fbpx

セキュリティ

企業ネットワークでBYODを実施するために知っておくべき全て

BYOD(Bring Your Own Device)が普及しています。従業員は、外出先でもモバイル・デバイスから個人的な生活や仕事上の生活を管理できるようになれば、生産性が高まります。従業員がどのようなモバイル・デバイスからでも安全に仕事ができるようにすることが、CIOの義務となっています。BYOD が提示する課題は、IT と組織が「ユーザー・エクスペリエンスを変更せずにモバイル・プラットフォーム上で企業データを保護」し、「費用対効果の高いBYODプログラムを提供すること」です。

BYODプログラムを実装する準備をしていますか、または既存のプログラムを微調整する必要がありますか?このチェックリストは、ロールアウトを成功させるためのものです。実は下記のような状況がこの世には起きています。

  • 7割のユーザーが会社の方針に関係なく個人のデバイスで仕事をしている
  • 21%の企業が従業員の退社時に個人端末でデータワイプを実施
  • 企業で利用される従業員所有のスマートフォンやタブレットは2018年に10億を超える

BYODチェックリスト

Todo 目的 ベストプラクティス
ステークホルダー運営委員会 BYODプログラムを開始する前に、関係者の承認を得ましょう。
  1. HR、IT、法務、財務、従業員/事業部の代表者を含めてください。
  2. BYOD プログラムの目標を特定します。・すべてのモバイルプラットフォームを許可するか、制限されたデバイスのセットを許可するか。
    ファイアウォールの内側にある企業データの大半へのモバイルアクセスを許可するか、電子メールへのモバイルアクセスのみを許可するか。
    ・データ損失を防ぐための強力なセキュリティポリシー vs. 基本的なデバイスのセキュリティポリシー
従業員調査 従業員にアンケートを実施し、モバイルデバイスからアクセスする必要がある最も人気のあるモバイルデバイス、生産性の高いアプリ、会社のデータを調べます。 アンケートには、会社の電子メール、イントラネットの共通サイト(人の検索、発注と承認、PTOリクエスト、ニュースなど)、人気のあるモバイルアプリ(Boxなどのファイル同期と共有のアプリなど)などのオプションを記入してください。
ユーザー登録 モバイルアプリ、データ、ネットワークアクセスを得るために、モバイルデバイスをエンタープライズモバイル管理(EMM)システムに登録するプロセスを決定します。 以下のようなことを考えてみてください。

・モバイルデバイスからアクセスできるセルフサービスの登録ポータルがあるか。
・登録プロセス中に従業員に利用規約を提示できるか?

サポートされているモバイルデバイスとプラットフォーム サポートするモバイルデバイスのモデルとオペレーティングシステムのバージョンを決定します。 BYODとはいえ、ある程度の制限を設けることが重要です。なぜなら、それ以前のモバイルデバイスのOSにはセキュリティ上の脆弱性があり、それ以降のバージョンのOSでは修正されてしまうからです。iOS 7.0+Android4.0+のサポートを検討してください。
モバイルアプリとデータ モバイルアプリ、データ、安全なブラウザアクセスを承認し、公開します。 以下のようなことを考えてみてください。

  • 会社のメール、WiFiVPNへのアクセスを提供することから始める
  • 社内および一般公開されているAppStoreアプリ(Box、Workday、Salesforce、Concurなど)を使用したエンタープライズAppStoreを公開します。
  • 有料アプリのボリューム購入プラン(VPP)を検討する
個人情報の取り扱いについて 従業員の個人アプリやその位置情報に会社やITがアクセスできないようにする。 次のようなことを考えてみてください。

・IT部門は、デバイスの位置を特定することを法的に許可されていますか? そうでない場合、ユーザーがデバイスを紛失した場合、ユーザーは自分のデバイスを探すのは自分の責任だと認識しているか?
・ITは、従業員がインストールしたすべてのアプリケーションのリストを表示することを法的に許可されているか(業務用か個人用かにかかわらず)?
・従業員のモバイルデバイスが紛失または盗難にあった場合、従業員が解雇された場合、デバイスが譲渡された場合、売却された場合、または破棄された場合、IT部門は従業員のモバイルデバイスの選択的なワイプを発行することができるか?そうでない場合、IT部門は、従業員の個人データを含むモバイルデバイスの完全なワイプを発行することが許可されているか?

セルフサービスツール ヘルプデスクへの電話連絡やITサポートのコストを削減。 以下の提供を検討してください。

・登録ビデオ
・登録方法
・ロールアウト時の対面式「ホワイトグローブ」ヘルプデスクサービス

モバイルセキュリティ – デバイス デバイス上で企業データを保護 以下の実施を検討してください。

・デバイスパスコード
・暗号化(企業データの暗号化)
・モバイルデバイスのOSバージョンがiOS 7.0+およびAndroid 4.0+以上であること
・ジェイルブレーク済み/ルート化されたモバイルデバイス

モバイルセキュリティ – データ損失防止(DLP) 企業データの個人クラウドへの流出を防止します。企業データは、企業のモバイルアプリと企業のクラウド間でのみ共有できるようにします。デバイスを紛失したり盗まれたりした場合、不正なユーザーが会社のデータにアクセスできないようにします。 以下のようなことを考えてみてください。

・ユーザーは、デバイスがEMMに登録されており、最低限のセキュリティ要件を満たしている場合にのみ、モバイルアプリから企業データにアクセスすることができます。
・ユーザーは、社内アプリか一般公開されているアプリかにかかわらず、認可された、管理された、またはラップされたモバイルアプリ上の企業データにのみアクセスできます。これにより、データ共有と選択的ワイプのIT管理が可能になります。
・企業データが管理されているアプリから管理されていないアプリに共有できないようにする。企業データが個人のアプリケーションに保存されることを防止します。
・リスクの高いアプリ App Reputation/App Risk Managementサービスは通常、EMMのアドオンであり、個人アプリがカレンダーや連絡先などの企業データを同期している場合に監視し、セキュリティの強化を提供することができます。
デバイスの紛失や盗難、従業員の解雇、デバイスの譲渡、売却、破棄などがあった場合、選択的ワイプ(モバイルデバイスからすべての企業データを削除すること)を行います。

モバイル・セキュリティ・エンフォースメント 従業員がモバイルセキュリティデバイスおよび/またはアプリ制御ポリシーに準拠していない場合、企業データへのアクセスを防止します。 上記を踏まえて、機器がコンプライアンスを遵守していない場合は、自己研鑽のためのオプションを検討してください。

・メッセージを送る
・電子メールへのアクセスをブロックする
・ネットワークアクセスをブロック
・企業データの選択的ワイプ
・上記のうち1つ以上

ネットワークアクセス方式 輸送中の企業データを保護します。 以下のオプションを検討してみてください。

・セキュアコープWiFi(証明ベースの認証)
・既存のVPN技術またはEMMベンダーのアプリケーショントンネリングを使用して、アプリレベルのVPNを提供します。これは、会社が提供しているアプリで会社のデータを必要とするものだけがVPN接続を開始して使用することを意味します。個人的なアプリは、通常通りにインターネットに接続するだけです。
・アクセスの保護:リモートアクセスの基準は何か – これはアクセスするデータの種類によって異なります。

下記をガイドラインに含める事を検討してみてください

ガイドライン ベストプラクティス
BYODアクセスと登録要件
  • 企業データやネットワークアクセスを得るために、従業員がEMMソリューションをインストールするためのデバイスや役割の要件。例えば、iOS 7.0以上のモバイルデバイスのみが登録を許可されているのか、役割に関係なく全従業員が登録を許可されているのか。
  • 従業員が登録した後に受け取るデータやアクセスについて、従業員はどのようなことを期待できるのでしょうか?
  • デバイスの選択的なワイプおよび/またはデバイスの完全なワイプ/リセットにつながる状況。
  • ユーザーのプライバシーを保護するための対策を含む。
エンドユーザー規約 ・会社の法務部門が作成し、EMM登録時に提示する利用規約。従業員は、登録を完了するために、利用規約に同意しなければなりません。

この契約書には通常以下の内容が含まれています。

・従業員がモバイルデバイスの地理的位置情報を追跡する可能性があること、および会社が従業員のモバイルデバイス上のアプリやデータを認識し、削除することに同意すること。
・従業員または請負業者が会社から離職した場合、会社がモバイルデバイスからすべてのデータを消去する権利 – 可能であれば、デバイス上の個人データを保存するための合理的な試みが行われます。
・会社の監視と保護の権利 – 例えば、会社はモバイルアプリの使用状況、会社の電子メール、および漏洩したデバイス(脱獄済み/ルート化されたもの)を監視します。会社は、違反行為に対して、選択的または完全なモバイルデバイスのワイプ、会社の電子メールやネットワークへのアクセスをブロックすることで対応します。

BYODの経費管理 従業員の無線音声・データプランのどの部分を会社が負担するか、端末代を会社が負担するかどうか

1. 1.毎月の固定俸給(例:キャリアの音声およびデータプランの月額100ドル) 2.従業員の経費報告書に基づく払い戻し(例:キャリアの音声およびデータプランの月額80%までが対象となる

・過剰料金の責任者を含めてください。カリフォルニア州控訴裁判所は、企業は従業員が個人のモバイル機器を使用して業務上の通話をした場合、その通話料を弁償しなければならないとの判決を下しました。
・国際ローミング料金の責任者を含める

従業員のデバイスのセキュリティと利用ポリシー モバイルデバイスの行動規範と基本的なIT サポートの責任者を特定する。

– 従業員が所有するデバイス上の企業データを保護するための合理的な要求。
1. ユーザーは会社の指示に従う責任があり、デバイスにインストールされている EMM やその他のセキュリティソリューションを削除してはならない。
2. 2. ユーザーは、紛失、盗難、廃棄されたデバイスを報告しなければなりません。デバイスが危険にさらされた場合、またはコンプライアンスに違反した場合の結果を従業員に通知する。

ITモバイルセキュリティポリシー 企業データを監視し、保護するために企業が取る行動を明確にする。- 違反行為やコンプライアンスに反するデバイスに対して、IT 部門がどのように対応するかを明確にする。例:データの暗号化が無効化されていたり、デバイスが侵害されている場合、IT部門は社内ネットワークへのアクセス(電子メールを含む)をブロックし、デバイスからすべての企業データを選択的に消去します。

・IT 部門が監視できるアプリやシステムを特定する 例:会社はデータ使用量全体を監視できるが、SMS、個人のブラウジング、ソーシャルネットワーキングアプリケーションは監視できない。

従業員のモバイルアプリガイドライン 承認されたモバイルアプリと承認されていないモバイルアプリのガイドライン。例えば従業員はAppleGoogle、またはEnterprise AppStoreではないサードパーティのAppStoreからモバイルアプリをインストールしてはいけません。

