。ある意味では、悪化の一途をたどっています。従業員は平均6つのパスワードを同僚と共有していると推定され、1年前に比べて50%増加しています。

ID 窃盗が非常に現実的な脅威となっている時代に、これらのパスワードの使用方法には驚かされます。さらに混乱を招くのは、パスワードを再利用している人のほぼ同数が、ベストプラクティスを理解していると主張していることです(正確には72%)。

しかし、ウェブやモバイル・アプリケーションの爆発的な成長を考えると、ユーザーがパスワード疲労に悩まされるのは当然のことでしょうか?

典型的な従業員は 191 個のパスワードを管理しなければなりません。高く感じるかもしれませんが、平均的な企業では200のアプリケーションが使用されていることを覚えておいてください。

現実には、よく知っている人でも、必ずしもうまくいくとは限りません。特に、疲れ果ててもっと簡単な方法を探している場合はなおさらです。あなたのユーザーのパスワード管理は、数百とは言わないまでも数十のログイン認証情報を管理した結果である可能性が高い。彼らは、単に少しでも楽になりたいと思っているだけなのです。シングルサインオン(SSO)で彼らにそれを与えることができます。

第2章: シングルサインオンのメリット

シングルサインオンでは、アカウントごとに個別のパスワードを必要とせず、単一の企業認証情報セットに置き換えることができます。ユーザーは、1つの認証情報セットでサインオンして、すべてのアプリケーションとサービスにアクセスすることができます。

これとは対照的に、SSO を使用してリソースにアクセスできない場合は、複数回サインオンする必要があるだけでなく、各アプリのサインオン認証情報を作成する必要があります。このように多くのパスワードをユーザーに管理・記憶させることは、企業に明らかなセキュリティリスクをもたらします。

一部の企業では、パスワードの保管庫やパスワードの再生などの技術を利用して、これらのリスクを最小限に抑えています。パスワード保管庫は、ユーザーのパスワードをディレクトリまたはパスワード保管庫に保管します。パスワード再生は、パスワード保管庫からそれらのパスワードを取得し、ウェブアプリケーションに再生します。

これらの対策は迅速な解決策になるかもしれませんが、脆弱性もあります。パスワードの保管庫は、すべてのパスワードを危険にさらします。たとえ金庫が暗号化されていたとしても、金庫が危殆化してしまえば、あなたのパスワードは公開されてしまいます。一方、パスワードの再利用は、パスワードを再利用するという危険な行為を可能にし、パスワードの再利用攻撃のリスクにさらされます。また、手動でパスワードをリセットする際には、アプリケーション間で同期を取る必要がありますが、これは問題があり、維持するのにもコストがかかります。

連携型シングルサインオンには、より安全なソリューションがあります。連携型SSOは、リスクを最小限に抑えるだけでなく、企業に5つの大きなメリットをもたらします。

1. より強固なセキュリティ

SSOは、ユーザーが管理しなければならないパスワードの数を減らすことで、企業のセキュリティを強化します。これにより、パスワード攻撃のベクトルが縮小され、データ漏洩の可能性がさらに低くなります。2018年のデータ侵害の平均コストが386万ドルであったことを考えると、SSOを実装することは重要な保護手段となります。あなたの企業は、ブランドの評判と収益を守ることができます。

2. ITコストの削減

シングルサインオンにより、パスワードの数が減ります。これは、パスワードのリセットのためのヘルプデスクへの電話が減ることを意味します。ヘルプデスクへの電話の削減は些細なことのように聞こえるかもしれませんが、米国を拠点とする異業種の大企業が、パスワード関連のサポートコストだけで毎年100万ドル以上を確保していることを考えてみてください。

3. より安全な携帯電話の採用

シングルサインオンにより、どのデバイスからでもアプリに安全にアクセスできます。歴史的に、認証情報はデバイスに直接保存されていました。デバイスが盗まれた場合、ユーザーの認証情報も同様でした。しかし、標準的な暗号化されたトークンを使用してユーザの認証ステータスと ID 属性を共有し、アプリケーションへのアクセスを容易にするフェデレーテッド SSO では、クレデンシャルはもはやデバイスに保存されません。これにより、より強固なセキュリティ態勢が構築され、モバイルの導入が促進されます。

4. 生産性の向上

ビジネスアプリへのモバイルアクセスを提供することで、従業員の生産性が向上することは周知の事実です。デバイスを問わず、どこからでもユーザーのアクセスを合理化して安全にすることで、SSO の導入は生産性を大幅に向上させることができます。数値的な観点から考えてみると、20,000 人の従業員が 1 日平均 5 つのアプリケーションにログインしている大規模なグローバル企業を考えてみましょう。各従業員が 1 回のログインにつき 10 秒の割合で毎日 5 つのアプリケーションにログインしているとすると、会社は年間 72,000 時間以上の生産性を失っていることになります。あと72,000時間あれば、あなたの組織は何ができるか考えてみてください。

5.より良いユーザー体験

ユーザーのアプリへのワンクリックアクセスを提供することで、SSOは、アプリケーション間で重複したサインオンを行う必要がなくなり、複数のパスワードを管理する際のイライラも解消されます。PwCの調査では、消費者の43%が利便性を高めるために、より多くのお金を払うことがわかっています11 。摩擦のないサインオン体験は、顧客に利便性を高め、従業員やパートナーに同じ素晴らしい体験を提供するための1つの方法です。

第3章: シングルサインオンがユーザーにどのようなメリットをもたらすか

SSO のメリットは企業だけではありません。シングルサインオンは、従業員、顧客、パートナーを問わず、すべてのユーザーにアクセシビリティとエクスペリエンスの大幅な向上をもたらします。企業がすべてにまたがる SSO を備えた認証権限を持つと、あらゆるユーザーをあらゆるアプリケーションにシームレスに接続し、管理上のオーバーヘッドを削減することができます。

従業員

従業員にとってはシングルサインオンにより、より便利な企業アクセスが可能になります。これにより、従業員の生産性が向上します。複数回のサインオンやパスワードのリセットが不要になることで時間が短縮され、数百万ドルの節約にもつながります。

顧客

顧客は流動的なユーザーエクスペリエンスを求めています。SSO は、社内およびサードパーティのアプリやリソースへのアクセスを合理化することで、それを実現します。これにより、アプリの採用率、エンゲージメント、ロイヤルティが向上します。

パートナー

今日のグローバル経済において、パートナーのアクセスは非常に重要です。シングルサインオンを使用すると、パートナーに機密データへの安全なアクセスを許可することができ、パートナー自身のユーザーの管理と認証を簡単に行うことができます。

第4章: シングルサインオンの仕組み

オンプレミス、クラウド、および SaaS アプリケーションの普及により、企業は、サードパーティが所有するリソースやファイアウォールの外にあるリソースであっても、信頼できるアプリケーションや「サービスプロバイダ」のグループに安全なシングルサインオンを提供する必要性が高まっています。フェデレーションされたシングルサインオンは、このニーズを解決します。

フェデレーションとは、文字通り「一緒に同盟を結んだ」または「同盟を結んだ」という意味です。サインオンおよび ID セキュリティに関連するフェデレーションの概念は、一般的に、ユーザが一度だけ認証(すなわち、自分が誰であるかを証明する)を行い、その認証されたセッションを使用して、そのアプリケーションがどこにあるかに関係なく、使用を許可されているすべてのアプリケーションにアクセスすることができる能力を意味します。組織が進化し、より多くのユーザーが必要なアプリケーションに安全にアクセスできるようになると、すべてのアプリケーションにSSOを提供する単一の認証機関が不可欠になります。

統合SSOは、ドメインをまたいでもユーザー情報を安全に交換することで、アプリケーションやシステムへの認証済みアクセスを可能にします。そのためには、組織とアプリケーション・ベンダーやパートナーなどの外部サード・パーティとの間で、標準プロトコルを介した信頼関係を確立する必要があります。

SAML、OAuth、OpenID Connect、SCIM などの ID 標準を使用することで、フェデレートされた SSO は、ユーザーのアクセスとプロビジョニング情報の安全な伝送を可能にします。これは、ユーザー名やパスワードを保存して転送する代わりに、署名されたアサーションやトークンを使用することで実現します。この方法は、Web アプリケーションやモバイルアプリケーション、およびそれらをサポートする API を保護します。

複数のタイプの ID を効果的に接続するために、今日の大企業は ID フェデレーションハブを導入しており、これはすべてのユーザー ID を 1 か所で接続するためのブリッジとして機能する。

統合されたSSOの仕組み

まず、組織(ID プロバイダまたは IdP として知られている)は、集中認証サーバを実装する必要があります。このサーバーは、1) ユーザーの ID を検証し、2) ユーザーの ID と権限を確認する暗号化されたデータ・ビットであるアクセストークンを発行するために、すべてのアプリで使用されます。

最初のサインオン時に、ユーザーのユーザー名とパスワードは、検証のために ID プロバイダに送られます。認証サーバは、ユーザ・データが格納されているディレクトリに対してクレデンシャルをチェックする。認証情報がチェックアウトされると、IdP はユーザのブラウザ上で SSO セッションを開始します。

SSO セッションがアクティブになると、ユーザは企業のドックのような信頼されたグループ内のアプリケーショ ンにアクセスできます。ユーザがアプリケーションへのアクセスを要求するたびに、サービスプロバイダは IdP にユーザの身元を認証するための要求を送信します。IdP はアクセストークンを提供し、サービスプロバイダはアクセスを許可します。

既存環境へのSSOの統合

連携SSOのメリットを享受するには、IAMソリューションがID標準をサポートしている必要があります。ID 標準を使用することで、アプリケーションや情報を共有する際の複数の組織間の統合作業が軽減されます。また、アプリケーションから情報にアクセスしているあらゆるデバイス、ブラウザ、またはクライアントにセキュリティをもたらします。以下に、知っておく必要がある4つのID標準を紹介します。

SAML

セキュリティ・アサーション・マークアップ・ランゲージ(SAML)は、ID プロバイダとサービス・プロバイダの間でデータの認証と認可を交換するためのオープンな XML 標準です。SAML を使用すると、企業はドメイン(別名フェデレーション)間で ID 情報を安全に共有することができます。

OpenID Connect (OIDC)

OpenID Connect (OIDC) は OAuth 2.0 にアイデンティティ層を追加し、既存のフェデレーション仕様を簡素化します。これは、アイデンティティのフェデレーションと委任された認証を可能にし、動的な相互運用性を強化する他の機能とメカニズムを含んでいます。

SCIM

SCIM)は、REST や JSON などの最新のプロトコルを使用して複雑さを軽減し、ユーザー管理へのより分かりやすいアプローチを提供します。SCIMを採用することで、アイデンティティデータストア間の通信をより簡単に、より強力に、そして標準化することができます。

OAuth 2.0

APIへのアクセスを可能にするための業界をリードする標準規格であるOAuth 2.0は、アプリケーションがユーザーのパスワードを要求することなく、ユーザーに代わってリソースに安全にアクセスすることを可能にする標準的なフレームワークを提供します。このオープンな認証により、ユーザーはアプリケーションがどのようなアクセスや情報を要求しているのかを理解し、同意を得ることができます。

第5章:クラウドとモバイルのためのSSO

クラウドベースの環境

Amazon Web Services(AWS)、Microsoft Azure、Google Cloudは、いつでもどこでも、どんな規模でも柔軟に利用できることから、人気の高いクラウド環境です。しかし、クラウドではセキュリティリスクが大きくなります。Federated SSOを使用すると、IDフェデレーションとシングルサインオンをクラウド環境とオンプレミスアプリケーションの両方に統合して、ハイブリッドIT環境のセキュリティ、可視性、制御を一元化することができます。

フェデレーションとフェデレーションされたSSOは、IDセキュリティの4つのAsとして知られているものを提供します。

  1. 認証
  2. 認可
  3. アカウント管理
  4. 監査

クラウドベースの環境では、アプリケーションはユーザーのアイデンティティを認証し、そのユーザーが何をすることを許可されているかを理解し、アカウントを作成または更新し、ユーザーの活動を監査することができなければなりません。4 つの要素は、ID セキュリティ戦略の重要な構成要素であり、企業の境界を超えた移植性と拡張性を提供するため、統合型 SSO はクラウドベースの環境のセキュリティに不可欠です。

モバイルアプリケーション

SSOソリューションは従来、ウェブアプリケーションへのアクセスを提供することに限定されていました。アプリケーションプロバイダがシステムブラウザの使用を選択し、ユーザーエクスペリエンスを犠牲にしない限り、モバイルアプリケーションのシングルサインオンは難しい見通しでした。