1. 1. アプリをブラックリストに登録している場合は、アプリのリストと、ブラックリストに登録されたアプリをインストールした場合の結果を記載します。

2. 2. リスクの高いアプリを監視している場合は、許容される使用ポリシーを含める。例えば、会社の連絡先を同期しているモバイルアプリは許可されておらず、アンインストールしなければならない。

・従業員が社内アプリや一般公開されているアプリを承認し、Enterprise AppStoreに公開するように要求する方法。

最新のアイデンティティ管理に関するCIOや情シス担当への手引き書

企業のオープン化が進み、境界線がなくなっていく中で、CIOは企業の成長においてますます戦略的な役割を果たす機会を得ています。クラウド、モバイル、ソーシャルにまたがるサービスへの安全で摩擦のない、流動的なアクセスを提供する能力は、新たな収益機会を切り開くことになるでしょう。

現代のアイデンティティは、ユーザーが求める便利なアクセスを提供し、重要なデータやインフラストラクチャを保護するために必要なセキュリティを提供する鍵を握っています。ここでは、今日のCIOが直面している5つの重要なトレンドと、適切なアイデンティティ・インフラストラクチャで対応する能力が、ビジネスの成否を左右するかどうかを探ります。

続きを読む

製造業向けデジタルアイデンティティ(ID管理)ソリューション

はじめに

メーカーとして、多くの新しい課題や優先順位の変化に直面しています。進化しつつあるトレンドや新たなトレンドは、企業の事業運営や事業展開の方法を変えています。これらのトレンドの中でも特に重要なのは、グローバル化です。

「サプライチェーンの強さは、最も弱いリンクの強さに比例する」ということわざをご存知でしょうか。グローバルに分散した製造業では、複雑な関係のネットワークが形成されます。このような複雑な関係は、どこに弱点があるのかを特定することをこれまで以上に困難にしています。前進し続けるしかありませんが、リスクが高まることも否定できません。

これらのリスクは組立ラインに限ったことではありません。グローバリゼーションでは、従業員からパートナー、サプライヤーまで、さまざまなユーザーが業務に必要なリソースやアプリケーションにアクセスできるようにする必要があります。

許可されたユーザーにアクセスを提供することの裏返しは、許可されていないユーザーを締め出すことです。メーカーの知的財産や企業秘密は最も価値のある資産の一つであるため、メーカーの企業は社内外の悪質な行為者の標的となっています。

残念なことに、製造業の成長を後押ししてきたのと同じ進歩が、企業の攻撃対象をより大きくし、セキュリティを確保することをより困難にしているのです。IT 部門は、安全なアクセスを可能にし、関連するリスクを管理すると同時に、効率性を向上させ、生産性を高め、価値を生み出すまでの時間を短縮するための指令を実行することを使命としています。十分に言えば、企業は多くの課題を抱えており、企業全体でコストの増加と非効率性に直面しているかもしれません。

しかし、これらすべてのボールを空中に浮かせておく方法があります。クラウドコンピューティングには希望があります。クラウド・コンピューティングのパワーとスケーラビリティを活用して、ビジネスのあらゆる分野でイノベーションを起こし、コストを削減し、競争力を高めることができます。また、このゲームに参加するために大手企業の一社である必要はありません。

IDaaSがどのように移行を成功させるのに役立つかについては、続きをお読みください。

グローバルに分散した生態系の管理

グローバリゼーションは製造業に多くのメリットをもたらしてきました。人件費の管理、原材料へのアクセスの改善、グローバル化する顧客基盤への対応、新市場への拡大が可能になったことで、トップラインとボトムラインの両方が改善されました。

また、グローバル化は特に IT チームにも課題を提示しています。その中でも特に重要なのは、世界中に散らばる従業員、パートナー、サプライヤーのリソースアクセスを管理することです。さらに合併や買収が加わると、これらの課題の規模と複雑さはさらに複雑になります。

IDaaSのようなIAMソリューションは、適切なユーザーに適切なリソースへの安全なアクセスを可能にします。これらの基本的なことに加えて、インフラストラクチャ、ネットワーク、または施設が世界中どこにあっても、統一されたエンドユーザー体験を提供し、まとまりのあるデジタルエンティティとして運営することができます。

シームレスなグローバルアクセスを可能にする

ビジネスがグローバルに拡大すると、異なるタイプのユーザーだけでなく、異なる地域や慣れないネットワークからのアクセスを管理しなければなりません。同様に、ユーザーがアクセスしようとしているアプリケーションも、さまざまな地域やネットワークに配置されていることがよくあります。

アクセスを許可することは、ほんの始まりに過ぎません。ユーザーが 191 個ものパスワードを管理している可能性があるデジタル時代には 、シングルサインオン(SSO)を有効にすることも必要です。この機能により、ユーザーは、安全な企業の認証情報を使用して一度だけサインオンし、どこからでもすべてのアプリケーションにワンクリックでアクセスすることができるようになります。

グローバルな労働力のためにIAMを活用する

ITのコンシューマ化は新しい概念ではありません。今日の従業員は、今日の消費者でもあります。彼らは、お気に入りの小売店から受け取るのと同じように、雇用主にも同じタイプのユーザー体験を期待しています。

従業員が必要なアプリケーションにアクセスできない場合、その影響はビジネス全体に及びます。効率性の低下、生産性の低下、それに伴うヘルプデスクへの依頼の増加は、例外ではなくルールとなっていることが多いのです。

オンプレミス、クラウド、SaaSのすべてのアプリケーションにシームレスで安全なアクセスを提供することは、第一段階です。自給自足を可能にしてITの負担を管理し、パスワードのスプロールを管理してセキュリティリスクを軽減したい。

IDaaSのSSOソリューションは、その両方を可能にします。従業員にクラウドベースのドックを提供し、どのような場所やデバイスからでもアクセスできるようになります。集中型インターフェイスから管理されるSSOソリューションは、管理されたデバイスからモバイル、クラウド、エンタープライズアプリケーションへの統合されたシングルサインオンを可能にします。多要素認証(MFA)を追加することで、リスクに応じてセキュリティが強化され、従業員が自分の言うとおりの人間であることをより確実にすることができます。

グローバル・サプライチェーン・パートナーのためのIAMの活用

大規模な製造業では、アプリケーションにアクセスする必要がある数万のパートナーやサプライヤーがいる場合があります。これらには、物流や在庫アプリケーション、設計アプリケーション、プロジェクト管理ソフトウェアなどが含まれる場合があります。さらに、これらのパートナーやサプライヤーは、場所、規模、技術力など様々な特性を持っています。

このような多様なユーザー層に安全なアクセスを可能にする柔軟性を提供するIAMソリューションが必要です。IDaaSは、大小のサプライヤーにシームレスなアクセスを付与するためのオプションを提供します。

  • シンプルなクラウド・ディレクトリを活用して、小規模なパートナーやそれほど洗練されていないパートナーにアクセスを提供することができます。
  • 独自のディレクトリを持つパートナーやサプライヤーに対しては、既存のディレクトリをブリッジするか、そのディレクトリに直接接続することができます。

また、パートナーやサプライヤーの従業員のID管理を引き受けることも避けたいものです。パートナーに独自のアイデンティティ管理の責任を与えることで、現在の従業員と権限のある従業員だけがアクセスできることをより確実にすることができ、違反のリスクを最小限に抑えることができます。

IDaaSを使用すると、IDの導入、管理、およびデプロビジョニングをパートナーまたはサプライヤー組織に委任することができます。これにより、ITリソースが解放され、より価値の高い活動に集中できるようになります。

M&Aの統合を促進する

グローバル化は、有機的な成長に限定されるものではありません。多くの場合、企業の合併や買収という形で行われます。しかし、異種ITインフラの合理化と統合は、成長のためのこれらの重要な投資の価値が上がるまでの時間を遅らせる可能性があります。

オープンスタンダード上に構築されたエンタープライズグレードのプラットフォームは、異種のデータソースを単一の認証機関に接続することを簡素化します。すぐに使える統合機能、トークン変換機能、コネクタをサポートしているため、統合を加速させることができ、その結果、合併や買収の価値を高めるまでの時間を短縮することができます。

知的財産と企業秘密の確保

製造業であるあなたは、独自のデータや情報を持っていますが、それはあなたにとって非常に価値のあるものであるだけでなく、攻撃者にとっても魅力的なものです。脅威には、競合他社、日和見的ハッカー、国家や従業員などが含まれます。

アプリケーションや従業員がファイアウォールに拘束されないようになれば、境界線ベースのセキュリティモデルはもはや機能しません。企業セキュリティには、現代的なアプローチが必要です。アイデンティティ中心のセキュリティは、最も価値のある情報を安全に保つのに役立ちます。

境界線を越えた個人のアイデンティティへの移行

知的財産は最も価値のある資産の一つであり、企業の内外を問わず悪質な行為者の格好の標的となります。他国に施設を持ち、多くのネットワークにまたがっている場合は、より大きなリスクにさらされています。グローバル化は全体として、潜在的な攻撃の表面積を増大させています。これは、モバイルワーカーの増加によってさらに深刻化しています。

ボーダレスな世界のセキュリティに対処するためには、境界線を越えてアクセスを求める個人にまで目を向けなければなりません。そのためには、アプローチの微妙な、しかし重要なシフトが必要です。間違った人を締め出すのではなく、正しい人だけが入れるようにするのです。これを実現するためには、アイデンティティに依存します。

アイデンティティで定義されたセキュリティは、個々のユーザーを保護し、適切な人に適切なものへのアクセスを許可することを可能にします。その結果、セキュリティに対するより安全で俊敏なアプローチが可能になり、メーカーが直面している課題に最適なものになります。

IAMで安全なアクセスと認証を可能にする

適切な人に適切なものへのアクセス権を与えることは、微妙なプロセスです。ユーザーが誰であるかを確認し、ユーザーが要求しているアプリケーションへのアクセスを許可されていることを確認する必要があります。サインオンと認証のプロセスを、ユーザーにとって可能な限りシームレスで便利なものにすると同時に、独自のシステムや情報へのアクセス・セキュリティを維持する必要があります。エンタープライズグレードのIAMソリューションは、ユーザー体験と企業の保護の間で適切なバランスを取るのに役立ちます。

IDaaSを使用すると、シングルサインオン(SSO)が可能になるため、ユーザーはアプリケーションやリソースにアクセスするためのログイン認証情報を1セットだけで済むため、攻撃対象を最小限に抑えることができます。リスクベースな多要素認証の機能により、最小限の摩擦とセキュリティの強化で、ユーザーが本人であることを確認することができます。アクセスセキュリティでは、ユーザーが特定のリソースの管理を許可されているかどうかを管理できるように、さらに細かいポリシー制御が可能です。一方、堅牢でスケーラブルなディレクトリソリューションは、IDデータを安全に保存し、転送中、静止時、およびレプリケーション中に暗号化します。