今日では、モバイル SSO により、ユーザーはモバイルデバイス上の安全な SSO アプリケーションに一度サインオンし、企業のすべてのアプリケーションに瞬時にアクセスできるようになりました。また、デバイス自体に資格情報が保存されているという問題も解決します。SSO とモバイルベースの認証では、認証と認可は、標準ベースの署名付きアサーションまたはトークンを使用して行われます。

第6章: SSOによろしく

パスワードがかつてのようなセキュリティを提供していないことは周知の事実です。そして、今日のハイパーコネクテッドな世界では、これまで以上に多くの資産や情報を保護する必要があります。

また、より多くのデバイスでより多くのユーザーにアクセスできるようにする必要があります。煩雑なログイン要件に満足することなく、SaaSモバイルクラウド、企業向けアプリケーションのすべてにワンクリックでアクセスすることが求められています。シングルサインオンは、従業員、顧客、パートナーが期待する合理化されたエクスペリエンスを提供しながら、必要な強固なセキュリティを提供します。

顧客エンゲージメントはシングルサインオンから始まる

お客様の期待にお応えするために

これは、製品やサービスの品質と関連性だけでなく、顧客のブランド体験の品質と関連性にも当てはまります。顧客は、使用しているチャネルやアプリケーションに関わらず、安全でシームレスで一貫性のあるインタラクションを期待しています。

認証は、顧客がデジタル・プロパティにアクセスするたびにサインオンして認証しなければならないため、不足しがちです。顧客が提供する様々なチャネル、アプリケーション、サービスにアクセスするために、複数のログイン認証情報を作成して覚えておかなければならない場合、顧客はすぐにフラストレーションを溜めてしまいます。

多くの企業は、シングルサインオン(SSO)を提供することで、顧客のアイデンティティとアクセス管理(顧客IAMまたはCIAM)の旅を始めています。シングルサインオンは素晴らしい第一歩であり、顧客の認証体験を可能な限り利便性の高いものにするために不可欠なものです。しかし、SSOはパズルのほんの一部に過ぎません。

企業は、社内のアプリケーションにのみ SSO を提供する必要性から脱却することができるでしょう。より多くの社内およびサードパーティのアプリケーションと統合すると、すぐに、自分でアクセスを管理することはもはや現実的ではなく、市場投入のスピードを妨げることに気づくでしょう。

顧客の期待を超えるサービスを提供する

SSOが顧客体験と収益を促進

繰り返しのユーザーサインオンの必要性を排除することは、顧客のIAMプラットフォームを導入する最大の理由の1つです。SSOはユーザーの満足度を高め、パスワードの拡散をなくすことでセキュリティを強化します。また、SSOは顧客体験の向上と収益の向上に直接影響を与えることができます。

顧客登録率の向上による増収

他の多くの顧客固有のアイデンティティ管理機能を提供します。大手企業は、顧客が直面するアプリケーションへのシームレスな登録を可能にする能力を高く評価しています。ある企業は次のように説明しています。

当社は多角的な企業であり、特定の製品やサービスへのアクセスを開始するたびに顧客が情報を入力することは受け入れられないアプリケーションがあります。顧客に毎回情報を再入力させることはできませんでした。SSOを使用することで、アプリケーションを迅速に統合することができました。

他のお客様からは、顧客登録アプリケーションを統合することで、販売サイクルの短縮が可能になったとの声が寄せられています。

M&A活動後の市場投入までの時間を短縮

多くの企業は合併や買収後に、より迅速にアプリケーションを展開できるようになったことをSSOのメリットとして挙げています。ある顧客は次のように述べています。

外部のサードパーティがサービスを提供しているアプリケーションがある場合、SSOを使用してアプリケーションを統合することができるので、顧客はサードパーティが関与していることを知ることはありません。これは、社内で独自に行うのは非常に難しいことです。

複数の顧客は、SSOの特筆すべき利点として、収益に影響を与えるアプリケーションを迅速に統合し、ホワイトラベル化できることを挙げています。例えば、企業はビジネスパートナーと連携して、製品のブランディングを維持しながら、レベニューシェアの取り決めの下でサービスを提供することができます。

ssoはカスタマーエクスペリエンスの戦いに勝利しています

顧客体験が王様の時代には、顧客のIAMは非常に重要です。顧客が簡単に登録したり、サービスにサインオンしたり、取引を行うことができないのであれば、ウェブサイト、モバイルアプリ、サービス、サポートチャネルがどのように構築されているかは問題ではありません。そして、顧客がチャネルを越えたブランドとのやり取りに満足していなければ、顧客は競合他社に移る可能性がありますし、移るでしょう。

顧客が嫌がることが一つあるとすれば、それはパスワードの管理です。何十ものログイン認証情報を覚えようとする疲労感から、顧客はパスワードを書き留めたり、複数のサイトでパスワードを再利用したり、その他の安全でない方法に参加したりするようになります。このありふれた現実とは別に、パスワードだけに頼っていると、顧客の離脱率が高まり、収益の損失につながる可能性があります。ログインパスワードを覚えていないと、顧客が取引を完了しない可能性があります。あるいは、覚えておかなければならない別のパスワードを作成したくない場合は、全く登録しないかもしれません。

これは、統合されたSSOが本当に輝く場所です。それはあなたのデジタルプロパティのすべてにわたってシームレスな認証体験を提供する上で重要な役割を果たしています。FacebookやGoogleなどのサイトから顧客が認証情報を活用できるようにするソーシャルログインのような機能を含めることもできます。顧客にこれらの機能を提供することは、非常に重要な意味を持ちます。それは、物事をシンプルに、便利に、そして安全にしたいと考えていることを示しています。これは、顧客を幸せにすることにつながります。

一方で、顧客のIAMや統合型SSOに投資しなければ、顧客との関係を危うくする可能性があります。競合他社を含め、より多くの企業が顧客が期待するシームレスな体験を提供しているため、顧客の不器用で支離滅裂な体験に対する許容度は低下しています。連携SSOを提供しないことで、顧客体験があなたにとって重要ではないという意図しないメッセージを送信し、無意識のうちにそれらの同じ競合他社を支援している可能性があります。

ssoはカスタマーエクスペリエンスの戦いに勝利しています

BASIC SSO

一般的にパスワードリプレイとして知られている基本的なSSOは、2つのコンセプトに基づいています。1つ目は、パスワードの保管庫です。これは、ユーザーのパスワードをディレクトリやパスワード保管庫に保存するもので、通常はクラウドベースです。これはリスクが高く、保管庫が漏洩した場合、たとえ暗号化されていたとしてもすべてのパスワードが脆弱になるからです。

2 つ目のコンセプトはパスワードの再生で、パスワードを金庫から取得し、ウェブアプリケーションに再生します。便利ではありますが、このアプローチは統合型SSOほど安全ではありません。すべてのアプリケーションでパスワードを同期させておくことは問題があり、特に手動でパスワードをリセットする場合にはコストがかかります。さらに、パスワードの再利用が可能であることから、さらなるセキュリティリスクが発生します。

連邦政府SSO

フェデレーションとは、ユーザが一度だけ認証(または自分が誰であるかを証明)し、その認証されたセッションを使用して、使用を許可されているすべてのアプリケーションにアクセスできるようにする機能のことです。フェデレーションが機能するためには、組織とアプリケーションベンダーやパートナーなどの外部サードパーティとの間の信頼関係が、標準プロトコルを通じて確立されていなければなりません。

この方法には、パスワードのリプレイよりも重要な利点があります。多くのユーザ名とパスワードを保存して転送するのではなく、フェデレーションされた SSO は、パスワードを署名されたアサーションまたはトークンで置き換えます。セキュリティ・アサーション・マークアップ言語(SAML)、OAuth、OpenID Connect、SCIM などの ID 標準を使用することで、フェデレーションはユーザーのアクセスとプロビジョニング情報の安全な伝送を可能にします。これにより、Web アプリケーションやモバイルアプリケーション、およびそれらをサポートする API が保護されます。

今日の基準とそれが重要な理由

アイデンティティのフェデレーション標準は、組織全体でスケーラブルで安全なフェデレーションされたアイデンティティを実装するために必要不可欠なものです。標準規格は、アプリケーションやデータを共有する際の複数の組織間の統合作業を軽減するだけでなく、アプリケーションから情報にアクセスするすべてのデバイス、ブラウザ、またはクライアントにセキュリティをもたらします。このような理由から、標準規格を採用することは、新しいアプリケーションの市場投入までの時間を短縮するための鍵となります。

それぞれの標準は、顧客のアイデンティティデータ、スコープ、クレデンシャルなどを共有し、管理するために異なるアプローチを使用しています。したがって、CIAMソリューションは、以下のような複数の標準をサポートする必要があります。

SCIM

SCIMは、複雑さを軽減し、ユーザー管理へのより分かりやすいアプローチを提供するために、RESTやJSONなどの最新のプロトコルを使用して2011年に開発されました。SCIMの採用により、アイデンティティデータストア間の通信がより簡単に、より強力に、そして標準化されています。

SAML

SAML は、ID プロバイダとサービス・プロバイダの間でデータの認証と認可を交換するためのオープンな XML 標準である。これにより、組織がドメイン間で ID 情報を安全に共有できるように、フェデレーションが可能になる。

OAUTH 2.0

OAuth 2.0は、APIへのアクセスを可能にするための業界をリードする標準規格です。簡単に言えば、アプリケーションがユーザーのパスワードを必要とせずに、ユーザーに代わってリソースに安全にアクセスすることを可能にする標準フレームワークです。また、このオープンな認証により、ユーザーはアプリケーションがどのようなアクセスや情報を要求しているのかを理解し、同意を得ることができます。

OPENID CONNECT

OpenID ConnectOAuth 2.0にアイデンティティ層を追加し、既存のフェデレーション仕様を簡素化します。また、動的な相互運用性を強化する他の機能やメカニズムも含まれています。

SSOとあなたのモバイル顧客

カスタマー・エクスペリエンスに取り組む際には、モバイル・エクスペリエンスも考慮する必要があります。顧客は、購入やその他の収益を生み出す活動を含め、モバイルデバイスを使ってより多くのことを行うことを期待しています。顧客はパスワードを覚えることに煩わされたくないし、不便なログイン手順も許容しません。また、モバイルアプリやその他のデジタルプロパティを開発するために、開発チームが何人も分かれていたとしても、顧客は認証体験がすべてにおいて一貫性のあるものであることを期待しています。

モバイルチャネルに対応するためには、スピードが必要です。人は何かが欲しいときにはすぐに携帯電話に手を伸ばし、すぐに満足感を得ることを期待します。流動的でシームレスかつ安全なユーザー体験を SSO で提供すれば、顧客のエンゲージメントはあなたのものになります。しかし、モバイル認証のエクスペリエンスが低かったり、他のチャネルのものと異なっていたりすると、顧客は離れていきます。それはとても単純なことです。

Wawa、Starbucks、Chick-fil-A などの有名小売業者は、優れたモバイル体験を提供し、顧客エンゲージメントの向上を促進するためには、顧客の IAM ソリューションに SSO 機能が不可欠であると述べています。これらのリーダーは、SSO モビリティのベストプラクティスで道を切り開いています。

SSOとあなたのモバイル顧客

モバイルアプリを立ち上げる前のWawaは、顧客とのコミュニケーションを主に一方的に行っていました。コンビニエンスストアのトップ企業であるWawaは、利便性をモバイルアプリに反映させるために努力しました。最初のロールアウト目標は35万人のユーザーでしたが、最終的な目標は200万人の顧客をモバイルで完全に利用することです。

ユーザーが常にアプリにサインオンする必要がないように、基本的にはユーザーIDとパスワードのようなシンプルな認証方法を用意する必要がありました」とバーンズ氏は述べています。”例えば、ユーザーが店舗の場所を見つけるためだけにジャンプしたい場合、サインオンは必要ありません。しかし、クレジットカードを追加したり、プロフィールの情報を変更したい場合は、安全でありながらシームレスな方法があります。消費者がすべての異なる機能を使用する際には、アプリケーション内で常に認証が行われます。

ユーザーは1セットのクレデンシャルを持ち、1回だけアプリにサインオンします。しかしバックエンドでは、CIAMソリューションが、Wawaのロイヤルティプログラムプロバイダーのようなサードパーティからのものも含めて、複数のクレデンシャルを管理します。

“顧客のフロントエンドには使いやすさ、シングルサインオン(SSO)があります。また、対応も非常に迅速です」とバーンズ氏は言います。”Wawaにとって、顧客のSSOは、魅力的なモバイル体験の基盤となるものです。

ステップアップ認証

多要素認証(MFA)と連携したSSOは、最適なユーザー体験を提供するために互いに協力し合っています。最もシンプルな体験を最小限の摩擦で提供するために、多くの大手デジタルビジネスはソーシャルログインを利用したり、最初の認証手段としてユーザー名とパスワードを要求したりしています。これは、リスクの低いアプリケーション、サービス、アクティビティにアクセスするための素晴らしいエントリーポイントです。

顧客が旅路に沿って移動すると、適応型認証は、追加のインタラクションに関連するリスクを評価し、必要な場合にのみ認証をステップアップさせる方法を提供します。適応型認証は、IP アドレス、ジオロケーション、トランザクションの詳細、リスクベース認証(RBA)、その他の行動パターンなどのデータポイントを使用して、リスクのレベルを判断します。そして、そのリスクレベルを認証時に達成された保証レベルと一致させます。ユーザ名とパスワードの保証レベルは低いかもしれませんが、MFA の保証レベルは高いかもしれません。

例えば、顧客が単に公開株情報を閲覧するために投資アプリケーションにサインオンした場合、認証情報だけで十分にアクセスでき るかもしれません。しかし、顧客が株式を売買しようとした場合、そのリスクの高い取引が、MFA がユーザの身元保証のレベルを向上させるための要件の引き金となる可能性があります。数分後に同じデバイスから別の株を売ろうとした場合は、高いレベルの保証が残っているため、MFA は必要ない可能性が高い。これは一例に過ぎませんが、適応型認証を使用することで、リスクベースのアプローチを使用して認証を選択的にステップアップさせることができることを説明しています。

どのような MFA メソッドを提供するかは、重要な決定事項です。顧客にとって、標準的な MFA は単に機能しません。顧客はサードパーティ製のMFAアプリケーションをダウンロードすることに抵抗があります。

さらに、SMSメッセージはハッカーによって簡単に傍受される可能性があるため、SMSによる認証は、国立標準技術研究所(NIST)によって安全ではないとみなされています。

顧客にMFAを提供する場合、自社のモバイルアプリケーションに組み込まれたソリューションを提供することが最も望ましいです。これは安全でブランドに沿ったものであるだけでなく、モバイルアプリを安全な追加要素に変えることで、モバイルアプリに付加価値を与えることができます。さらに一歩進んで、多要素認証で文脈に応じた適応型認証を使用することで、顧客に不便をかけることなくリスクを軽減し、セキュリティと顧客体験の最適なバランスを提供することができます。

情報通信ソリューションはSSOを超えています

SSO は顧客体験にとって非常に重要ですが、それは最初の一歩に過ぎません。安全でシームレスな体験に対する顧客の期待は、最初のサインオンを超えて広がっています。

顧客があるチャネルで設定や詳細を更新した場合、顧客はそれが他のチャネルにも適用されたり、アクセスできることを期待します。これを実現するのが、統一された顧客プロファイルです。目的に応じて構築された顧客IAMソリューションは、企業の既存のインフラストラクチャと連携して、既存の顧客データの双方向の同期化と移行を通じて、安全でスケーラブルな統一プロファイルを作成するのに役立ちます。

また、顧客データは、認証からデータ層まで安全に保護されている必要があります。顧客は通常、サードパーティ製のアプリをダウンロードする必要がないため、便利で安全なMFAソリューションを提供する必要があります。また、リソースへのアクセスを確保し、顧客データをエンドツーエンドで暗号化し、その他のセキュリティ機能を提供することで、顧客データを保護し、違反を防ぐ必要があります。

優れた顧客体験を提供できるだけでなく、CIAMは、ますます多様化するプライバシー規制の要件を満たす能力を促進します。最新のソリューションは、属性ごとのデータアクセスガバナンスを提供し、顧客の同意を強制し、顧客が自分のデータが誰と共有されているかを制御し、洞察することを可能にします。また、数千人から数百万人のユーザーをサポートするために必要な規模とパフォーマンスの要件に対応し、変化する予測不可能なユーザーの行動をサポートするための柔軟性を提供します。

シャドーITとは?セキュリティリスクを削減する方法・対策のまとめ

序章

ITの専門家として、おそらくあなたは以下の現象の1つまたはすべてを観察したことがあるでしょう。

ある部門の小さなグループが、ビジネスユーザーが感心し、恍惚としてしまうようなシステムを作り上げました。この人たちはIT部門の人間ではありませんが、デスクトップ技術を使って、ビジネス上の重要なニーズを見事に満たしたものを作ったのです。営業部門は、Salesforce.comが提供するAPIに接続するモバイルアプリケーションを作成するために外部のサービスプロバイダと契約しましたが、企画会議にはIT部門からは誰も招待されませんでした。ある企業のある部門全体が、独自の独立したIT部門としか言いようのないものを持っています。この部門は、電子メールやホスティングなどの「企業」の IT 部門が提供するサービスを使用していますが、独自のアプリケーション・サーバを維持し、認可された「企業」のソフトウェア・スタックとは全く異なる言語やツールを使用する独自のプログラマーを抱えています。

一枚岩の企業IT部門が存在する世界では、これらの個々の取り組みはしばしば「シャドーIT」と呼ばれています。これらのグループは、従来の集中管理されたIT部門の権限外で活動しており、独自のインフラ、ツール、ベンダー、プログラマーを擁していることが多いです。これらのグループが提供するソリューションは、単純なものから非常に複雑なものまで様々であり、彼らが解決するビジネス上の問題は、郵送用ラベルの作成から、財務、エンジニアリング、運用管理などの特定の領域における複雑な計算の実行に至るまで、何でもあります。

今日の一般的な企業の指揮統制IT環境にしっかりと定着している専門家の最初の反応の一つは、これらの努力を嘲笑することかもしれません。実際、企業の IT 部門が管理する広大なサーバーやネットワークインフラ、何百万行ものコードに比べれば、これらの取り組みは小さく、取るに足らないものに見えることが多いのです。もう一つの反応は、これらの取り組みに対して不安を感じることかもしれません。なぜ存在しているのか、どのような規模で存在しているのか。企業の IT 部門が提供していない、あるいは提供すべきではないサービスは何か?安全なのか?どのようなリスクがあるのか?予算はどのように組まれているのか?冗長性はあるのか?

シャドー IT の現象は明らかに、一度直面すると、いくつかの難しい問題を提起します。実際、私たちは、それが私たちが無視してきた技術の使用について、おそらく私たちの不利になるようなことを私たちに教えてくれるかもしれません。しかし、このような懸念を検討する前に、定義を整理しておきましょう。

シャドー IT を、集中 IT 機能が管理・管理していない企業内のグループが行う技術関連の活動と定義することができます。集中型 IT 機能は、これらの活動が IT 組織の権限の一部であり、通常は IT 組織の管理下にあると考えています。分散型構造の個々のIT部門は、シャドーITグループではありません。正式な中央集権型IT組織がなければ、シャドーITは存在しません。さらに、シャドウ IT グループは、独立性、生産性の向上、専門的な領域の知識、開発ライフサイクルの管理、競争力、予算の自律性など、さまざまな理由から、中央集権型 IT 機能から独立して運営されることを望んでいます。

もっと簡単に言うと、シャドー IT とは、「IT ができないこと、またはできないことを行うこと」と定義できます。シャドー IT は、集中化された IT 機能では提供されないサービスのギャップを意味するため、企業はシャドー IT を懸念する必要があります。さらに、データ損失に関連するリスクや、サービスの重複や断片化に起因するコストにも対処しなければなりません。しかし、シャドー IT の存在は、しばしば具体的なビジネスニーズを指し示しており、多くの場合、企業に大きなプラスの結果をもたらす機会となっています。

本記事では、従来の中央集権型 ITモデルに統合しようとする努力にもかかわらず、このようなシャドーITが存在し、存続している理由を見ていきます。また、これらの取り組みが最も頻繁に想定している構造を定義し、それらに関連するリスクとメリットを特定することを試みます。最終的には、シャドーIT現象に対処するための推奨事項を提示し、意外な結論が出るかもしれません。

第一節 企業におけるシャドーITのモデル

モデル1:実践主導型開発

このモデルは、一般的にシャドーITという用語を使用するときに人々が参照するものではありません。このモデルでは、組織内の別個のプラクティスの一部であるグループが、中央の IT 組織から部分的または完全に独立して独自のテクノロジー管理を実行します。これらのグループは、ビジネスの特定の側面に精通しており、この親密さが、彼らが生産し、使用する技術ソリューションに直接影響を与えます。しかし、誰もこれらのグループを従来の意味でのIT機能とは考えていません。このような専門知識があるからこそ、これらのグループは独立した存在であり、CIOはこれらのグループを吸収するリスクを冒したくないと見て見ぬふりをしていることが多いのです。このような実務主導型の組織は、一般的に3つの異なる形態のいずれかに分類される。

  • レガシー
    • 成熟したIT組織の形成に先行して、ビジネス機能におけるこの最初のタイプのプラクティス主導型の独立したIT努力が行われます。グループは、独自のリソースと専門知識を使用して、必要に応じて技術を作成および/または採用する。これらのグループは決して技術機能と考えられなかった。彼らは伝統的に最初のコンピュータソフトウェア、典型的には会計および財務部門を使用したグループと区別される。多くの場合、これらのグループは、配送が重要な業務グループ(倉庫管理、メディア制作、販売など)です。一般的に、これらのグループは、IT組織がハンズオンの経験や運用知識を持たない技術やベンダーに対処します。
  • オーガニック
    • プラクティス主導型のITは、顧客/消費者が直面する技術に強い焦点を当てているものです。これらの疑似プロダクトチームは、しばしばB2Cのウェブプレゼンス、モバイルアプリケーション開発、およびビジネスのためのその他のパブリック・フェイシング技術資産を管理しています。これらのグループは、市場からの圧力や競争に駆られており、マーケティング部門の一部であることが多い。多くの場合、企業のIT部門は、特にモバイルデザインの分野では、これらの能力を持っておらず、以前にこのような取り組みで失敗したことがあります。したがって、ビジネスは、公式のITグループとは独立してこれらの活動を行うことを決定します。
  • 専門家
    • 従来のITから独立している理由としては、必要とされるソリューションに高度な専門知識が必要とされ、技術の開発が専門家と密接に結びついている必要がある場合が挙げられます。特定のビジネスニーズに対応した非常に複雑なソリューション、カスタマイズされたソリューションのための顧客との密接な接触、複雑なアルゴリズムの開発などは、これらのグループが独立性と開発に対する高度なコントロールを求めるようになる可能性があります。多くの場合、これらの組織は、従来の企業のITリソースでは実現できない(または実現できないと認識されている)科学的または複雑な金融アプリケーションのためのソリューションに、ハイレベルな能力を持っています。

いずれの場合も、これらの機能を企業のIT組織に移行させることは非常に困難です。多くの場合、これを実現するためにはトップレベルの企業再編が必要となります。さらに、適切な技術スキルや高度な専門知識が不足しているため、IT部門がこれらの機能を吸収できない可能性があり、これらのチームをIT部門に統合しようとすることのリスクが高まります。多くの場合、このようなリスクを認識しているために、実践的なITの取り組みが妨げられずに継続されてしまうことがあります。

モデル2:ローグライク開発

ほとんどの人が「シャドー IT」という言葉を使うとき、本当の意味はローグライク開発のことを指しています。しかし、それは驚くべきことではありません。ローグライク開発はシャドー IT の中でも最も古く、最も一般的なタイプの一つです。もしあなたがIT業界で長く働いているならば、おそらくキャリアの中でいくつかの不正プロジェクトを知っているか、あるいは参加したことがあるでしょう。では、ローグライク開発とは一体何を意味しているのでしょうか?