ユーザーを順応的に認証する

リスクベースなあ彫塑認証を使用すると、必要に応じて、トランザクションに関連するリスクに基づいて、追加の認証を要求することができます。信頼できる場所やデバイスからは価値の低いトランザクションを中断することなく実行できる一方で、信頼できないネットワークやデバイスでの価値の高いトランザクションでは追加認証を促すことができます。お客様のビジネスに合わせてカスタマイズされた様々なリスクとコンテキストの要因に依存して、従業員の生産性と企業の安全性を維持することができます。

安全かつ選択的にアクセスを許可する

特定のアプリケーションを設定して、より強力なMFA要件などの追加のセキュリティを追加することもできます。管理者は、グループ、場所、時間、デバイスなどのユーザー属性に基づいてアクセスポリシーをカスタマイズできます。承認されると、リソースへのアクセスが許可されます。このアプローチの利点の中でも特に優れているのは、アプリケーション自体のリスクプロファイルに基づいて、必要に応じてセキュリティ対策を選択的に実施できることです。

すべての段階でデータを保存し、保護します

従業員やパートナーのアイデンティティを保存している場合でも、アイデンティティとプロファイルデータに合わせたディレクトリソリューションを用意することが重要です。多目的データベースレガシーLDAPでは、ID管理に必要な柔軟性、セキュリティ、パフォーマンスが得られない場合があります。これらの不十分さは、パフォーマンスの遅れや停止はもちろんのこと、違反のリスクを高めることになります。

コスト削減と効率化

多くのメーカーのように、市場投入までの時間を短縮し、コストを削減することは、企業にとって大きな利益をもたらす可能性がある、非常にコスト競争の激しい環境で競争しています。バリューチェーンに沿った各セグメントにおいて、価値を生み出すまでの時間を最大化し、運営コストを低く抑えるためには、事業を効率的に運営することが最も重要です。

生産性は、全体的な業務効率のもう一つの重要な部分です。スループットとリードタイムの最適化に加えて、従業員、パートナー、サプライヤーが最適なパフォーマンスを発揮できるようにする必要があります。これには、従業員が仕事をするために必要なリソースにシームレスにアクセスできるようにすることも含まれます。

ビジネスの俊敏性を高めながらコストを削減

製造業の IT 部門では、帯域幅の超過と予算の超過に直面することがよくあります。これをさらに悪化させるために、レガシーITシステムは運用と保守にコストがかかることで知られています。堅苦しいインフラストラクチャに負担をかけていると、変更や改善を実施するための俊敏性や能力が制限されてしまいます。

最新のIAMソリューションは、コストと複雑さを軽減し、結果として敏捷性を向上させることができます。アダプティブMFAを有効にすることで、コストのかかるハードウェア・トークンを排除し、代わりにユーザーのデバイスをセキュアなセカンド・ファクタとして活用することができます。SMSや音声をモバイル通知に置き換えることで、さらにコストを削減できます。

より速く進むためには、今日の課題のために構築されたディレクトリが必要です。開発テンプレートが提供される場合は、変更や新サービスを迅速に実装することができます。最新のアクセス管理は、クラウドへの移行を容易にして敏捷性をさらに高めます。クラウドとレガシーアプリケーションの両方へのアクセスを制御し、ダウンタイムゼロの移行のために双方向同期などの機能を使用することができます。

労働力とパートナーの生産性向上

ユーザーが仕事のリソースにアクセスするために複数のログインに耐えたり、パスワードのリセット要求に振り回されたりすることは避けたいものです。IAMに頼って適切な人が適切なものにアクセスできるようにすれば、このような生産性の低下を招くようなことはありません。

従業員、パートナー、サプライヤーに安全なSSOを提供すると、オンプレミス、クラウド、およびSaaSアプリケーションへの摩擦のないワンクリックアクセスが可能になります。さらに、付箋紙に頼ってすべてを覚えていたり、どこにいても同じパスワードを再利用していたりするような、安全ではないパスワードの習慣の蔓延を緩和することができます。

クラウドとハイブリッドITデプロイメントによる近代化

一部の業界では、オンプレミスのインフラ、アプリ、データをクラウドに移行することを急いでいる。しかし、最も成功したクラウド移行であっても、一般的には移行期間が必要になります。この種のハイブリッド環境では、企業は既存のオンプレミスのリソースを管理しながら、新しいクラウド・アプリケーションを活用することができます。

製造業は物理的な世界に縛られているため、常に片足を地面に、より正確にはオンプレミスに置いておくことになる。この場合のハイブリッド展開は、恒久的または長期的なソリューションとなります。バックエンドのリソースがどこにあるかに関係なく、ユーザーにシームレスなフロントエンド体験を提供するために、IAMプラットフォームを使用することができます。これは、通常通りのビジネスを維持し、ユーザーへの影響を最小限に抑えることができる、両極端のシナリオです。

IDaaSは、ハイブリッド環境に合わせてIAMの実装をカスタマイズできる柔軟性を提供します。クラウドサービスにより、SAMLOpenID ConnectなどのIAM標準にSaaSアプリケーションを迅速に接続することができ、一方でアイデンティティブリッジを展開してレガシーウェブアプリケーションとエンタープライズウェブアプリケーションを迅速に接続することができます。約100種類のコネクタと統合キットを使用して、ユーザーに安全なアクセスを迅速に提供することができます。

最後に、IDaaSではIAMを自在に管理することができます。当社のIAMサービスは、オンプレミス、マルチテナントIDaaS、シングルテナントのプライベートクラウドとマネージドサービス、またはハイブリッドITの組み合わせとして展開することができます。一貫した管理ツールとトレーニングを維持しながら、将来のニーズにも対応することができます。

結論

製造業はグローバルなビジネスとなっています。これは業界に多くのメリットをもたらしていますが、同時に多くの課題も生み出しています。

賭け事が大きくなるにつれ、研究開発への投資は競争優位性の重要な原動力となってきました。敏捷性と革新性を受け入れるメーカーにとって、可能性は事実上無限大です。しかし、このような機会にはリスクも伴います。知的財産や企業秘密がより洗練されてくると、攻撃者にとっても魅力的なものになってきます。

強固なセキュリティ姿勢を維持しながら、適応するか死ぬかの圧力に対応することは、些細な作業ではありません。IDaaSは、お客様が直面するユニークな課題に対応することを可能にします。

  • 従業員の生産性を高める
  • 従業員、パートナー、サプライヤーがリソースに安全にアクセスできるようにする
  • ITセキュリティとパフォーマンスを向上させ、フットプリントと運用コストを削減します。
  • リスクを管理し、多様なビジネスモデルをサポート

境界型セキュリティ:VPNリンクでファイアウォールを構築

VPNの説明とメリット

仮想プライベート・ネットワーク(VPN)は、企業のプライベート・イントラネットをインターネットなどのパブリック・ネットワークを介して拡張し、本質的にプライベートな「トンネル」を介して安全なプライベート接続を作成します。VPN は、インターネットを介して情報を安全に伝達し、リモート・ユーザー、支社、ビジネス・パートナー/サプライヤーを拡張された企業ネットワークに接続します。インターネット・サービス・プロバイダ (ISP) は、インターネットへの費用対効果の高いアクセスを提供します (直通回線または市内の電話番号を介して)。これにより、企業は現在の高価な専用線や長距離電話、フリーダイヤルの電話番号を不要にすることができます。1997年のVPN調査レポートでは、リモートサイトへの専用線をVPNに置き換えることで、ワイドエリアネットワーク(WAN)のコストを20%から47%まで削減できると推定しています。また、リモート・アクセスVPNの場合、企業のリモート・アクセス・ダイヤルアップ・コストの 60 パーセントから 80 パーセントの節約になる可能性があります。さらに、他の接続方法では利用できないような場所でも、世界中でインターネット・アクセスが利用できます。

しかし、これらの仮想プライベートネットワークを実装するための技術は、標準化されつつあります。今日のネットワーキング・ベンダーの中には、規格に基づかない VPNソリューションを提供しているものもあり、企業がすべての従業員やビジネス・パートナー、サプライヤーを拡張された企業ネットワークに組み込むことを困難にしています。しかし、IETF(Internet Engineering Task Force)標準に基づいたVPNソリューションは、より多くの相互運用性と拡張機能を備えた、あらゆるVPNシナリオをサポートします。

VPNの価値を最大化する鍵は、企業がビジネスニーズの変化に応じてVPNを進化させ、将来のTCP/IP技術に簡単にアップグレードできることです。ハードウェアおよびソフトウェアVPN製品を幅広くサポートしているベンダーは、これらの要件を満たすための柔軟性を提供しています。今日のVPNソリューションは主にIPv4環境で動作していますが、ビジネスパートナーやサプライヤーのVPNソリューションとの相互運用性を維持するためには、IPv6へのアップグレードが可能であることが重要です。おそらく同様に重要なのは、VPNを導入する際の問題点を理解しているベンダーと連携する能力です。成功するVPNの実装には、技術だけではありません。ベンダーのネットワーキングの経験は、この方程式に大きく影響します。

VPNソリューションの導入により、お客様はイントラネットのアクセス範囲を安全かつコスト効率よく拡張することができます。企業は、地理的に分散した場所間で通信する必要があり、製造業者やサプライヤーは共有データベースにアクセスする必要があり、リモート・ユーザーは企業のイントラネット内のアプリケーションやサーバーにアクセスする必要があります。VPNソリューションは、これらすべてのシナリオやその他多くのシナリオを、専用のプライベート・ラインで実行しているのと同じように安全にサポートします。

個々の企業が異なるレベルのセキュリティ強度と管理制御を必要としていることを認識しています。当社の VPN ソリューションは、必要に応じて、安全性を確保したり、柔軟性を確保したりするようにカスタマイズすることができます。重要なのは、お客様の企業のニーズ(現在および将来のニーズ)を満たすためにVPNソリューションを提供し、お客様のビジネスのニーズに適したVPNソリューションを設計して展開するために必要なすべての製品とサービスを提供することです。

セキュリティ

オープンな IETF 標準のセキュリティ技術であるIPSecをVPN ソリューションに不可欠な要素として使用しています。IPSecは、通信スタックの IP 層ですべてのデータを暗号化ベースで保護します。IPSecは、既存のアプリケーションに変更を加えることなく、透過的に安全な通信を提供します。IPSecは、IPv4IPv6の両方の環境で使用するためのIETFが選んだ業界標準のネットワークセキュリティフレームワークです。

IPSecは、堅牢な暗号技術を用いて3つの方法でデータトラフィックを保護します。

  • 認証:ホストまたはエンドポイントの身元が確認されるプロセス
  • 完全性チェック:ネットワーク上を移動中にデータに変更が加えられていないことを確認するプロセス
  • 暗号化:プライバシーを確保するために、ネットワーク上を移動中に情報を「隠す」プロセス

さらに、以下で説明するように、IPSecは、すべての主要なVPNビジネスシナリオのセキュリティ要件に対応することができ、VPNの拡張とセキュリティ要件の変更をカバーする成長経路を提供します。1997年、IETFセキュリティワーキンググループは、鍵配布プロトコル(オークリー)と組み合わせた自動化されたインターネットセキュリティアソシエーションおよび鍵管理プロトコル(ISAKMP)機能を提供するIPSec拡張の初期作業を完了しました。このソリューションには、必要な保護度を達成するためにセキュリティアソシエーションをネゴシエートするメカニズム(自動化されたトンネル設定を可能にする)と、強力な暗号鍵の自動化された安全な配布と更新のメカニズムの両方が含まれています。

1998年4月のIETF 会議で、IPSecワーキンググループは、基本的な IPSec文書のすべてを「提案された標準」に進めることに合意しました。IPSec の基本機能 (認証、暗号化、完全性、鍵管理、セキュリティアソシエーション管理) についての作業を完了した IPSec ワーキンググループは、現在、基本セットを補完するための新しいプロトコルの開発に注意を向けることになります。例えば、VPNポリシーデータベース、ISAKMP/Oakley と併用するための拡張認証方法、複数の認証局間での相互運用性など、使いやすさの問題を検討します。

IPSec は、通信スタックの他のレイヤーに既に存在するセキュリティ・プロトコルと組み合わせて使用することもできます。現在、セキュア電子トランザクション・プロトコル (SET)、セキュア・ソケット・レイヤー (SSL)、および IPSec ベースの VPN ソリューションに組み込むことができる他のさまざまなセキュリティ技術をサポートしています。SET などのオブジェクト・レイヤー・セキュリティを使用してインターネット上の電子決済トランザクションを保護し、SSL 技術を使用して特定のアプリケーションを保護することができます。しかし、SSL などのアプリケーションレベルのセキュリティが実装されているかどうかに関わらず、IPSec は認証済みで暗号化されたトンネルを提供し、お客様のすべての IP トラフィックを保護することができます。

IPSec は、リモートアクセスのダイヤルアップ構成で使用されるレイヤ 2 トンネリングプロトコル (L2TP) のような他のトンネリングプロトコルと組み合わせて、堅牢なセキュリティを提供することもできます。L2TPはIETFの標準規格でもあり、PPPを使用してクライアントからダイヤルアップ接続を確立する機能を持っています。また、L2TPは、NetBIOSのようなマルチプロトコルのトラフィックを運ぶために使用することができます。しかし、L2TPは強力なセキュリティ特性を欠いている。そこで、「Securing L2TP using IPSEC」と題された1998年3月のIETF草案では、トンネル認証、プライバシー保護、完全性チェック、リプレイ保護を提供するために、L2TPがIPSecをどのように利用できるかが議論されています。IPSec をL2TP と組み合わせて使用すると、暗号的に強力なアクセス制御が提供されます。IPSecは、送信される各パケットに対して認証、完全性チェック、暗号化を提供します。また、自動化されたキー管理機能も提供し、ターゲット・サーバーに至るまでデータを保護することができます。ここでは、VPNソリューションの実装に適した 3 つのビジネス・シナリオを見ていきます。

取引先・仕入先ネットワーク

業界をリードする企業は、取引先、子会社、ベンダーと安価かつ安全に通信できる企業となる。多くの企業は、このような通信を実現するために、フレームリレーの導入や専用線の購入を選択しています。しかし、これにはコストがかかることが多く、地理的な範囲が限られている場合があります。VPN技術は、インターネットやその他の公共ネットワークを利用して、世界中をカバーするプライベートで費用対効果の高い拡張企業ネットワークを構築するための代替手段を提供します。

あなたがメーカーへの主要な部品サプライヤーであるとします。それはあなたが製造会社によって必要とされる正確な時間に特定の部品と量を持っていることが重要であるため、あなたは常にメーカーの在庫状況と生産スケジュールを認識する必要があります。おそらく、あなたは今日、手動でこの相互作用を処理しており、それは時間がかかる高価な、そして多分不正確であることが判明している。もっと簡単に、より速く、より効果的なコミュニケーションの方法を見つけたいと思っています。しかし、この情報の機密性と時間的な機密性を考えると、メーカーはこのデータを企業のウェブページで公開したり、外部レポートで毎月配布したりすることを望んでいません。

これらの問題を解決するために、部品サプライヤとメーカーは、VPNを実装することができます。VPNは、部品サプライヤのイントラネット内にあるクライアントのワークステーション間で、直接メーカーのイントラネット内に存在するサーバーに構築することができます。クライアントは、メーカーのイントラネットを保護するファイアウォールに対して、メーカーのサーバーに対して直接認証を行うことができます(「彼らは彼らが言っている通りの人物である」ということを確認する)、またはセキュリティポリシーに応じてその両方に対して認証を行うことができます。その後、トンネルが確立され、クライアントからインターネットを経由して必要なサーバへのすべてのデータパケットを暗号化することができます。

このVPNの確立により、部品サプライヤーは、昼夜を問わずいつでもメーカーの在庫計画や生産スケジュールへのグローバルなオンラインアクセスが可能となり、手作業によるミスを最小限に抑え、このコミュニケーションのための追加リソースの必要性を排除することができます。さらに、メーカーは、データが安全かつ容易に利用できるのは、意図された部品サプライヤーのみであることを保証することができます。

このシナリオを実現する方法の一つは、企業がISPからインターネット・アクセスを購入することである。そして、インターネットのセキュリティが不十分であることを考慮して、イントラネットを侵入者から保護するために、ファイアウォール機能を備えたサーバーを必要に応じて導入することができます。エンド・ツー・エンドの保護が必要な場合は、クライアント・マシンとサーバー・マシンの両方を IPSec 対応にする必要があります。

この VPN 技術を導入することで、メーカーは、既存の企業イントラネットの範囲を拡張して、1 つ以上の部品サプライヤーを含めることが簡単にでき、本質的に拡張された企業ネットワークを構築しながら、インターネットをバックボーンとして使用することで費用対効果の高い利点を享受することができます。また、オープン IPSec 技術の柔軟性により、このメーカーはより多くの外部サプライヤーを取り込むことができます。

しかし、ネットワークの拡張には管理性の問題がつきものです。ネットワークを維持しやすくするためのツールを実装する必要があります。VPNソリューションに含まれる管理機能には、ポリシー管理、自動化された ISAKMP/Oakley 鍵管理機能、証明書管理、セキュアなドメイン・ネーム・サーバ (DNS) および LDAP (Lightweight Directory Access Protocol) のサポートがあります。VPNを実装する際には、一連のセキュリティ構成基準を確立する必要があります。IPSec 対応の各ボックスでどのセキュリティアルゴリズムを使用するか、鍵をいつ更新するかは、ポリシー管理のすべての側面で決定されます。また、「鍵」技術に関しては、現在普及しているセキュリティプロトコルのほとんどすべてが公開鍵暗号方式を使用しています。各ユーザには一意の公開鍵が割り当てられます。デジタル署名の形をした証明書は、自分の身元と暗号化キーの真正性を検証します。これらの証明書は、セキュアドメインネームサーバ(セキュアDNS)などの公開鍵データベースに保存され、軽量ディレクトリアクセスプロトコル(LDAP)などの単純なプロトコルを介してアクセスすることができます。

これらすべての VPN管理ツールを、お客様の既存および将来のネットワーク環境のニーズに合わせて簡単に導入できる eNetwork VPN ソリューションに組み込んでいきます。ネットワーキングおよびセキュリティの専門家との相談により、お客様の企業のニーズに最も適した VPN ソリューションを確立することができます。もっとも、昨今ではゼロトラストネットワークアーキテクチャを用いる事で、VPNを無くすというアプローチも広まっているので、VPNを中心にただしそれに留まらず様々なサービスを検討するのが良いでしょう。

拠点間接続ネットワーク

支店シナリオは、ビジネス・パートナー/サプライヤー・ネットワーク・シナリオとは異なり、組織内の信頼できる2つのイントラネットを安全に接続します。この点が重要な違いで、セキュリティの焦点は、外部からの侵入者から会社のイントラネットを保護することと、会社のデータが公共のインターネット上を流れる間に安全を確保することの両方にあるからです。これは、ビジネス・パートナー/サプライヤー・ネットワークとは異なり、ビジネス・パートナー/サプライヤーが企業のイントラネット内のデータにアクセスできるようにすることに重点が置かれています。

例えば、ある企業の本社が、自社の支店との通信や支店間の通信で発生するコストを最小限に抑えたいと考えているとします。現在は、フレームリレーや専用線を使用しているかもしれませんが、より安価で、より安全で、グローバルにアクセス可能な、社内の機密データを送信するための他のオプションを検討したいと考えています。インターネットを利用することで、支店間接続VPNを簡単に構築することができ、企業のニーズを満たすことができます。

本社と支店間の VPN 接続を実装する方法の 1 つは、企業がISPからインターネット・アクセスを購入することです。ファイアウォール(ファイアウォール機能を統合したルーター)を各イントラネットの境界に設置して、インターネット・ハッカーから企業のトラフィックを保護します。このシナリオでは、IPSec 対応のファイアウォール(またはルーター)が必要なデータパケットの認証と暗号化を提供するため、クライアントとサーバーは IPSec テクノロジーをサポートする必要がありません。このアプローチでは、インベントリと価格情報は、ファイアウォールが潜在的な攻撃者へのアクセスを拒否することで、信頼されていないインターネット・ユーザーから隠されることになります。また、前述のVPNビジネス・パートナー/サプライヤー・ネットワーク・シナリオで説明したように、VPN管理機能を使用して、VPN支社接続ネットワークを管理することもできます。

支店接続VPNを構築することで、企業本社は、ローカルな場所にあっても、数マイル離れた場所にあっても、支店と安全かつコスト効率よく通信することができるようになります。また、VPN技術により、各支店は既存のイントラネットを拡張して他の支店のイントラネットを取り込むことができ、拡張された企業全体のネットワークを構築することができます。また、ビジネス・パートナー/サプライヤー・ネットワークのシナリオと同様に、この企業は、新たに作成された環境を、ビジネス・パートナー、サプライヤー、リモート・ユーザーにも簡単に拡張することができます(オープンな IPSec 技術を使用しています)。