定義

ローグライク開発には2つのタイプがあることが判明しました。「ブラックオプス」と「スカンクワークス(Skunkworks)」です。ブラックオプスはその名の通り、日の目を見ることのない不正なプロジェクトです。一方、Skunkworksプロジェクトは、最終的には会社の合法的な一部になることを目的とした半強制的なプロジェクトです。

ブラックオプスは、通常、自分の仕事を終わらせようとしている1人か2人の従業員によって生み出されます。多くの場合、その従業員は実際に IT 部門と協力し、プロトコルに従ったり、公式のチャネルを使用したりして作業を試みましたが、何も行われませんでした。最終的には、彼らは、彼ら自身がそれを行う場合には、彼らが任意の進歩をしようとしている唯一の方法であると感じるようになります。ブラックオプスにはほとんど監視がなく、最終的な製品の品質は、関係する従業員のスキルに完全に依存しています。従業員は自分の仕事を終わらせようとしているだけなので、ブラックオプスのプロジェクトは、当面の問題を超えた有用性の制限、長期的なサポートの不足、ドキュメントのほとんどない、などの深刻な問題を抱えている可能性があります。

スカンクワークスは、中央のIT組織が満たせない(あるいは満たそうとしない)正当なニーズに対処するために作成される、やや大規模なプロジェクトである傾向があります。従業員がそのようなニーズに気づき、小規模なチームを編成してソリューションを開発します。成功した場合、skunkworksプロジェクトは大規模なIT組織に組み込まれることが多く、直接、またはIT部門が同様のサービスを提供するために使用できるテンプレートを提供します。スカンクワークスプロジェクトのチーム性と、マネージャーやビジネスユニットによる監視が相まって、より有用な最終製品が生み出されます。直ぐに問題を解決しようとしているわけではないので、skunkworksチームは文書化や最終製品が社内でどのように使用されるかなど、より多くのことを考えることができます。

ローグライク開発の推進

職場に現れて、気まぐれでシャドウ IT プロジェクトを開始しようと決めた人はいません。そうだとしたら、なぜ私たちはあらゆる規模、あらゆる業界の企業でローグライク開発プロジェクトを見つけることができるのでしょうか?ブラックオプスとスカンクワークスのプロジェクトには違いがありますが、多くの共通点があります。例えば、ITのコンシューマライゼーション、モバイルプラットフォームの導入、BYOD、生産性向上への欲求、ITプロジェクトのバックログ、ドメインの専門知識の欠如、オフサイクルのリリース要件などです。

IT のコンシューマライゼーションは、今日の組織に大きな影響を与えています。従業員は、職場でも自宅と同じような機能や機能を期待し始めています。自宅ではApple TVでワイヤレスでできるのに、なぜプロジェクターにケーブルを接続する必要があるのでしょうか?IT 部門が技術をテストして承認するには時間がかかりますが、新しいデバイスや技術が導入される速度を考えると、これは問題です。

モバイル・プラットフォームとBYOD は、開発の観点からも、従業員のユースケースからも、今日の企業のホットな話題です。IT がすべてをサポートすることはできないので、問題は「どのプラットフォームをサポートしているか」ということになります。従業員は、生産性を高めるために必要なテクノロジーを持っていることに気づくことはほとんどありませんが、持っていないときには大きな声で不満を口にします。多くの新しい生産性向上ツールやサービスが利用可能になっているため、集中管理された IT 組織がそれらすべてに精通していることはおろか、それらをサポートしようとすることも不可能でしょう。

時には、不正な開発の原因となるのは、支援したくても、IT 部門はすでにやるべきことが多すぎるという事実です。これにより、従業員には2つの選択肢が残されます。ITが自分のプロジェクトにたどり着くのを待つか、自分で何かを実装して新しいことに移るかです。

IT部門がプロジェクトを完了させるための経験や専門知識を持っていない場合はどうなるのでしょうか?追加の人材を雇うか、請負業者に依頼する必要があるかもしれません。どちらの方法も時間がかかり、遅延の原因になります。開発者が仕事を完了させるために必要な専門知識を持っている場合、その開発者に飛び込んでもらうべきでしょうか?それとも、IT部門がリソースを確保できるまでプロジェクトを遅らせるべきでしょうか?

最後に、従来のIT組織が使用していたスケジュールとは異なるスケジュールで運用する必要がある場合はどうなるでしょうか?IT部門はあなたの要件をサポートできるかもしれませんが、他の会社にはどのような影響があるでしょうか?もしあなたがIT組織のリリーススケジュールに従うならば、あなたは俊敏性を犠牲にしなければなりません。

モデル3:目的に応じた開発

目的に応じた開発には様々な形態があり、ユーザーが特殊なマクロを使ってスプレッドシートを作成するような単純なものから、特別にコード化されたロジックを使って複雑なタスクを実行するように設計された洗練されたプラットフォームまで、様々な形態があります。また、SaaS(Software as a Service)プラットフォームの出現により、部門が外部ベンダーと契約して、企業のテクノロジー・インフラストラクチャの外で従業員が完全に利用できるプラットフォームを展開することも可能になっている。これらの事例は「実践主導型開発」に似ているが、ドメイン知識に焦点を当てたものではない。特定の機能を実行するためのニーズが発生し、IT 部門はそのニーズに対応できない、あるいは対応しようとしない。いくつかの例を見てみよう。

金融サービス会社のメインフレームベースの記録管理システムは、記録のシステムであり、主要なコンピューティング・プラットフォームである。しかし、長年にわたってビジネスユーザーの間でマイクロコンピュータが普及するにつれ、一般的なデスクトップソフトウェアを使用して手動の機能を自動化または半自動化されたものに置き換える方が生産性が高くなってきました。特殊な文書は、デスクトップデータベースにアクセスする「メールマージ」機能を使用して作成されました。データは、記録システムによって生成された紙のレポートからデスクトップ・データベースにキー入力される。これらの文書は、収益実現プロセスに必要なものなので、使用される技術や実装されるロジックがアルゴリズム的に洗練されているわけではありませんが、明らかにビジネス上の重要な機能を果たしています。ここで重要なのは、ITはこのシステムのことを何も知らないということです。実際、このシステムは、ユーザーが複数のユーザーがLAN経由でデスクトップ・データベースにアクセスすることを許可することで拡張しようとしたときに、おそらくITの注意を引くことになり、それによってその破損を誘発し、その結果、ビジネス・プロセスの混乱を引き起こします。

もう一つのシナリオは、ビジネス・グループがレポーティングのために既存のシステムからデータにアクセスする場合です。ビジネス・エリアから直接雇用された契約プログラマーには、本番用データベースへの読み取り専用のアクセス権が与えられています。最終的には、大量のデータを取得するマルチジョイン・クエリではなく、トランザクション・パフォーマンスに最適化されていた本番用データベースの速度が低下してしまいます。このようなケースでは、「影」の大きさがわからないことが多いです。どのくらいの数のレポートが存在するのでしょうか?同時に実行できるレポートの数は?その中に含まれるクエリはどれくらい最適化されているのでしょうか?

さらに別のシナリオとしては、あるビジネス・エリアがニーズがあると判断し、IT部門の知識なしに(少なくとも計画段階では)そのニーズを満たすためにSaaSベンダーを利用するというものがある。これはクライアント・サービス分野では一般的なシナリオとなっており、以前は営業部隊の自動化の分野であったソーシャルメディア・ツールの普及につながっている。従来、IT は金融サービス分野では記録管理システム商業分野では在庫管理や調達システムなど、ビジネスのコア・コンピテンシーに焦点を当てたシステムを構築してきた。テリトリー管理、リード配布、アクティビティログなどの販売プロセスの自動化を求められたとき、従来の IT 組織は選択を迫られました。そのようなシステムを構築するか、拒否するかの選択を迫られました。そのようなシステムを構築した企業もありましたが、営業組織との取引は、財務グループや製造グループとの取引とは大きく異なることがわかりました。要件管理は、90年代初頭にノートパソコンを持って現れることを楽しみにしていたが、技術的なプロジェクトを管理するために必要な厳しさを何も知らない営業の専門家とのやりとりでは、より困難なものでした。このことと、ほとんどの営業組織が同じ活動(リード管理、テリトリー管理、コンタクトトラッキング、アクティビティログ)を行っているという事実が、営業自動化のための市販製品につながり、最終的には完全にパブリックなクラウドベースのソリューションになりました。今日では、独自の営業部隊自動化システムを構築したり、IT部門に構築を依頼することを検討する営業組織はほとんどありません。このようなシステムは、データと処理がすべてベンダーのインフラ上で実行され、ほとんどが従来のITの領域から外れています。

セクションII – モデルの評価

モデル1の評価:実践主導型開発

プラクティスドリブン開発とは、組織の内部または外部の顧客に非常に特殊なサービスを提供するなど、組織の目的に応じて展開される主題専門知識を必要とする開発のことである。そのため、その技術的要件は、組織の他の分野とは異なることがある。

メリット

  • 独自の価値:このような取り組みに固有の専門知識を持つことで、組織は確実に利益を得ることができます。多くの場合、これらの取り組みはクライアントに直接影響を与え、全体的な収益を生み出すイベントの一部となる。
  • アライメント:プラクティス主導の取り組みでは、ビジネススタッフと技術スタッフが緊密に連携しているため、「一般的な」開発環境では不可能な、要件定義、開発、およびテストの作業が緊密に連携している。この調整は、提供されるサービスの効率性と品質に不可欠であり、多くの場合、アジャイルプラクティスのベストプラクティスと同様のソフトウェア開発ライフサイクルを示す。

デメリット

  • インフラの重複:プラクティス主導型の取り組みでは、独自の要件に焦点を当てているため、独自のインフラが発生することが多 い。また、プラクティス・ドリブンの実践者は、環境の管理を維持し、従来の IT 組織からの干渉を避けるために、環境を「レーダーの下」に置いておきたいと考えることがある。このように見えなくなると、IT 組織がデータベース管理、ツール開発、ライセンス管理などの機能を統合して コスト削減を実現することができなくなる可能性がある。プラクティス・ドリブンの実践者がこのことに気づけば、実際にはインフラ管理よりも価値のある活動に多くの労力を割くことができるだろう。
  • コンプライアンス・リスク:ITインフラストラクチャの外で行われているすべての作業は、コンプライアンス・リスクにつながる可能性がある。シャドーITプロジェクトに従事するグループは、データの保持と削除ポリシーに関するセキュリティ、プライバシー、およびデータガバナンスの要件を実施していない可能性がある。

モデル2の評価:ローグライク開発

ここまでで、さまざまなタイプの不正な開発とその原動力となるものを理解しました。

ブラックオペレーションズ(ブラックオプス)

ブラック企業がブラック企業であり続けるためには、小さな足跡を残さなければなりません。プロジェクトが大きな影響力を持っていたり、多くの従業員を巻き込んでいたりする場合、そのプロジェクトが長く隠れていることはありません。このようなプロジェクトの規模の小ささは、祝福であると同時に呪いでもあります。

長所
  • ブラックオペレーションの利点は、これらのプロジェクトは小規模で集中度が高いため、よりシンプルになり、正しく実装しやすくなる傾向があることです。シンプルなプロジェクトは、たとえそれが理想的ではないとしても、事実の後に文書化することができます。
  • 小規模チームは信じられないほど機敏に活動することができます。多くの人や他のチームと調整する必要がないため、変化する状況や新しい問題にも素早く対応することができます。
  • これらのプロジェクトのフットプリントが小さいということは、通常、会社のリスクが小さいということでもあります。小規模なプロジェクトでは、建築上のミスを元に戻したり、セキュリティ上の問題を修正したりすることは、大規模なプロジェクトよりも容易である。ミスが発見されなかったとしても、企業への影響は問題のプロジェクトに限定される可能性が高い(これには明らかに例外がある)。
  • 優秀な従業員がいる場合、ブラック・オペレーションを行うことで、企業にとってのメリットは非常に大きくなります。ビジネスは望む結果をより早く得ることができ、IT部門はそのために貴重なリソースを縛る必要がありません。
短所
  • 小規模なプロジェクトであれば、才能ある人材の数が少なく、ミスを見抜く目が少ないことを意味します。活用できる知識や経験が少なく、チームは特定の技術に精通していない可能性があります。見落としがなければ、深刻なアーキテクチャや実装のミスを最終製品に落とし込むことは容易です。
  • セキュリティは、おそらく関係する従業員にとっては優先順位が高くないだろうし、そもそもセキュリティの意味合いを理解していないかもしれないので、ブラックな運用には大きな懸念があります。
  • また、小規模なチームでは、自由に使える時間も少なくなります。つまり、大規模なIT組織を念頭に置いてソリューションを設計したり、ドキュメントを作成したりすることが少なくなります。結局のところ、それを使用するのは自分たちだけなのです。
  • 特定の問題を解決したいという欲求は、ブラックオペレーションの一環として開発されたものは、より大きな組織への適用可能性が限られている可能性が高いことを意味します。これらのプロジェクトに費やされた時間と労力は、より多くの組織のニーズを満たすであろうやや大規模なプロジェクトに費やされた方が良かったかもしれない。
  • また、ライセンスの問題もあります。従業員の監督が行き届かない場合、会社が適切または十分なライセンスを持っていないソフトウェアを導入することになるかもしれません。会社が監査を受けた場合、ライセンスの問題を解決するために多額の費用を支払うことになりかねません。
  • 最後に、何かが壊れたらどうなるか?オペレーションチームはブラックオペレーションについて何も知らない可能性が高く、トラブルシューティングや問題への対応能力に深刻な影響を与えます。

スカンクワークスプロジェクト

スカンクワークスのプロジェクトは不正なものかもしれませんが、チームの規模やプロジェクトの規模が大きいため、完全に隠蔽されたままではいられません。これは、管理者の関与と相まって、組織にとって異なる意味合いを持つことを意味します。ブラック・オペレーションと同じように、長所と短所があります。

メリット
  • プロジェクトの規模が大きくなり、チームの規模が大きくなればなるほど、より多くの人材と経験を積むことができます。そのため、アーキテクチャーやプランニング、ドキュメント作成、さらにはセキュリティレビューにも適切なリソースを割り当てることができます。また、プロジェクトをより多くの目で見ることで、問題を迅速に発見し、影響を小さくすることが可能になります。
  • 限られた管理監督は、必要とされる俊敏性を維持するだけでなく、プロジェクトの目標が組織全体のより大きな目標と一致していることを保証します。ライセンシングのようなものは事前に対処することで、後になってからのサプライズを少なくすることができます。優れた管理者は、最終的なソリューションの運用化にも配慮することができます。
  • 優れたSkunk Worksプロジェクトは、適切に実行することで、組織に完全なソリューションを迅速かつ最小限のリスクで提供することができます。最終的な結果は、より大きなIT組織にとって有用であり、簡単に統合することができます。これにより、ITリソースを他の問題に取り組むために解放することができ、どの企業にとってもwin-winの状況となります。
デメリット
  • スカンクワークスのプロジェクトではアジリティを維持することが目的ですが、リスクを減らし、組織の有用性を高めるためには、アジリティを犠牲にすることもあります。重要なのは合理的なバランスをとることです。
  • スカンクワークスのプロジェクトは少しオープンになったとはいえ、努力の重複の可能性は非常に現実的です。あるチームが問題を発見した場合、別のチームも問題を発見している可能性が高いのです。一番避けたいのは、2つのチームが影で作業して同じソリューションを構築することです(もっと悪いことに、IT部門がすでに取り組んでいる問題のソリューションを構築することです)。
  • スカンクワークスのプロジェクトは、手に負えなくなりがちです。最初の問題の解決に成功したチームは自信過剰になり、多くのことに取り組もうとすることがあります。優れたマネージャーは、プロジェクトの集中力を維持し、目標を達成することができます。
  • 最後に、スカンクワークスのプロジェクトは、より大きなIT組織から挑戦や侮辱として見られる可能性があります。スコープを小さくし、特定の問題を解決することで、このような認識を和らげることができます。良いコミュニケーションと経営陣の協力があれば、後はスムーズに進むでしょう。

モデル3の評価:目的駆動型開発

目的主導型シャドーITの取り組みは、プラクティス主導型の取り組みと似ていると言いたくなるかもしれないが、実際には異なるものである。目的主導型シャドーITと実践主導型シャドーITの違いの鍵は、実践者の専門知識にある。プラクティス主導型シャドー IT の取り組みでは、実務者の専門知識が必要とされるが、これは目的主導型の取り組みの特徴ではない。多くのPurpose Drivenな取り組みは、特定の分野の専門知識がないにもかかわらず、ニーズがあるために存在していることが多い。

長所
  • 効率性と生産性:目的に沿った取り組みは、自動化が効率性と生産性に大きな影響を与えることができる領域を強調することがよくあります。セールスフォースの自動化への要求は、80/20、ACT!、そして最終的にはSalesforce.comのような、社内のプライベートソリューションと成功した市販のソリューションの創造を推進した。クライアントサービスやセルフサービスのシナリオで活用される場合、ソーシャルメディアの領域でも同じことが言える。多くのクラウドベースのソリューションが提供されている中で、ほとんどの企業は自分たちでこれらのツールを構築することはないだろう。多くの場合、これらのデプロイメントは従来の IT 部門とは全く関係がないかもしれない。そのような場合は、通常、シングルサインオン(SSO)が必要とされる認証レベルで行われます。
  • 統合:モバイル・コンピューティングの普及と IT の「コンシューマ化」により、さまざまなソースからのデータの統合の必要性が高まっています。これにより、IT が従来の境界線内に留まることが難しくなり、最終的にはビジネスエリアが IT を完全に無視することになります。モバイルアプリで営業部門と財務部門の間でデータを統合することは、従来のプラットフォームとクラウドベースのプラットフォームをまたいだデータの統合、認証、消費に関する新たな要件を確実に促進することになります。このような問題は、必然的に IT 部門を巻き込むことになります。
短所
  • 努力の重複:残念ながら、複数のクライアントサービスエリアや営業チームが存在するような大規模な組織では、複数のソリューションが存在する可能性があります(可能性があるかもしれません)が、管理、運用、財務の非効率につながります。
  • コンプライアンスリスク:開発が「不正な」チームによって行われている場合や、非ITグループによって直接保護されているベンダーによって行われている場合、この開発は企業の設計、セキュリティデータガバナンスプライバシー基準に準拠していない可能性があります。
  • 驚きの要件:デスクトップ技術の熱狂的な応用から、影の「生産性プロジェクト」がしばしば発生します。これらの関連するインフラストラクチャは、問題が発生したときに IT 部門によって「発見」されることがよくあります。マルチユーザ・データベースとして展開されたデスクトップ・ファイル・システムは、最も必要とされる時、つまり同時使用が多い時に故障することが予測されます。システムが十分に重要であれば、IT 部門は信頼できる RDBMS を含む適切な技術スタックを使用してシステムを作成することになるかもしれません。このような自動化は、異なる技術上ではあるが、伝統的な記録システムの拡張とみなすことができるので、これらのケースでは、ITはしばしばそうすることに同意するだろう。これにより、以前は隠されていたシステムが効果的に影から姿を消すことになるが、リソースには大きなコストがかかる。より信頼性の高い技術への書き換えが実現不可能な場合、IT部門は、標準外のシステムが故障したときに、バックアップを復元することで、標準外のシステムを復活させるように求められることがよくありますが、これは、少なくともいくつかのデータ損失とビジネスエリアへの運用上の影響を避けられません。

セクションIII – シャドーITサービスプロバイダモデル

図 1 は、従来の IT とさまざまなシャドー IT の取り組みが交差している様子を示しています。従来の IT 部門は、ローグライクな取り組みに対しても、少なくともいくつかのサービスを提供していることがよくあります。ローグライク企業が、少なくとも従来の IT 組織が提供する電子メールと電話サービスを利用しないことは考えにくい。実践と目的に基づいた取り組みは、ローグライクな取り組みよりも大きな交差点領域を持っています。このようなタイプのシャドー IT は、多くの場合、IT 組織が提供する一定のインフラストラクチャの分派閥であったり、それに依存しています。しかし、伝統的な IT 組織は、これらの取り組みを主に管理しているわけではないことに注意することが重要である。図 2 は、先に定義したタイプのシャドー IT が動作するさまざまなサービスモデルをさらに説明しようとしたものである。赤枠のサービス・プロバイダーは、非 IT プロバイダーです。これらは、企業内の要素、または契約に基づいて独立して運営されている SaaS、PaaS、またはコンサルティングの要素を表している可能性があります。緑の網掛けの要素は、従来のITサービス・プロバイダーを表しています。シャドーITの形態がPurpose DrivenからSkunk Worksへと移行するにつれ、明らかになるのは「レッドシフト」である。言い換えれば、取り組みが従来のIT組織からより独立したものになるにつれて、図中の赤の量が劇的に増加しているということです。

図の左端では、伝統的な IT セクションはほぼ完全に緑色になっており、サービスの調達はほぼ完全に企業内の IT 組織からのものであることを示しています。唯一の例外は、ユーザー・アクセプタンス・テスト(UAT)を実施するサブジェクト・マター・エキスパート(SME)の関与である。図の極端な右端にあるのがスカンク・ワークスで、これはほとんどが赤字で、ITグループからの重要なサービスをほとんど消費していません。これは極端なケースであり、実際にはBlack OpsやSkunk Worksのチームが電子ファイル・ストレージや電子メールなどの腐りやすいサービスに伝統的なITを利用していることは想像に難くありませんが、開発努力のためには、Black OpsやSkunk Worksのローグ的な要素が伝統的なIT組織から最も独立していることは明らかです。

図の真ん中のPurpose DrivenとPractice Drivenの領域は、開発努力に対するITの関与が少なくなっていることを表しています。これらの領域の半分が緑、半分が赤のサービスになっているのは、多くの場合、開発努力がIT組織の過去の努力や現在の努力を活用している可能性があるからです。一つの例では、IT DBAが保守・修正したリレーショナルデータベース内の既存のテーブルや新しく作成したテーブルを利用する目的駆動型プログラム。もう一つは、ケーブル配線、スイッチ、ルーターなどの実際のネットワークインフラは従来の IT I&O 組織の管理下にあるかもしれないが、このインフラに接続されたデバイスやその上で実行されるプログラムは、目的、実践、ブラックオプス、さらにはスカンクワークスの開発プロジェクトの結果であるかもしれないということである。ハイブリッド・サービスの赤半分は、インフラの一部が実際にはSaaS/PaaSベンダーに部分的または完全にアウトソースされている可能性があることを示している。完全にアウトソースされたモデルでも、従来のITインフラからのネットワークVPN接続が必要な場合があるため、I&Oサポート・ブロックの緑半分はすべてのセクションを通じて残っている。

赤緑のハイブリッドブロックに代表される危険性がある。セキュリティ、データガバナンス、設計、およびアーキテクチャ標準に関する企業ポリシーへのコンプライアンスの問題は、従来のIT組織内で実施するのは十分に困難である。しかし、部分的または完全にシャドーの取り組みを意図的に運用している組織内での実施は、はるかに困難です。

シャドーITサービスプロバイダモデルは、シャドーITの現象を説明し、組織への影響とリスクを分析するのに役立つツールとして、ここで提供されています。

セクションIV – 提言

結局のところ、シャドーITの普及は、IT組織がビジネスに必要なソリューションを提供できないことに起因しています。残念ながら、好むと好まざるとにかかわらず、IT 組織のリソースは限られています。企業に最大の利益をもたらすプロジェクトに人員と資材を割り当てる必要があります。したがって、シャドー IT を完全に排除する唯一の方法は、無限のリソースを持つ IT 組織を持つことであることが明らかになりました。それは不可能なので、次の最良の選択肢は、シャドー IT をどのように活用するかを考えることです。実際には、2 つの方法があります。

新しい携帯電話にアプリケーションを移植したり、新しいオペレーティングシステムを組織内にこっそり導入したりするために時間と労力を費やしている人がいる場合、そのような技術は、IT 部門が広く展開するために評価を開始すべき技術である可能性があります。言い換えれば、シャドー IT 開発プロジェクトは、IT 部門がリソースをどこに割り当てるべきかを示す指標となります。

シャドー IT 開発は、他のプロジェクトのために IT リソースを解放したり、ソリューションを直接生産したりすることで、企業に直接的な価値を提供することができます。課題は、シャドー IT の実践者が行っている作業が、会社にとって純利益となるようにすることです。全体的なビジネス戦略に適合した、よく設計され、文書化されたプロジェクトは、確実に勝利となります。文書化されていないプロジェクトで、サポートが難しく、コストがかかるものは、そうではありません。

多くの場合、シャドー IT の存在を受け入れ、それを受け入れることが最善の方法です。私たちの目標は、これらのプロジェクトを影から救い出し、透明性を高めることです。私たちは、不正な開発者に技術革新の自由を与えると同時に、可能な限りのガイダンスやリソースを提供する必要があります。このプロセスがよりオープンであればあるほど、問題の発見が早くなり、最終的にはより良い結果が得られるでしょう。実際、”不正な “努力を適切に奨励することは、”不正者 “の否定的な意味合いよりもむしろ “市民開発者 “や “主題開発者 “を生み出すことになるでしょう。