リモートアクセスネットワーク

リモートユーザーは、自宅でも外出先でも、会社のイントラネットに戻って安全かつ費用対効果の高い通信ができることを望んでいます。多くの人が高価な長距離電話やフリーダイヤルの電話番号を使用していますが、インターネットを利用することで、このコストを大幅に削減することができます。例えば、自宅や外出先で、イントラネット内のサーバーに機密ファイルが必要になったとします。ISPへのダイアルイン接続という形でインターネットアクセスを取得することで、イントラネット内のサーバーと通信し、必要なファイルにアクセスすることができます。

このシナリオを実装する方法の 1 つは、VPN IPSec対応のリモートクライアントとファイアウォールを使用することです。クライアントは、ISPへのダイヤルアップ経由でインターネットにアクセスし、イントラネットの境界にあるファイアウォールとの間で認証された暗号化されたトンネルを確立します。リモートクライアントとファイアウォールの間に IPSec認証を適用することで、不要な悪意のあるIPパケットからイントラネットを保護することができます。また、リモートホストとファイアウォール間を流れるトラフィックを暗号化することで、部外者による情報の盗聴を防ぐことができます。

要約

VPNソリューションは、お客様の IT 資産をウェブ・テクノロジーにリンクして、安全なビジネス・ソリューションを構築できる機能を提供します。VPNソリューションの実装により、ネットワーク、アプリケーション、およびデータの到達範囲をコスト効率よく拡張することができます。ビジネス・パートナーやサプライヤー、リモート・ブランチ・オフィス、リモート・ユーザーを簡単に取り込むことができます。コミュニケーションの改善とビジネス・プロセスの強化を可能にします。高価な専用線、ダイヤルアップ回線、またはフリーダイヤル電話番号の代わりに、インターネットまたはその他のパブリック・ネットワークを利用し、VPN管理機能を使用してVPNのメンテナンス・コストを最小限に抑えることで、ビジネス・コストを削減することができます。

ゼロトラスト:BeyondCorpのパートナーを見つける方法

GoogleのBeyondCorpをゼロトラストの代表的な提唱者として、人々は長い変容の旅に出ることなく、どうやってそこにたどり着くのかを常に問いかけに来ます。純粋にGoogleのレンズを通してBeyondCorpを見ると、それは困難で手の届かないものに見えるかもしれません。しかし、良いニュースは、そこに到達するためには、Googleである必要はなく、Googleの規模で運営する必要もないということです。特定のセキュリティベンダーのコアミッションとして、このような複雑な分散システムの構築や運用に苦労することなく、同じ成果を企業に提供することを掲げています。

BeyondCorpの前提になるゼロトラストの原理・原則。貴重な資料を今だけ無料でプレゼント!

ゼロトラストとは

ゼロトラストとは、Forrester Research社が2010年に提唱した考え方で、“社内(ネットワーク内)は安全である”という前提に、境界を守るやり方では守れなくなった現状を踏まえ、「すべてのトラフィックを信頼しないことを前提とし、検査、ログ取得を行う」という【性悪説】のアプローチです。

ゼロトラストが注目される背景

今まではファイアウォールやIPS/IDSなどでネットワークの境界を監視するというセキュリティが主流でした。しかし、昨今は境界を監視するセキュリティ対策では不十分であるとされ、「ゼロトラスト」という考え方が注目されるようになったのです。その背景としては以下が挙げられます。

企業のクラウドサービス利用が増加

総務省の調査(*1)によると、企業におけるクラウドサービスの利用は年々増加しており、2018年度においては約6割の企業でクラウドサービスが利用されています。さらに、多くの企業でクラウドサービスの効果が実感されていることから、今後もクラウドサービスの利用は増え続けると考えられます。クラウドサービスを利用するということは、データの保管場所は外部のサーバとなるため、企業内部と外部の境界は曖昧となります。

働き方改革によるテレワークの増加

働き方改革については、2019年4月1日より働き方改革関連法案の一部が施行され、大企業はもちろん、中小企業にとっても重要な課題となっています。働き方改革の施策のひとつとして挙げられるのが、「テレワーク」です。テレワークでは会社のPCを持ち出したり、自宅やサテライトオフィスのPCを利用したりして、社内のネットワークに接続します。これにより、端末が企業内部と外部の境目を行き来することになるため、境界での監視が困難になるのです。
テレワークの利用率は増加傾向にあります。さらに、近年の感染症の流行を鑑みると、テレワークの利用は更に増えていくことになるでしょう。

より詳しく最新のゼロトラストが必要な背景が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

内部不正による情報漏えいの増加

近年、外部からのサイバー攻撃だけではなく、内部不正による情報漏えいも後を絶ちません。「内部不正による情報漏えい」が、企業における脅威となっています。境界内部の社内ネットワークが安全であると言い切ることはできないのです。

ゼロトラストのメリット

ゼロトラストは従来の境界型セキュリティというネットワークの境界だけを防御するセキュリティ対策を不十分とした事で提唱されている考えです。ゼロトラストネットワークはクラウドネットワークが普及された近代の情報社会に適応するため、境界が曖昧な環境下においても有効に効果を発揮します。ゼロトラストは、クラウドネットワークと社内環境の両方に対し、境界を設けずにセキュリティを設計できます。また、ネットワークへのアクセスを最小限の範囲に規制する事で、必要な人にのみアクセスの権限を与えるようになります。このゼロトラストは非常にシンプルな仕組みでありながら従来よりも情報セキュリティへの脅威により強固なセキュリティ環境に移行することが可能となります。クラウド化をセキュリティが不安という理由で導入を後ろ倒しにしている企業も、このような不安は払拭することができるでしょう。情報セキュリティ担当者にとっても管理の負担が軽減されることも考えられます。従来のIPアドレス制限やVPNの複雑な設定から解放され、情報セキリュティの脅威に対してシンプルかつ強固な環境を構築できるとともに、ゼロトラストによる管理の自動化を図ることで業務の円滑化を図ることができます。

ゼロトラスト製品の運用

ゼロトラスト製品のインフラストラクチャチームの中心的な任務は、運用を管理し、自動化されたツールを実装することで、開発者がより効果的に仕事をこなせるようにすることです。従来のセキュリティ管理はこのミッションに逆効果になることが多いため、チームは安全な生産性を実現するために、より近代的なクラウドネイティブの方法を模索してきました。
そのため、チームは安全な生産性を実現するために、より近代的なクラウドネイティブな方法を模索してきました。その中でも特に目立っていたのが、従来の企業VPNです。エンジニアリング・チームが、社内の誰もが使えるように強力なツールを開発したとしますが、それには VPN が必要なため、それを利用できないとします。これは多くの企業が直面している状況であり、時にはそれに気づかずに直面していることもありますが、ゼロトラスト製品はそれを解決しようとしています。ゼロトラストネットワークアーキテクチャを用いる事で、VPNを無くすことができます。そして多くの方が「私たちはこの状況を脱して、VPN を使わなくても誰もがツールを使えるようにする方法を探しています。GoogleのBeyondCorpを見て、私たちにとって非常に魅力的に見えました。」というでしょう。

そのため、チームは安全な生産性を実現するために、より近代的なクラウドネイティブな方法を模索してきました。その中でも特に目立っていたのが、従来の企業VPNです。エンジニアリング・チームが、社内の誰もが使えるように強力なツールを開発したとしますが、それには VPN が必要なため、それを利用できないとします。これは多くの企業が直面している状況であり、時にはそれに気づかずに直面していることもありますが、ゼロトラスト製品はそれを解決しようとしています。ゼロトラストネットワークアーキテクチャを用いる事で、VPNを無くすことができます。そして多くの方が「私たちはこの状況を脱して、VPN を使わなくても誰もがツールを使えるようにする方法を探しています。GoogleのBeyondCorpを見て、私たちにとって非常に魅力的に見えました。」というでしょう。

より詳しい内容はホワイトペーパーでまとめております。今だけ無料で公開しています。

BeyondCorpとは

Google社でも新型コロナウイルスの影響でリモートワークの実施をしています。従来の働き方と違い、実施している企業の中では様々な課題や諸問題が発生していることも事実です。しかし、Google社ではリモートワークを実施する際にBeyondCorp Remote Accessを利用することで業務を遂行している。該当セキュリティの利用で現段階では業務に障害が生じることもないそう。そんなBeyond Corpとはどんなセキュリティ対策なのでしょうか?以下からはGoogle社において使用されているシステムを紹介していきます。

Beyond Corpの概要

GoogleがVPNの代わりに使用している、認証・認可のシステムのことです。
人・デバイス・ネットワークなどを基に社内システムへのアクセス制御を行い、ホテルやカフェなどから、Google社内システムへのアクセスができるようになっています。
BeyondCorp は、Google でのゼロトラスト ネットワークの構築を基に設計されたゼロトラスト セキュリティ モデルを Google が実装したものです。アクセス制御地点をネットワークの境界から個々のユーザーやデバイスに移すことで、従来のように VPN を介さなくても従業員や契約業者などのユーザーがほぼどこからでもより安全に働けるようになります。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

BeyondCorpへの最も実現可能な道は、ユースケースやプロトコルを選択して小規模にスタートし、アーキテクチャやワークフローが実証された後、さらに拡大していくことです。特定のセキュリティベンダーを用いてこの道を歩み始めた企業は、ゼロトラスト製品というプラットフォームで、世界の集合的なインテリジェンスを検索、分析、可視化し、戦略的な質問への回答に役立てることができます。これを実現するために、彼らは多くの多様な社内ツールやサービスを構築しており、従業員が仕事をこなすためには安全にアクセスする必要があります。開発者のエンパワーメントとは、道を切り開くことを意味します。

ゼロトラスト製品のインフラストラクチャチームの中心的な任務は、運用を管理し、自動化されたツールを実装することで、開発者がより効果的に仕事をこなせるようにすることです。従来のセキュリティ管理はこのミッションに逆効果になることが多いため、チームは安全な生産性を実現するために、より近代的なクラウドネイティブの方法を模索してきました。