しかし、シャドーITにはコストとリスクがあることを指摘しないのは間違いで、これらの慣行から学ぶことはできますが、アプローチを調整する必要がありそうです。

  • ダークサイドから学ぶ :シャドー IT のあらゆる形態は、提供されるサービスと非 IT 専門家が望むサービスとの間にデルタがあることを示しています。特にリソースが不足しているときには、指揮統制の観点から、このデルタを無視することは魅力的です。しかし、非 IT 組織内の IT 機能に資金を提供するのに十分な量の資金が提供されているという事実は、そうでないことを示唆しています。大きな成果を上げるためには、組織の再編成や組織の変革が必要かもしれません。何年も前から、雑誌やブログでは、ビジネスと IT の分裂について語られてきましたが、ビジネス側は IT が遅すぎる、反応が悪すぎると不満を漏らし、IT 側は戦略のテーブルに座ることができないが、ビジネスの継続的な運営には不可欠であると不満を漏らしていました。
  • 統合するか、それとも共謀するか?:IT 部門以外の複数のグループが重複した作業に従事しており、さまざまなソフトウェア・スタックやインフラを生み出している場合、これらのグループの統合を試みることは理にかなっているかもしれません。しかし、システムが共通のプラットフォームに移行することでコストが削減されるという明らかなメリットがあるにもかかわらず、これは複雑で危険な作業であることが多い。リスクを過小評価することが、ここでの第一の危険性です。しかし、「シャドウ」の要素が目的よりもむしろ実践を重視したものである場合は、同情し、すべてのシャドウグループが活用できるようなサービスを IT 部門が提供できるかどうかを判断する方が理にかなっているかもしれません。さらに、プライバシー、セキュリティ、データガバナンスのポリシーが一様に適用されていることを確認することが、IT がこのシナリオに付加できる真の価値となるかもしれません。

IT が企業内のあらゆる開発形態を可能にしたり、制御したりすることは、常に可能ではありません。実際、これは望ましいことではありません。独立した開発グループが存在することには、特に実践主導型の開発モデルにおいては、完全に正当な理由があります。多くの場合、ITは直接サービスを提供しないかもしれませんが、プライバシー、セキュリティ、および保持ポリシーの観点からデータを扱うための企業基準が守られていることを主張することができます。さらに、IT は、ドキュメント管理、電子メール、ホスティング、リレーショナル・データベース・サービスなど、企業にとってより公益性の高いサービスを提供することができます。これらのサービスを一元的に管理することは大きなメリットがあり、コストをコントロールし、サーバーのパッチ適用、アップグレード、セキュリティを管理するのに役立ちます。さらに一歩踏み込んで、ITは、別々のプラクティス・エリアで共通に保持されているサービスのみを統合することができます。例えば、各プラクティスエリアに別々のデータベース管理者(DBA)がいる場合、この機能を各プラクティスエリアが使用できるサービスに統合することができますし、統合する必要があります。これにより、プラクティス主導の取り組みを完全に支配することなく、IT 部門は冗長性とそれに伴うコストを削減することができます。

ダークサイドを有効にする – 最終的には、企業は常にITが現在提供していない何かを必要としており、既存のIT部門を拡大してあらゆるサービスを提供することは明らかに不可能である。では、合理的なCIOは何をすべきなのだろうか。その答えは、コアデータのトランザクションと関係性の完全性を保護しながら、可能性を可能にする存在になることです。トランザクションの整合性などの概念は、ビジネスを効果的に行うための鍵となります。このような概念は、複雑なトランザクションを調整し、トランザクションのいずれかのコンポーネントに障害が発生した場合にそれらをロールバックできるようにするソフトウェアやデータベースツールによってサポートされています。この種の機能は保護されなければならず、これは IT の権限の中にしっかりと含まれています。では、従来のITの支援の外にある「不正な」開発活動は、記録システムとどのように相互作用するのでしょうか?そうすべきでしょうか? イネーブラーとして、答えは「イエス」です。イネーブラーとしての鍵は、統合ハブを介して機能を安全に公開することです。統合ハブは、認証されたアプリケーションが SORのデータと機能に安全にアクセスできるようにします。ハブは一般的にウェブサービスをホストし、最近ではHTTPプロトコルの一般的なウェブメソッドを使用して呼び出すことができるAPIをホストします。このようなサービスやAPIは、インターフェイスが厳密に制御されており、SORがすべてのトランザクションロジックを維持しているため、SOR以外のユーザーが利用するのに適しています。統合ハブはセキュリティ・ポイントとしても機能し、認証されたアプリケーションのみがハブのサービスとインタラクトできるようにします。IT 部門の権限は、統合ハブの API やサービスにまで及びますが、それ以上はありません。この場合、消費者(ビジネス主導のモバイル・アプリケーションである可能性があります)と IT の間の「契約」は、サービス・ハブで公開されている Web サービスおよび/または API です。消費者がメカニズムを適切に使用する限り、有効な結果が保証されます。コンシューマが指定された通りにメカニズムを呼び出さなければ、IT からのサポートを期待せずに失敗することになります。このようにして、IT はコミュニティを制御することなく、「市民開発者」に SOR データと機能への安全でスケーラブルで信頼性の高いアクセスを提供することができます。

結論

本稿では、シャドー ITを定義し、そのような取り組みが企業内でどのような形で行われているかを特定することを試みました。また、このような取り組みの推進要因に光を当て、組織への影響を分析するためのアプローチを提供することを試みました。おそらく、「シャドー IT」についての最も重要な結論は、組織がどのようにテクノロジーを使いたいかということと、ITがどのようにテクノロジーを使うべきかということを組織に伝えているかということについて、非常に多くのことを教えてくれるからです。このようなギャップを無視すると危険です。侵略的な種のように「シャドー IT」の努力を扱うことは、実りのない根絶と制御の努力につながるだけである。この現象の原因を理解することで、IT とビジネスをこれまでにないほど協調的に結びつけることができ、最終的にはポリシーの首尾一貫した変更につながる可能性があります。

 

EMMがどのように輸送・物流を変革し、強化しているか

T&L機能を可能にし、強化するために設計されたIT機能は、現行および次世代のT&Lへの投資を最大限に活用するために、モビリティ・テクノロジーへの依存度が高まっているのは当然のことです。スタッフ、ローカルおよび広域の無線ネットワークとサービス、アプリとアプリケーション、モバイルデバイスなど、T&L の重要な要素を最適に管理することが不可欠です。これらすべての要素の仕様、展開、および継続的な運用の要件を考えると、成功は企業のモビリティ管理(EMM)ソリューションに大きく依存しています。

T&LNの主なIT要件

なぜEMMは現代の輸送・物流において重要なのでしょうか?それに答えるためには、まず、どのような形態のT&Lにおいても、ITの主要な目的を見なければなりません。

効率的な運用

運輸・物流ソリューションプロバイダーは、企業顧客と消費者の両方のサービスを向上させ、コストを削減し、スタッフの生産性を向上させるために、永遠の探求を続けています。適切な管理ツールは、これらの目標をすべて達成するものであり、CRMERP、給与計算、関連機能などのバックエンドシステムと統合する必要があります。

信頼性とリスク低減

複雑さは、しばしば輸送や物流の要因となります。天候、スタッフの問題、車両のスケジューリングなどは、大量かつ多様な種類の商品を輸送する際に複雑さと混乱の網を生み出す要因のほんの一例に過ぎません。時間とコストを浪費し、規制遵守を危険にさらし(ELDのロギング義務化など)、顧客を失望させるようなサービスの問題は明らかに避けなければなりません。EMMソリューションは、本質的な機能をサポートし、本質的な信頼性を確保しなければなりません。

経営の可視性

自動化されたソリューションは常に進歩していますが、ラインマネージャーなどがリアルタイムで何が起こっているかを理解し、正確さと効率性の両方で対応できるようにすることは、成功に不可欠です。これには、エンドツーエンドのパッケージ追跡や、最適なサプライチェーン管理のために倉庫内で必要なステップ数を最小限に抑えるなどの活動が含まれます。EMMは、トラッキングをより効率的にする技術を企業に導入することを支援するとともに、デバイス上のGPSトラッキング機能による可視性を向上させます。

セキュリティ

もちろん、効果的な情報セキュリティと運用セキュリティを確保することも重要です。セキュリティは継続的な課題であり、今後も継続する可能性が高いため、管理ソリューションは、進化する課題と新しいソリューションの両方に対応できるように柔軟性を持たせる必要があります。

さらに、T&Lソリューションは、モノのインターネットの台頭の恩恵を受け始めたばかりです。IoTは、人間が直接関与することなく主要な機能を提供するインテリジェントなデバイスを統合し、例えば、自動化されたパッケージ追跡や物流監視などの機能を可能にして、適切なアイテムを適切な場所で正確に適切な時間に入手できるようにします。今後数年間で数十億台のIoTデバイスが導入されることは容易に想像できますが、EMMはすでにIoTへの投資が生産性の向上、業務効率の向上、そして有意義なリターンをもたらすことを保証する上で大きな役割を果たしています。

また、デバイスの信頼性と確実なアップタイムも必須条件となっています。組織が不可欠なビジネスツールとしてモビリティをますます利用するようになるにつれ、ノートブック、スマートフォン、タブレット、そして幅広いIoTデバイスやオペレーティングシステムにとって、ダウンタイムは大きな課題となってきています。これらのデバイスが利用できなくなると、T&Lプロバイダーは納期に間に合わず、顧客の期待を裏切り、法規制コンプライアンス違反のリスクにさらされ、最終的には収益と利益の機会を失うことになります。

従来のモバイル・エンドポイントとIoTデバイスの両方に加え、その他のT&Lソリューションには、信頼性、パフォーマンス、効率性、セキュリティを保証するEMM機能が必要です。

EMM要件

エンタープライズモビリティ管理は、あらゆる輸送・物流ソリューションの中心に位置し、デバイス、コンテンツ、セキュリティ、アプリケーション管理を実装するすべての機能を含まなければなりません。EMMの核となる目標は、常に可視性、制御、信頼性の向上を含むものでなければなりません。これにより、倉庫や荷役場のスタッフからドライバー、T&Lサービスに依存する顧客まで、関係者全員にとってソリューションが最適化されます。

モバイル機器の自動設定

多くの場合、多種多様なモバイルデバイスの使用を最適化するには、アプリの自動インストール、デバイスの更新、および継続的なアプリ管理など、幅広いEMM機能が必要となります。また、例えば単純なバーコードスキャンや、近距離無線通信(NFC)の「バンプ」などの機能を利用した簡素化されたオンボーディングも重要です。Apple Volume Purchase Programや同様のソフトウェア管理ソリューションとの統合により、必要に応じてアプリケーションの配布やライセンスの管理も簡単になります。最後に、プロファイルを介した迅速なプロビジョニングにより、必要なロールベースのユーザー機能を、ユーザーのクラス(管理者、フロア、ドックスタッフなど)や地域など、必要に応じて簡単にプロビジョニングすることができます。

ユーザーのリモートサポート

T&L アプリケーションは一般的に地理的に分散した場所で動作するため、生産性を奪う問題が深刻化する前に、ユーザーが必要なサポートにアクセスできるようにすることが不可欠です。これは、ヘルプデスクやその他の権限のあるサポートスタッフがリモートアクセスし、必要に応じて、特定のデバイスを制御し、ファイル同期を実行し、ユーザーとチャットを可能にし、リモート設定や修理をサポートすることができなければならないことを意味しています。

セキュリティ

情報セキュリティと運用の継続的な完全性は常に最重要課題です。そのため、ネットワーク上には許可されたトラフィックのみが存在し、特定のユーザー権限によって個々のデバイスの行動範囲が制限されていることを確認することが非常に重要です。また、ファイルや文書の安全なコンテンツ管理と、ミッションや活動に応じたセキュリティを設定して閲覧することも重要です。

可視性

リアルタイムの管理の可視性は、T&Lソリューションのすべての要素で継続的な改善を推進するために使用できるあらゆるオペレーションデータの収集、評価、分析に依存します。これには、作業員やオペレーション全体の管理者から収集したリアルタイムのデータや、人からトラックに至るまで、管理者が重要と考えるあらゆる移動物体のリアルタイム管理の可視性を可能にするために使用できるワイヤレス・ジオフェンシングのような高度な機能が含まれます。

規制遵守

T&Lは高度に規制された業界であるため、EMMソリューションはすべてのコンプライアンス要件を満たす必要があります。これには、出荷書類の品質を確保することや、特定の設定におけるすべての税関規制やその他の要件を満たすことが含まれます。さらに、EMMを使用することで、例えば車両の走行中にデバイスを強制的にロックダウンさせることで物理的な安全性を高めることができ、注意散漫運転の可能性を減らし、その結果、責任を最小限に抑えることができます。

結論

効果的な輸送およびロジスティクスソリューションは、全体の生産性を向上させ、問題を迅速に解決してダウンタイムを最小限に抑えるためのリモートサポートを提供し、モバイルT&L ITソリューションのあらゆる側面でエンドツーエンドの可視性をもたらすトラッキングとレポートを提供します。エンタープライズ・モビリティ管理は、成功するT&L機能の中核であり、あらゆる場所でのT&Lオペレーションをリードするビジネスに不可欠な利点を提供します。