Google cloudとは

Beyond Corpを導入するにあたり、Google cloudの採用が前提となります。Google  cloud Platformとも言われ、Google社が提供するクラウドサービスとなります。従量は一定以上に達すると課金する事で使用量を増やす事ができますが、基本は無料で使用する事ができるサービスです。尚、使用するにあたり、Googleアカウントが必要となります。非常にメリットに優れていて、このシステムは数あるクラウドサービスプロバイダーの中でもセキュリティと機能に評価があります。安定したネットワーク環境を提供していて、アクセスの急な増加など、あらゆる課題をクリアし耐える事ができます。Google社が独自のネットワークを全世界の各至る所に張り巡らせ、ネットワークの安定性だけではなく、スピードにおいて一定の評価を得ています。AI分野のサービスもいち早く取り入れ、Googleによる最先端の高機能な学習機能を使いデータの解析が可能となります。セキュリティに対策もかなり高度に対策されているのも特徴です。第三者認証であるFIPS140-2を取得しています。価格もかなり良心的な設定になっています。先述した通り、基本は無料での使用が可能です。従量課金制であるため、使った分、必要な分のみにコストがかかります。低コストでの仕様であるため、導入にためらいがある人でも始めやすいサービスになります。唯一の欠点を挙げるとしたら、日本語対応が遅れているので、英語に慣れていないひとにとっては操作性に不便を感じるかもしれません。

Google  cloud におけるセキュリティ

先述した通り、第三者機関によってセキュリティサービスに高い評価と信頼を得ているGoogle  cloudですが、どういったセキュリティシステムを担っているのでしょうか。Googleは4つのポリシーを念頭にセキュリティサービスをセキュアに保っています。

  • 信頼できるインフラ
  • アイデンティティとアクセス管理
  • インテリジェントな脅威検出
  • プライバシー、データ保護とGRC

この4つを掲げています。

Google はATLS(Application Layer Transport Security)のシステムを利用しGoogle  cloudで保存されているデータを基本的には全て暗号化しています。そのため、Google内の通信を何らかの方法で不正に閲覧したとしても、暗号化により情報が閲覧できることはありません。この構造は、ファイルごとに細かく分類し、その細かく分類されたごとに暗号キーで管理する仕組みになっています。

こう言ったように、Google  cloudの独自のセキュリティ対策で、様々な脅威にアプローチし対策を行うシステムが多数存在します。以下で、いくつか紹介しますのでぜひ参考にしてみてください。

Cloud Armor

クラウドサービスにおける主要なセキュリティとなります。このCloud Armor というサービスを使って、SQLi や XSS からの脅威を防御し、DDoS の対策やIP のホワイトリストとブラックリスト化、アクセスルールなどを設定することで、セキュリティ環境を安全に保つ事が実現できます。

 VPC Service Control

クラウドでは API 経由でのアクセスが基本です。このVPC Service Control を使うことにより、認証されているユーザーであっても、定められた外部のスポットからはアクセスできないようにすることができます。これは内部に潜む悪意のあるユーザーの脅威対策として効果を有します。

Identity and Access Management (IAM) 

特定のリソースに対してのアクションの実行を、承認を受けたユーザーのみが実行できるシステムです。具体的にいうと、誰が、どういう操作を、何に対して、どういう条件で操作できるのかを具体的に指定します。これには監査機能も搭載され、複雑化している企業の組織システムでも容易に管理する事が可能となります。

Cloud HSM

先述した、暗号キーというワードとも関連しますが、こちらはユーザー自身で暗号キーを管理したいという要望に合わせて提供されたサービスです。Google Cloud場で Cloud Key Management という暗号鍵を管理するシステムになります。Cloud HSM はより高いセキュリティを要望する顧客向けのサービスとなり、セキュリティ基準の高い暗号キーの管理が可能となります。

Beyond Corpの仕組み

まず念頭に置いておきたいのが、Byond Corpという実装機能があるのではなく、Beyond Corpを実現するためにGoogle社で提供しているシステムのうち、どの機能を実装することで実現が可能かということです。BeyondCorp Remote Accessもまた、実装する機能のことではなく、複数のセキュリティシステムを利用することで可能となるセキュリティ対策のことです。セキュリティシステムとは、先述したGoogle  cloudのセキュリティシステムを指します。

BeyondCorp Remote Accessは、高度な認証機能が付与されています。オンプレミスやクラウドにあるWebアプリケーションが、VPNを使わなくてもプロキシーに接続するだけで利用が可能になります。アプリケーションの利用の可否はプロキシーで細かく制御することも可能となります。

実際にGoogle社においても、Google社のクラウド機能を使い、社内ネットワークにアクセスするさまざまなユーザーに対し、アクセスの認証を行っています。また、ポリシーも一貫して管理されています。例えば、自宅からPCで仕事をする場合、最新バージョンのOSを使っている場合のみなどといったアクセス制限、タイムカードアプリにはすべての従業員がさまざまなデバイスや場所から安全にアクセスする必要があるなど、規定があります。

Beyond Corpを企業で導入するにはChromeブラウザに専用のエクステンションを組み込まないと利用はできません。ちなみに、Google社では社員が日常的に使用する端末としてChrome Bookが採用されています。Chromebookには端末上に個人設定や個人ファイルを保存しないで利用するように設計された端末になります。Google社の社員が使用する社内アプリケーションは、Chromeブラウザからアクセスするクラウドサービスになっており、一般的な業務利用のファイルは、Googleドライブに保存されています。先述した通り、BeyondCorpを導入するにはChromeが組み込まれている事が前提なので、これに対応した端末であれば、任意の端末から、クラウド上の自分の環境にアクセスして業務を行うことができます。しかし、ゼロトラストの理念を採用している仕組みですので簡単にはアクセスは不可です。社内アプリケーションに接続する際の認証などは、Access Proxyによるシングルサインオンと呼ばれるものが必要となります。

Beyond Corpを導入するメリット

ここではBeyondCorpを採用することのメリットを複数分けてご紹介します。

生産性を維持することが可能

世界に点在するGoogle各社のどこからでも、任意のデバイスを使って社内用ウェブアプリに即座にアクセスできます。また簡単に操作が可能です。企業内の社員だけではなく、パートナー企業などの担当者も利用することで業務をスムーズに行うことができます。

管理の維持が簡略化

ユーザーの ID や使用状況(デバイスのセキュリティ ステータスや場所など)に基づいてアプリケーションごとにアクセス制御を適用することができます。

導入が簡単

オンプレミスへのテクノロジー導入が不要でBeyond Corpを利用できます。従来はVPN導入に数ヶ月を要していましたが、わずか数日でセキュリティ対策が可能となり、世界中のどこからでも社内アプリケーションにアクセスすることができます。

既存の環境も維持が可能

既存のネットワークアーキテクチャや、セキュリティ管理、アプリケーション構成にほとんど変更を加える必要はあります。オンプレミスや Google社以外のクラウドなどでも、社内用ウェブアプリが現在ホストされている場所でそのまま利用を継続できます。

コストの削減

従来のシステム管理よりも、クラウドの導入によるメンテナンス、インフラストラクチャ管理などの手間が軽減されることが可能になります。ライセンスもシンプルになるため、コストの削減が期待されるとともに業務負担の軽減につながることも可能となります。

ゼロトラスト・ベンダーによる最小特権アクセス

VPNを排除するということは、アクセス制御を排除するということではなく、ゼロトラストをどう実現するのかということです。最近のクラウド移行の一環として、環境の分離を強化することが最優先事項でした。「私たちは、明示的に許可を与えない限り、何も他の何ものとも通信できないようにしています」と言います。”つまり、サーバーレベルに至るまで、誰かにサーバーへのアクセスを許可できないようにしていますが、その理由やアクセスログがあり、何をしていたのかを把握しています。

チームは、複数のアカウント、複数のVPC、複数のセキュリティグループを使用して、弾力性のあるAWS環境を設計しました。真の防御深さでは、セキュリティグループの上にファイアウォールを設置しています。インフラリソースの緊密な分離は、特定のセキュリティベンダーの機能に裏打ちされたアクセス管理レイヤーによって補完されています。このクラウドネイティブアーキテクチャは、アクセス制御をどこに配置するか、ネットワークがどのような役割を果たしているかを認識し、インフラチームとして成熟していることを物語っています。「企業としての年齢が少し上がったので、セキュリティと安全性に関しては少し賢明な判断ができるようになりました。」

優れたゼロトラスト用製品を使用することで、ゼロトラスト製品の開発者やデータサイエンティストは、クレデンシャル管理の必要性を完全に排除した合理化された環境を通じて、必要なときだけSSHで特定のサーバーにログインできるようになりました。「バックエンドのグループに入ってSSHアクセスを許可するだけで、非常に便利です。バックエンドのグループに入り、SSHアクセスを許可するだけで、必要な作業を行い、グループから削除することができます。すべてが監査され、管理が非常に簡単です」

インフラストラクチャチームは、各AWSアカウントの前にいくつかの強固なBastionホストを配置し、SSHアクセスを管理しています。「開発者が必要とするのは、実際に開発を行っている開発スタックへのアクセスだけであり、必ずしも王国への鍵が全てあるわけではありません」セキュリティプロパティがワークフローに組み込まれているため、ユーザーにとってはシームレスで、作業を妨げることなく安全な環境を提供することができます。

BeyondCorpへの道

クラウド移行プロセスを経たばかりの企業では、全く新しい変革的なプロセスをゼロから始めるという発想は、特に魅力的なものではありません。現実的なアプローチを取り、特定のユースケース、つまりサーバーへの特権アクセスから始めました。BeyondCorpのコンセプトに基づいて構築された市場で唯一の特権アクセス管理製品です。Googleほど多くは必要としていませんが、特定のゼロトラストベンダーが持っている基本的な機能はいくつか必要です。

BeyondCorpにインスパイアされた環境で社内のWebアプリケーションへのアクセスを管理する機能がいくつかのベンダーからリリースされ、プラットフォームとしても成熟しています。グローバルに分散されたアクセス・ファブリック(リアルタイム認証エンジン)に支えられており、合理化されたHTTPSワークフローをサポートしています。アクセスは、動的なユーザーやデバイスの状態を考慮した設定可能なポリシーに基づいて許可されます。サーバー・アクセスとウェブ・アクセスの組み合わせは、BeyondCorpアーキテクチャを完全に実現したもので、優れたベンダーのサービスとして利用することができます。

パートナーとして、ゼロトラスト製品がBeyondCorpにインスパイアされた独自のアーキテクチャを実現し、安全でセキュアな方法で生産性の向上を支援できることに興奮しています」と述べています。優れたベンダーが我々をそこに導く手助けをしてくれるなら、我々は100%BeyondCorpモデルに乗っている。自分たちだけではできないだろうし、ゼロトラストを容易に実現させてくれる会社がやってきて、難しい部分の多くを解決してくれるのを見ることができるとなんと喜ばしいことでしょう。Googleがやっていることを読んで、優れたベンダーが『おい、俺たちにもできるぞ!』と言ってくれることは滅多にありません。

BeyondCorpの前提になるゼロトラストの原理・原則。貴重な資料を今だけ無料でプレゼント!

2019年のセキュリティレポート:境界型セキュリティを辞めるには

ネットワーク監視がユビキタスな時代には、誰を信頼していいのかわからず、苦労していることがわかります。私たちのインターネットトラフィックが盗み聞きから安全であることを信頼できるでしょうか?確かにそうではありません。あなたがからあなたの繊維をリースしたそのプロバイダについてはどうですか?あるいは、昨日データセンターで配線作業をしていた契約技術者はどうでしょうか?データセンター内のシステムやトラフィックが信頼できるという前提には欠陥があります。現代のネットワークや使用パターンは、何年も前に境界線の防御を可能にしたようなものではなくなりました。その結果、「安全な」インフラストラクチャ内を自由に移動することは、1 つのホストやリンクが侵害されると、しばしば些細なことになってしまいます。

続きを読む

次世代アクセスとZTSの未来を予測する、ペリメータの先にあるもの

ボトムライン

2019年にデジタルビジネスが成長を続けるためにすべてのデジタルビジネスが必要とする最も価値のある触媒は、アイデンティティが新しいセキュリティ境界線であることを認識し、企業データへのすべてのアクセスポイントを保護するために拡張可能な次世代アクセス(NGA)に基づくゼロトラストセキュリティ(ZTS)戦略です。

どのようなデジタルビジネスも、成長のスピードが速まれば速まるほど、アイデンティティ、デバイス、ネットワークのエンドポイントが増殖していきます。2019年以降に最も成功したビジネスは、今日、全く新しいデジタルビジネスモデルを積極的に生み出しています。彼らは積極的に採用し、地理的な場所から独立して必要とされる専門家をオンボーディングし、グローバルなR&Dパートナーとの新しいソーシングや特許アイデアを模索しています。企業は、これまでにない速さでデジタル・トランスフォーメーションを行っています。 Statistaは、企業がデジタルトランスフォーメーションに2019年に1,900億ドルを費やし、2025年には4,900億ドルに急増し、6年後には14.4%の年間複利成長率(CAGR)を達成すると予測しています。

セキュリティ・ペリメーターは成長するビジネスを左右する

Forrester社の最近の調査によると、ITセキュリティ侵害の80%には特権的なクレデンシャルアクセスが関与しています。 Verizon Mobile Security Index 2018 Reportによると、89%の組織がモバイルネットワークの安全性を保つために、単一のセキュリティ戦略だけに頼っていることがわかりました。IBM Securityの最新の「2018 Cost of a Data Breach Study」によると、典型的なデータ侵害は2018年に平均的な企業に386万ドルのコストをかけており、2017年の362万ドルから6.4%増加しています。

あらゆるデジタルビジネスにとっての厳しい現実は、自社の最大の成長資産は、絶えず拡大するビジネスの境界線をどれだけうまく保護しているかということに気づくことです。信頼されたドメインと信頼されていないドメインに依存するインフラストラクチャのセキュリティを確保するためのレガシーなアプローチでは、急速に変化する企業の新しいセキュリティ境界を構成するすべてのアイデンティティとデバイスを保護するために拡張することはできません。これらすべての要因が、次世代アクセス(NGA)によるゼロトラスト・セキュリティ(ZTS)が、デジタルビジネスの成長にとって、製品ロードマップ、価格戦略、サービスと同様に不可欠である理由であります。

次世代アクセスとゼロトラストセキュリティの未来を予測する

ZTS(ゼロトラストセキュリティ)が提供する次世代アクセス(NGA)が2019年にどのように進化していくのかを予測してみました。

行動ベースのスコアリングアルゴリズムは2019年に大幅に改善され、これまでよりも精度の高いリスクスコアを計算することでユーザー体験を向上

攻撃の阻止は、過去のアクセス試行、デバイスのセキュリティ姿勢、オペレーティングシステム、場所、時間帯、その他多くの測定可能な要因など、さまざまな変数に基づいてリスクスコアを計算する一連の行動ベースのアルゴリズムから始まります。2019年には、これらのアルゴリズムと機械学習技術を使用して生成されるリスクスコアが、精度と文脈に基づいたインテリジェンスの観点から向上していることが期待されます。この分野のリーディングカンパニーは、今日、これを達成するために機械学習技術に積極的に投資しています。

多要素認証(MFA)の採用は、デジタルビジネスが新しい研究開発プロジェクト、進行中の特許、ロードマップ、製品計画を保護のために急増

国がスポンサーとなっているハッキング組織や組織犯罪は、急成長しているデジタルビジネスの知的財産を、ダークウェブ上に流出させて販売することができる最も価値のある資産の一つと見ています。漏洩したパスワードに対する最も効果的な単一の防御手段である MFA は、AI、航空宇宙・防衛、携帯電話や IoT デバイス用のチップ設計、電子商取引、企業向けソフトウェアなどの分野で最も成功している企業に採用されるでしょう。

十分なセキュリティを持たないIot製品は増殖し、デジタルビジネスのセキュリティ境界線にさらに挑戦する

スマートでコネクテッドな製品の時代が到来しており、Capgeminiは2020年までにコネクテッド製品の市場規模が519Bドルから685Bドルになると予測しています。CapgeminiのDigital Engineeringによると、メーカーは2020年までに製品の50%近くがスマートでコネクテッドな製品になると予想している。ディスクリートメーカーの新たな成長エンジン この調査はこちらからダウンロードできます(PDF、40ページ、オプトインなし)。スマートで接続されたデバイスが企業に新たな脅威を生み出すたびに、少なくとも1つのデバイスメーカーが役員レベルまでのゼロトラストセキュリティ(ZTS)サポートを設計し、自社のデバイスから始まる侵害の脅威を軽減することで、企業への販売を拡大していることを期待しています。

より高い追跡性とトレーサビリティを求めて、ヘルスケアと医療品のサプライチェーンはゼロトラストセキュリティ(ZTS)を採用することになる

これをヘルスケアおよび医療製品の喫緊の課題としているのは、規制当局への報告とコンプライアンスの強化と、新製品の市場投入までの時間と既存の顧客への配送精度の向上を求める圧力が複合的に作用していることです。ZTS の柱は、ヘルスケアと医療のサプライチェーンが必要とする追跡とトレーサビリティに最適です。これらの柱は、リアルタイムのユーザー検証、デバイスの検証、インテリジェントなアクセス制限であり、検証されたユーザーの行動を学習して適応させることもできます。

デジタル企業があらゆる脅威の表面にわたってZTS戦略を微調整する方法についての洞察を求め、機械学習アルゴリズムが向上する中で、リアルタイムセキュリティアナリティクスサービス

多くの企業は、シングルサインオン(SSO)多要素認証(MFA)などのセキュリティ戦略を組み合わせて利用することを止めていた潜在的な侵害の数を目の当たりにしたとき、2019年には多くの企業が啓示を受けることになるでしょう。機械学習アルゴリズムは、行動ベースのスコアリングを使用して改善を続け、ユーザーエクスペリエンスをさらに向上させます。

結論

今日、セキュリティは変曲点にあります。IT システムと企業の資産を保護する長年の方法では、新しい ID、デバイス、または脅威の表面をすべて保護することはできません。すべての ID が新しいセキュリティ境界線である場合、あらゆるデジタルビジネスのセキュリティを確保するためには、新しいアプローチが必要となります。リアルタイムのユーザー検証、デバイスの検証、インテリジェントなアクセス制限を含む ZTS の柱は、検証されたユーザーの行動を学習して適応させると同時に、違反を阻止し、あらゆる種類の企業のデジタル資産を保護する上で効果的であることが証明されています。今こそ、より多くのデジタルビジネスがセキュリティを成長の起爆剤と捉え、業務の継続的な発展を確実にするために、今すぐ行動を起こすべき時です。

LAN、WAN、VPN、ファイアウォールを切り裂く10年

企業のワークプレイスの壁は、この10年の間に企業にとって流動的になるでしょう。 これは、あなたの働き方と、完全にインターネット主導のワークプレイスの誕生によって推進される動きとなるでしょう。言い換えれば、従来の企業ネットワークの死であり、従来のネットワークセキュリティの死を意味します。これは劇的な改善であり、私たち全員が接続する方法を再構築し、ITリーダーが仕事へのアクセスを支援する方法を書き換え、レガシーなインフラストラクチャ企業が苦戦するテクノロジー市場全体を再構築することになるでしょう。

この動きは、コネクティビティ、モビリティ、クラウド、そして私たち全員が望む働き方についての記念碑的な見直しの一環として、仕事をワーカーの生活に近づけていくことになるだろう。モビリティ、BYOD、あるいは何と呼んでもいいかもしれませんが、シリコンバレーや大規模な国際都市、そしてハイテクのようないくつかの業種では当たり前のように行われていますが、これらのかなり初期の採用者以外では主流ではありません。しかし、これらのかなり初期の採用企業以外では主流ではありません。実際、Zscalerが成功しているのは、ユーザーが好きな場所で好きな時に安全に仕事ができるように支援している先進的なビジネスリーダーのおかげです。しかし、5G時代はこの新しい働き方の採用を劇的に加速させ、その結果、従来の企業ネットワークの終焉を加速させるでしょう。

この働き方の変化による影響は極端なものになるでしょう。ここでは、2020年の10年間の私の予測を4つご紹介します。

企業はついにインターネットの攻撃面を排除する

あなたがインターネットに接続するときはいつでも、多くの場合、ファイアウォールを介して、あなたを接続するためのIPアドレスがあります。ファイアウォールは、家や城を守るドアのようなものです。インターネットに面したIPアドレスを持つすべてのファイアウォールは、重大なビジネスリスクを生み出す攻撃対象となります。このリスクを軽減するために、新しいアプローチや技術がこの10年で進化していくでしょう。

パブリック・クラウドに置かれるアプリケーションが増え、インターネットを利用してクラウドやSaaSアプリケーションに接続するオフィスが増えるにつれ、攻撃対象は激増しています。インターネットに接続するアプリケーション、データ、デバイス、人の数が100倍になると、攻撃対象はどうなるのでしょうか?100倍に増加します。

このように考えてみてください。100人の友達に連絡が取れるようにしたいと思ったら、自分の電話番号をウェブサイトで公開することができます。これで彼らはあなたに電話をかけることができるようになりましたが、ロボコーラーも同様にあなたに電話をかけることができます。これはまさに、アプリケーションをパブリッククラウド上に公開し、インターネットを使ってアプリケーションにアクセスできるようにしたときに起こることです。ユーザーはそれらにアクセスできますが、脆弱性を発見したり、DDoS攻撃を仕掛けたりする可能性のある100万人のハッカーにもアクセスされてしまいます。