 

エンタープライズ・モビリティとパブリッククラウドのための改善案

ハイブリッド・クラウド環境とエンタープライズ・モビリティ:ネットワークの重要性

これは、CIOやCEOがそのメリットを確信していることもあれば、特にITのコンシューマ化に伴い、ハイブリッド・クラウドがビジネスに不可欠なものになってきたことも理由の一つだ。今日の従業員は、もはや1つの会社支給のデバイスで情報を消費するのではなく、さまざまなエンドポイントから情報を消費しています。さらに、SaaS(Software-as-a-Service)、Webベース、Windows、モバイル・アプリケーションなど、さまざまなアプリケーション・デリバリー・モデルが進化してきました。

もはやすべてのデータ、アプリケーション、ITリソースは物理的なデータセンターに固定されているわけではありません。このような現在の環境の複雑さをさらに複雑にしているのは、これらの異なるソリューションが、プライベートクラウド、パブリッククラウド、またはハイブリッドクラウドでホストされるなど、さまざまな方法で展開できるという事実です。企業はこれらのクラウド消費モデルを採用し、その採用を加速させています。その主な理由は、グローバルなスケーラビリティ、モバイル・アプリケーションやデータへのアクセスの簡素化、IT管理の強化、コスト効率の向上です。

現在、課題は、すべてのデバイス、オンプレミスのリソース、他のアプリケーション・デリバリー・モデル、およびクラウド・プロバイダー間の接続性を開発することに移っています。本当に重要なのは、信頼性が高く、安全で、低レイテンシーで、パフォーマンスの高いネットワークで、これらのデータセンターやクラウドの消費モデルへの接続を実現することです。

コミットメントと実行は別物です。ハイブリッド・クラウド・インフラストラクチャの可能性を実現するためには、いくつかの戦略と計画を立てる必要がある。まず、モビリティ戦略はクラウドコンピューティング戦略と連動する必要がある。そのためには、ミッションクリティカルなアプリケーションの構築方法やデスクトップの構築・管理方法を変更する必要がある。また、ポリシーとプロセスを確立し、仮想化されたネットワークを介してグローバル規模でデータアクセスを提供する必要があります。クラウド・リソースを効率的にプロビジョニングするためには、必要に応じてこれらのネットワークをスケールアウトできるようにしなければなりません。誰もが驚くことではありませんが、現代のモバイル・アーキテクチャにおけるこれらの課題はすべて、パフォーマンス要件を満たし、セキュリティ・リスクを軽減するために、リソースの可用性と十分な堅牢性を確保することがIT担当者にプレッシャーを与えています。

モバイルの世界で成功するための鍵

ワークスペース配信プラットフォーム

このように消費者の技術革新のスピードが速いことに加えて、アプリケーションやデスクトップの配信モデルの多様化が猛威を振るっているため、最も洗練されたIT企業でさえも、アプリケーションやデバイスの管理と安全性の確保が難しくなっています。さらに、コンプライアンスや政府の規制に対応するという課題も加わり、IT部門は多面的な戦いを強いられています。

ユーザー中心のセルフサービス・コンピューティング・モデルへの転換は、企業がハイブリッド・クラウド環境におけるビジネス・モビリティを再考することを必要とします。デジタル・ワークスペースは、ハイブリッド・クラウド環境のように、異なるアプリケーション、データ配信、デバイス、および消費モデルを集約した、すべてのデバイスにまたがるユーザーへのエンタープライズ・アプリケーションの配信と管理のための、より効率的なモデルを提供することで、この変革をサポートします。ワークスペース・プラットフォームは、インテリジェントなインフラストラクチャ上でIT管理、プロビジョニング、セキュリティを一元化し、ユーザーに共通の簡単にアクセスできるインターフェイスを提供します。クライアント・サーバー時代のデスクトップとは異なり、デジタル・ワークスペースは単一のイメージによって定義されるものではありません。それは、すべてのデバイスと、ユーザーが必要とするアプリやサービスの集合体であり、共通のアクセスとアイデンティティによって安全に管理され、統一されています。

ワークスペース配信プラットフォームは、アプリケーションとデスクトップ環境を単一のインターフェイス内でフェデレートすることで、以下のような多くの利点を提供するユーザー中心のコンピューティングモデルを構築します。

  • 向上したセキュリティ、よりシンプルな管理、より低コストでのアプリやデータの提供、あらゆるデバイスでのアプリやサービスへのアクセスを可能にする現代的なモビリティ・アーキテクチャの構築。
  • データ、アプリケーション、インフラストラクチャのセキュリティを向上させた幅広いデバイスと所有モデルで、仕事と個人データを同じデバイス上で共存させることができます。
  • あらゆるデバイスからのアプリケーション、電子メール、ブラウジング、コンテンツへの安全で改善されたアクセスと管理。
  • プライバシーやデータ損失のリスクなしに、企業のコンテンツ間でのコラボレーションを強化。
  • あらゆるデバイスでのユビキタスなアクセス性、ユーザー体験の向上、ビジネスプロセスの改善。

ワークスペースコンポーネント。ハーモニーの中での作業

包括的なデジタル・ワークスペース・プラットフォームは、多くのコンポーネントとテクノロジーで構成されており、アプリケーションとデータをユーザーに安全に提供するという最終目標を達成するためには、これらすべてが調和して動作しなければなりません。

アイデンティティおよびアクセス管理(IAM)は、高度なデジタル・ワークスペースにおいて重要な役割を果たします。たとえば、デジタル・ワークスペースを導入している企業では、BYOD(Bring Your Own Device)や企業内のあらゆるデバイスを使用することができ、IT 管理者はその場でアプリケーションの配布や更新を自動化しています。このような機能があるのは、IAMがすべてのアプリケーション、すべてのデバイスを超越しているからです。IAMのその他の主な機能には、エンタープライズ・シングル・サインオン(SSO)を可能にすることが含まれており、ユーザーは複雑なパスワードや設定手順を踏まずに、必要な異なるアプリケーションやシステムにアクセスすることができます。逆に、アプリへのアクセスをワンポイントでオフにできるようにし、データの損失を防ぎます。さらに、あらゆるデバイスからほぼすべてのアプリにワンタッチでアクセスできます。簡潔に言えば、IAMは、複数のアプリタイプとデバイスタイプにまたがるユーザーを管理するための1つのインフラストラクチャを提供します。

ワークスペースは、SaaS、モバイル、ウェブ、デスクトップ、Windowsなどの幅広いアプリケーションを1つの場所からすべてサポートします。これは、データアクセスを合理化し、どこからでも生産性を維持し、IT管理を簡素化する上で極めて重要です。

デジタル・ワークスペースのもう一つの重要な要素であるエンタープライズ・モビリティ管理(EMM)を使用することで、企業は、統一されたセキュリティと管理により、すべてのプラットフォーム上でのデバイスの拡散を制御することができ、同時に、ユーザーが選択したデバイス上のアプリケーションへのセルフサービス・アクセスを提供することができます。企業は、ネットワーク上の場所、ユーザーの場所、時間帯など、さまざまな要因に基づいて、デバイスやアプリケーションと一緒に移動するユーザーのためのポリシーを設定し、管理することができます。企業は、デバイスの種類、オペレーティングシステム、所有者に関係なく、1つの中央コンソールからすべてのデバイスを管理することができます。EMMコンテナ化は、企業データと個人データを完全に分離し、ユーザー、アプリケーション、デバイス、ネットワークの各レベルで企業データを保護します。

これらの機能をすべて実現するためには、デジタルワークスペースが提供する必要な接続性とセキュリティのためのインテリジェントなネットワークを持つことが重要です。実際、この仮想化されたネットワークは、まさにクラウドコンピューティングの基盤であり、デジタルワークスペースの基盤となっています。

潜在的なネットワーキングの落とし穴

ハイブリッド・クラウドとビジネス・モビリティに関連した潜在的な落とし穴やビジネス上の課題について考えるとき、パフォーマンス、セキュリティ、管理制御という3つの一般的な疑惑のリストを思いつくのに時間はかかりません。これら3つの課題のネットワーキングの側面が、多くの企業で優先度の高いステータスになっていることは驚くに値しません。

パフォーマンス

多くの組織では、データセンターをプライベート、パブリック、ハイブリッド・クラウドに接続するなど、新しいハイブリッド・クラウド戦略を導入することで、さらなる飛躍を遂げています。これにより、オンプレミスとクラウドベースのリソースの両方を使用できるようになり、機動性が向上します。しかし、これらの戦略がその潜在能力を発揮できなかった場合、パフォーマンスが大きく低下する可能性があります。例えば、特定のクラウド環境へのアクセスが他のクラウド環境よりも遅延や遅延が発生することがあります。例えば、仮想プライベート・ネットワーク(VPN)では、アプリやデバイスからクラウド・プロバイダーへのトラフィックを直接ルーティングできるため、パフォーマンスの低下を最小限に抑えることができます。さらに、従来のネットワークアプローチでは帯域幅の問題でパフォーマンスが低下することがありますが、ネットワーク仮想化では、ピーク時のトラフィック負荷に合わせて帯域幅を自動的にスケールアップすることができます。

セキュリティを犠牲にすることなくレイテンシーを低減する唯一の方法は、トランジットホップを最小限に抑えることです。ネットワーク仮想化に見られるハイパーバイザーの統合は、あるホストから別のホストに移動する際に必要なネットワークホップ数を通常は削減することで、ファイアウォール間のホストトラフィックを高速化します。ネットワーク仮想化では、コントロールプレーンを使用して、環境内のすべてのホストに分散したファイアウォールを複製することができ、複雑さを軽減しながらも、より高速でセキュリティを確保することができます。

セキュリティ

セキュリティはミッションクリティカルな問題であり、IT インフラストラクチャが複数の分散コンピューティング・パラダイムにまたがって進化してきたため、ますます複雑になってきています。ハイブリッド・クラウド環境では、ネットワークがサーバーやストレージ・プールとITユーザーを接続する役割を担っています。しかし、クラウド・プロバイダーと企業の間で一貫性のないネットワーク・セキュリティが行われているため、企業は最下層のデータよりも機密性の高いデータをハイブリッド・クラウドに送ることに消極的になっており、セミパブリックな性質のため、セキュリティ攻撃に対してより脆弱です。

クラウド・コンピューティングは、パフォーマンスとセキュリティの間に緊張感を生み出す可能性があります。すべてのクラウド・プロバイダーが暗号化をサポートしているわけではないため、許可なくインターネット上で公開された状態で情報が送信される可能性があります。暗号化が利用可能な場合、暗号化を使用すると待ち時間が長くなり、パフォーマンスに影響を与える可能性があります。

ネットワーク対応クラウドモデル

企業がミッションクリティカルなアプリケーションを安全にクラウドに移行し、セキュリティ、パフォーマンス、制御を犠牲にすることなく保護できるようにするベンダーがあります。これらの企業は、プライベート・クラウドの制御、保護、パフォーマンスの利点と、パブリック・クラウド・サービスのコスト効率と弾力性を組み合わせたネットワーク対応クラウド(NEC)モデルを採用しています。

NECプロバイダーは、仮想プライベート・ネットワークを採用し、サードパーティ・パートナーが提供するクラウド・コンピュートやITサービス環境に接続します。これにより、ネットワークやクラウドリソースを必要に応じて簡単に調整できる柔軟なスケーラビリティを活用することができます。また、安全で高性能な接続を実現します。企業は、インターネットからトラフィックを取り出して直接クラウド・プロバイダーにルーティングすることで、VPNとクラウド間の安全性の高い接続を活用し、遅延を低減することができます。

NECの機能は、すでに持っているツール、技術、スキルを活用しながら、新しいハイブリッド・クラウド機能を提供したいと考えているお客様にアピールしています。

経営管理

ハイブリッドクラウドのドメインには、多面的な管理の課題があります。ハイブリッドの世界では、コンピュート、ネットワーク、ストレージのリソースを複数のドメインにまたがって管理しなければならないからです。しかし、仮想化されたネットワークを利用すれば、データセンターですべてを制御して集中管理できるため、IT管理が容易になります。

繰り返しになりますが、仮想ネットワークはハイブリッド・クラウド管理において極めて重要な役割を果たしています。これは、ネットワーク・サービスをファームウェアから個々の制御層に抽象化することで、より柔軟なネットワークを実現し、ハイブリッド環境をよりよくサポートすることができるからです。

仮想ネットワークの影響

ビジネスに不可欠なリソースにアクセスするモバイルデバイスやアプリケーションが急増する中、不正アクセスサイバー脅威を防ぐには、ファイアウォール内でのユーザーのアクセスを制限することが鍵となります。あらゆるサイバー攻撃は、モバイル・アプリケーションから内部のサーバーに容易に移動し、大きな攻撃対象となる可能性があります。そう、ゼロトラスト・セキュリティモデルの実現が必須なのです。

従来のネットワークにアプライアンスや物理的なITインフラを持たせる代わりに、ネットワークを仮想化してトランスポート容量のプールにします。この高度に仮想化された環境では、仮想マシン(VM)やモバイル・アプリケーションのワークロードにネットワークとセキュリティ・ポリシーがすべて組み込まれているため、物理ネットワークに出なくても、何をすべきかがすぐにわかります。ソフトウェア定義ネットワーク (SDN)を使用することで、企業は、オフプレミスのクラウドベースのリソースに入るVPNやその他の仮想化ネットワークをアプリケーションごと、またはユーザーごとに提供することができ、そのアプリケーションや従業員と一緒に移動するポリシーを動的に設定することができます。

ビジネス・モビリティを実現しながら、安全なデジタル・ワークスペースを提供することは容易なことではありません。しかし、適切なEMMとネットワークソリューションがあれば、企業はハイブリッドクラウド、さまざまなタイプのアプリケーション、データをすべてのモバイルデバイスとすべてのモバイル OS に接続することができます。

従来のネットワークの課題は何であり、ネットワーク仮想化によってどのように克服できるのでしょうか?

物理ネットワークの課題

組織によっては、データベース、財務、マーケティングなどのゾーンごとに異なるゾーンを設定し、各ゾーン内に異なる物理ファイアウォールを設置することで、いくつかのプラットフォームのセキュリティを確保しようとする場合があります。しかし、この種のネットワーキングは実装が難しく、多くの物理インフラを必要とし、ネットワーキングチームは複数のVLAN、アクセス制御リスト(ACL)、および互換性のある設定が必要な多くのインターフェイスを必要とする可能性のある異なるファイアウォールソリューションの管理を余儀なくされるため、労働集約的なものになる可能性があります。

このような物理環境で運用されている企業は、より多くのワークロードとより多くのネットワークに対する絶え間ない要求を満たすために常に努力していますが、これらはすべてのポーティング、ファイアウォール、LAN、および ACL を設定することを意味し、箱単位で手動でプロビジョニングする必要があります。

さらに問題を複雑にしているのは、このような手動のネットワーク設定と断片的な管理操作によって、ヒューマンエラーの扉が開かれていることです。これらの管理上の課題をすべて克服したとしても、組織はデバイス内部で発生している脅威を可視化することができず、予測不可能なユーザーの行動に対して脆弱性があることに変わりはありません。IT 部門の継続的な課題は、これらのリソースを安全にセグメント化し、かつ容易にアクセスできるようにすることです。

このように物理的なネットワークが整備されていても、データセンターへのローカルまたはリモートアクセスを持つ第三者によってデータアクセスが侵害される可能性があります。例えば、ファイアウォール内のアプリケーションへのアクセスが制限された DMZ内の VM へのアクセスと、ジャンプボックスを介して内部の制限付き VM プールへのアクセスの 2 つです。サードパーティがデータセンターに侵入してしまうと、その動きを制御して制限することは非常に困難になります。そこで役立つのが、Software-Defined Networking(SDN)です。

セキュリティは継続的に改善されていますが、データセンター内の東西のネットワークトラフィックに対する攻撃を防御するには、境界ファイアウォールだけでは十分ではありません。その結果、ユーザーは、侵害されたウェブサイトやマルウェア、さらには同僚など、さまざまなソースからの脅威にさらされやすくなっています。IT の世界がソフトウェア定義技術へと急速に移行している現在、物理的なネットワークは、高度に仮想化されたコンピュータ環境での拡張を困難にする挑戦的な資産となっています。

ネットワーク仮想化でネットワークの課題を克服

ネットワーク仮想化を使用してデータセンターへのアクセスを管理することで、VMやその他のモバイル・アプリケーションの詳細な保護を動的に適用することができます。ネットワーク仮想化を使用すると、仮想マシンの実装と同じように、ネットワークのクローン作成、スナップショット、レプリケート、ネットワークのセキュリティ保護を行うことができます。

ネットワーク仮想化では、VMの仮想ネットワーク・インターフェース・カード(NIC)にファイアウォールを設定することで、データセンター内のアプリケーションやネットワーク・サービスへのアクセスを制限することができます。これにより、セキュリティ・ポリシーやファイアウォール・ルールをユーザ単位またはアプリ単位で適用することができます。

ネットワーク仮想化は、IT 管理者がデータセンターへのアクセスを制限するゼロトラスト・ルールを作成することで、ITインフラに秩序をもたらします。ユーザーは個々の仮想マシンやサーバーにしかアクセスできず、個々の仮想マシンから他の仮想マシンにジャンプすることができないため、ファイアウォール・ルールによって被害の大きさが制限されます。これは、データセンターのワークロードに侵入して VMからVMへと軽々と移動しようとするハッカーに対する重要な抑止力となります。ネットワーク仮想化を使用すると、開発者、請負業者、その他データセンター内を移動するサードパーティの境界線を作成して、東西のトラフィックを制限し、サービスへのアクセスを制限することができます。

データセンターのマイクロセグメンテーション。ユビキタス制御の提供

データセンターのアクセスを個々のワークロードにまで制限することは、マイクロセグメンテーションの概念に基づいています。これにより、デバイスや場所を超えてVMを自動的に追跡し、各VMに独自の境界防御を与えるセキュリティが可能になります。マイクロセグメンテーションでは、個々のネットワーク・セグメント、または社内の営業や財務などの異なるグループに基づいてセキュリティを作成することができます。また、ネットワークに接続された個々のVM はすべて保護されているか、互いに分離されているため、潜在的な攻撃者を外部に残すことができます。ユーザーのモバイルアプリが危険にさらされた場合でも、そのユーザーだけに潜在的な危険性を簡単に封じ込めることができます。このような分離とセグメンテーションが行われている間も、ユーザーは必要に応じて他のサービスや機能に完全にアクセスすることができます。

マイクロセグメンテーションと仮想化ネットワーキングのメリット

マイクロセグメンテーションやソフトウェア定義ネットワークを活用するメリットはたくさんあります。

  • データセンター間およびデータセンター内の接続性。インテリジェントなネットワークへのアクセスからアプリケーション、スケーラビリティまで、あらゆるものを管理するためにポリシーが作成されるのと同様に、データセンター間およびデータセンター内の接続性にもポリシーが適用されます。IT管理者は、共通の自動化されたポリシーを一度だけ設定し、複数のハイブリッド・コンピューティング環境やデータセンター内の接続性に適用する必要があります。その結果、より標準化された環境で運用を合理化し、手作業の必要性を減らすことができます。
  • モバイルアプリのポリシー。モバイルアプリは、スマートフォンやタブレットなどのモバイルデバイスのニーズを満たし、それを超えるものであるため、ますます洗練され、人気が高まっています。これらのプリインストールされたパッケージには、ウェブブラウザ、電子メールクライアント、カレンダー、マッピングプログラムなどが含まれています。企業環境でモビリティがこれほどまでに普及した今、従業員は企業ネットワークやサードパーティのクラウドから安全なモバイルアプリにアクセスすることを求めています。リソースや手間のかかるネットワークのプロビジョニングを必要とせずに、モバイルアプリケーションをフォローするポリシーを数秒で作成することができます。
  • アプリとアクセスの保護。ネットワークのすべてのレイヤーで仮想化とカプセル化を行うことで、ネットワーク間にクロストークが発生せず、単一のネットワーク内に制御された通信パスが存在することを保証します。これにより、VMの論理的なグループ化に基づいたきめ細かなレベルのセキュリティとポリシーが保証されます。デジタル・ワークスペースは、アイデンティティとアクセス管理のために仮想化ネットワークに依存しており、これらのワークスペースの機能に重要な役割を果たしています。
  • 帯域幅のスケーリング。非常に激しい市場で競争するクラウドサービスプロバイダにとって、弾性的なスケーラビリティは非常に重要です。この市場セグメントでは、需要に応じて自動的に迅速にスケールアウトして戻ってくる機能を提供することが絶対条件となっています。
  • ネットワーク管理の簡素化。仮想化されたネットワークでは、オペレーティング・システム、ユーザー、またはモバイル・ワークロードに基づいて、セキュリティ・ポリシーを迅速に作成、変更、管理することができます。仮想ネットワーキングソリューションは、セキュリティ機能をハイパーバイザーに組み込んでいるため、このようなシンプルさを実現しています。さらに、仮想化されたネットワーク機能のライブラリを使用することで、従来の物理ネットワーキングのような複雑さを伴うことなく、仮想ネットワークを構築して管理することができます。
  • ユーザーと仮想マシンを動的に追跡する自動化されたポリシー。管理者は、基礎となるネットワーク・インフラストラクチャに関係なく、ロール、グループ化、さらには場所に基づいてユーザーに動的にマップするポリシーを設定できます。マイクロ・セグメンテーションでは、管理画面を活用し、作成された各仮想マシンに集中管理されたポリシーを適用することで、ユビキタスな制御を実現します。1つのVMが危険にさらされても、企業はインフラストラクチャの残りの部分の問題に対処する必要がなくなります。また、クライアントからサーバへのハッキングの内部に潜む可能性のある脅威に対処する必要もありません。企業は、ネットワーク セキュリティ ポリシーが各ワークロードにインテリジェントに追従していることを知っているので、規模を拡大することができます。
  • サードパーティのパートナーとの統合。プライベート・データセンターとクラウド・ストレージ・プロバイダー間のネットワーク接続性とセキュアなストレージの品質は、ハイブリッド・クラウドにリソースを投入したいと考える多くの企業にとっては、そのような問題を回避することができません。NECのプロバイダーは、インターネットを経由することなく、サードパーティ・パートナーが提供するクラウド・コンピュートやITサービス環境に接続する仮想プライベート・ネットワークを採用することで、この問題を回避しています。また、パートナーのセキュリティソリューションと連携することで、エンドポイントだけでなく、セキュリティの拡張性を高めることができます。これらのソリューションは、オペレーティング・システム、電子メール・サーバ、ブラウザをマルウェアやゼロデイの脅威などから保護します。

ソフトウェア定義ネットワーキングは、エンドポイント・セキュリティとデータセンター・セキュリティの架け橋となります。これにより、管理者はモバイル・ワークロードにきめ細かなセキュリティ制御を提供し、モバイル・アプリとユーザーのためにポリシー定義されたネットワーク・アクセスを作成し、データ・センター内のモバイル・アクセス・フットプリントを制限してサイバー攻撃の表面を最小限に抑えることができます。

より大きな真実

ネットワークとクラウドサービスプロバイダのエコシステムに支えられたハイブリッドクラウドは、最先端のビジネスモビリティインフラを提供するという約束を果たしつつあります。その結果、ユーザーはクラウドに送信するデータの機密性を高め、モビリティへのコミットメントを倍増させることに慣れてきています。クラウド・サービス・プロバイダーは、企業のモビリティ需要を満たすためのスピード、効率性、柔軟性を提供しています。

ネットワーク仮想化は、セキュリティ、パフォーマンス、および管理制御を強化することで、非常に重要な変更要因であると同時に、より進歩的なIT環境で成功するための重要な要素となっています。ネットワーク仮想化により、企業は新しいモバイルやクラウドのイノベーションをオンデマンドで活用することができ、デジタル・ワークスペースのようなモバイル・コンピューティング環境では、企業レベルのセキュリティを提供することができます。IT 部門は、ネットワーク管理の集中化と簡素化により、業務の合理化を実現することができます。

ハイブリッド・クラウド・プラットフォームとエンタープライズ・モビリティの長期的な可能性は、ミッションクリティカルなビジネス・ワークロードを徹底的に保護しながらデータを解放する仮想ネットワークへのグローバルなスケールとアクセスにかかっています。

ヘルスケア業界向け:データ損失防止(DLP)のベストプラクティス

連邦、州、地方の管轄区域にまたがって変化し続ける規制の網により、医療機関は、ePHI(電子的に保護された健康情報)を含む患者データを保護することが求められています。2013年9月23日、すべての医療機関は、ePHIデータの暗号化と保護に関する要件を概説したHITECH Omnibus Final Ruleの遵守を法律で義務づけられました。さらに、セキュリティ侵害を受けたり、ePHIデータを紛失したり、災害後に十分な迅速な復旧ができなかったりした医療機関は、公民権局(OCR)の調査を受け、数百万ドルの罰金を科せられる可能性があります。

続きを読む