どうやって解決するの?あなたが電話オペレーターを雇って、100人の友達の名前を教えたとします。友人はオペレーターに電話をかけるとすぐにあなたに連絡を取ることができますが、あなたに接続しようとするロボコーラーはオペレーターによって拒否され、あなたに迷惑をかけることはできません。同様のアプローチは、企業を保護するために機能し、企業のユーザー/支店のトラフィックやアプリケーション/サーバーがインターネットにさらされるのを防ぐことから始めます。このアプローチでは従来の境界型モデルを、高度な電話交換機のようなデジタル交換機に置き換えます。アプリケーションは交換機の後ろに隠れて見えないようになっています。ユーザーは交換機に接続し、交換機からアプリケーションに接続します。このモデルでは、ユーザー、オフィス、およびアプリケーションはインターネットにさらされることはありません。アプリケーションへの安全なアクセスのためのこのアプローチは、今後10年間で広く使われるようになるでしょう。

5Gはあなたのローカルエリアネットワークになるでしょう

過去10年間でインターネット接続性が非常に向上したため、企業は、さまざまなオフィスとデータセンターを接続していた高価なWAN(プライベート・ワイド・エリア・ネットワーク)を捨て始めました。シーメンスのグローバル・インフラストラクチャの責任者であるフレデリック・ヤンセン氏は、数年前に「インターネットは新しい企業ネットワーク」という言葉を生み出した先駆者であり、思想的リーダーです。彼が言いたかったのは、シーメンスのビジネスは、オフィス、コーヒーショップ、空港、ホテルなど、あらゆる場所で行われており、インターネットがすべてのトラフィックのデファクト・トランスポートになっているということでした。

2020年代の5Gの普及に伴い、ローカル・エリア・ネットワーク(LAN)も消滅します。今日、私たちはオフィスに座っている間、インターネットにアクセスするためにWi-Fiを探し、会社の外周に設置されたルーターやファイアウォールを介して安全に接続しています。しかし、すべてのPCや携帯電話に超高速5Gが搭載されている今、オフィスでWi-Fiに接続することはありますか?そんなことはありません。5Gの直接接続を使用し、従来のルーターやファイアウォールを迂回することになります。また、WANやLANを管理していない場合は、ファイアウォールを使用する必要はありません。5Gデバイスからのトラフィックは、デジタル・サービス交換を通じて、適切な人々を適切なアプリケーションに接続し、アプリやサービスへのより速く、より安全で、より信頼性の高いアクセスを実現します。

VPNやファイアウォールはついに無くなります

VPNが壊滅的なマルウェア・ランサムウェア攻撃の発射台になっているという話は数え切れないほどありますが、今週も注目度の高いVPN攻撃がニュースになりました。これは、ファイアウォールやVPNが、アプリケーションがデータセンターにのみ存在し、「城」の周りのセキュリティ境界線が必要なネットワーク中心の世界のために構築されたために起こっているのです。多くの組織が「境界線のない」モデルに移行しているため、ファイアウォールが基本的に保護する方法である「城と城砦」アプローチに基づく従来のネットワークセキュリティは、もはや意味をなさなくなっています。これらのアプローチは、企業に誤ったセキュリティの感覚を与えてしまいます。ビジネス・ポリシー・エンジンを使用して、前述のデジタル・サービス・エクスチェンジのように動作し、セキュリティを強化し、より優れた企業セキュリティを提供する新しいアプローチが開発されています。

ゼロトラスト・ネットワーク・アクセスは、企業セキュリティの新常識となるでしょう

今日、ユーザーにアプリケーションへのアクセスを提供するために、彼女はいわゆる信頼された企業ネットワークに接続されています。ネットワークに接続されると、ユーザーは必要以上に見ることができます。これは、ネットワークをコントロールしているときには許容されていましたが、インターネットが企業のネットワークとなっている現在、ユーザーをネットワーク上に置いてアプリケーションにアクセスさせることは危険です。ユーザーのマシンが感染すると、マルウェアはネットワークを横断し、ネットワーク上のすべてのサーバーに感染する可能性があります。巨大な海運会社であるMaersk社は、約1年半前にこの問題に直面し、ユーザーとアプリケーションを同じネットワーク上に置くことの危険性を強調しました。この問題に対するより良いアプローチが切実に必要とされています。

CISOの多くは物理的なセキュリティも管理しているので、オフィスの例え話を使って信頼性ゼロを表現するのが好きです。私がオフィスを訪れた場合、受付で止められ、IDを確認し、予約を確認し、バッジを発行してくれます。彼らは私をエレベーターに案内して、予約のために6階に行くように言うことができます。しかし、今ではそのようなことはほとんどありません。対照的に、信頼関係ゼロのアプローチでは、誰かが会議室まで直接エスコートしてくれて、会議の後にフロントデスクまで連れて行ってくれます。

ガートナーが発表したゼロトラスト・ネットワーク・アクセス(ZTNA)に関する画期的なリサーチ・ノートでは、企業がユーザーに必要な特定のアプリケーションへのアクセスを提供する方法が述べられています。このアプローチは、アプリケーションのセグメンテーションを作成するために多くのネットワーク・セグメントを作成しようとするよりも、クラウドの世界にセキュリティを提供します。

高レベルでは、ZTNAを次のように考えてください。認証、デバイスの姿勢、その他の要因に基づいて信頼のレベルを確立することはできますが、ユーザーが使用することを特別に許可されたアプリケーションのみを信頼することになります。それ以外の活動は非常に疑わしいものです。

これらのメガシフトは、ビジネスに多くの機会と課題をもたらすでしょう。クラウド、モビリティ、IoT、機械学習などのテクノロジーは、多くの大規模なグローバルブランドを変革する一方で、これまでにないペースで新しいビジネスを生み出しています。また、これらのテクノロジーは、既存の大規模なテクノロジー・プロバイダーを混乱させる一方で、新たな巨人を生み出しています。Google、Amazon、Salesforce、ServiceNow、WorkdayのようなIT業界のビッグネームの多くは、ほとんどがここ10~2年の間に誕生した企業です。

私の考えや、これからの10年についての考えが下記のリンク先のブログに掲載されている私のチームの考えについて、皆さんの見解をお聞きしたいと思います。この10年間、私たちは思慮深い議論をしてきましたが、本当にありがとうございました。新しい10年に向けて、これからも議論を続けていきたいと思います。

 

ランサムウェアに備えるサイバーセキュリティの経済学

要約

ランサムウェアに人質にされてしまうと、さらにコストがかかります。ランサムウェアの人質になると、さらにコストがかかります。悪意のある行為者や犯罪組織の戦術、技術、手順は、高度な侵害を防止し、阻止する能力を上回っています。

企業は、サイバーセキュリティにどれだけのコストがかかるのかを理解し、コストを抑えて業務の中断を軽減するために組織をどのように準備するかを理解しておくことが重要です。

サイバー犯罪は、規模の大小を問わず、世界中の企業に影響を与えています。この記事では、自社の環境への侵入が発生した場合に備えて、サイバーセキュリティにかかるコストを特定しています。対応や修復にかかるコストは、ほんの一面に過ぎないことを覚えておいてください。また、ブランドや評判を落とすためのコストも考慮しなければなりません。

序論

高度なサイバーセキュリティの進化、消費、提供は、混乱と興奮の両方であり、テクノロジーがいかに早く進化しているかを見てください。準備が不十分な企業の多くは、厳しい結果を被ることになります。

サイバーセキュリティは世界中の企業に影響を与えており、大企業から中小企業まで攻撃は拡大しています。敵対者はより迅速なROIを求めており、大げさな言い方をすれば、私たちは皆ターゲットにされていることを意味しています。

本記事では、サイバーセキュリティのコストと最も重要なITインフラストラクチャの概要を説明し、特定することで、誰かがあなたのビジネスを標的にした場合に備えて積極的に準備することができるようにするための重要なポイントを提供します。

サイバー攻撃の進化

90年代後半から2000年代初頭にかけて、マルウェアの最初の反復版が普及し始めました。これらのマルウェアは、今日の基準では基本的で技術的には洗練されていませんでしたが、それにもかかわらず蔓延しており、根絶するのは困難でした。「I Love You」ウイルスはその好例で、電子メールを介して瞬く間に拡散し、ホストマシン上のファイルを上書きしたり破損させたりすることができました。

世界は、ウイルスを検出して阻止する方法を知ることから、死後のホストベースのフォレンジックによってオペレーティングシステム内で何をしているのかを理解することまで、この流行に対処するための設備が整っていませんでした。

悪意のある活動を理解するようになると、私たちは死後のフォレンジックが格段に上手になりました。悪者がどのようにして悪意のあるコードを作成してシステムに侵入しているのかを理解するようになりました。しかし、これはまだ反応的なものでした。より積極的になるために、ファイアウォールや侵入検知システムのような境界線の保護に投資し始めました。しばらくの間、私たちの投資は報われていましたが、少なくとも私たちはそのように感じていました。

しかし、我々が進化するにつれ、悪者も進化していきました。彼らはより創造的になって 境界線のセキュリティを回避するようになった 今日、私たちはエンドポイントに戻って、回避と能力の両面でより洗練されたマルウェアの早期発見に力を注いでいます。

最近のマルウェアの進化の一つにランサムウェアがありますが、これは消え去ることはありません。

今日のランサムウェア

ランサムウェアや他の類似の攻撃を駆除するのが難しい理由はたくさんありますが、それが脅威行為者の最も人気のあるツールの1つである理由ではありません。人気があるのは、他の多くの犯罪行為よりも簡単で安全だからです。

脅威行為者は、あなたのデータを人質にしているときに手を汚す必要はありません。ランサムウェアは、誘拐や身代金の支払いがある国の犯罪企業に似ています。どちらの場合も、お金を稼ぐことができますが、一方のルートの方が明らかに論理的に安全で、潜在的な変数が少ないのです。

あらゆる規模や部門の組織がデジタル化を進めており、データが新しい通貨になりつつあります。脅威者は、企業や個人が人質のデータを公開するためにお金を払うことを知っていますが、その方が簡単で安価なためです。

脅威行為者顧客サービス

ITの専門家は、脅威行為者の顧客サービスがいかに高度なものであるか、そしてそのプロセスを促進する犯罪基盤がいかにうまく組織化されているかに衝撃を受けることが多い。

犯罪プラットフォームは、支払い後にデータの解読に問題を抱えた被害者が利用できるように、リーダーシップ、マーケティング、直接サポート、さらにはITサポートまでを備えた完全に機能した組織です。

このレベルの組織とプロセスは、初めての被害者にとっては非常に驚くことが多い。敵対者は、多くの合法的なビジネスよりも、彼らの不本意な顧客にサービスを提供する方法を知っています。

脅威行為者の発見

ほとんどのランサムウェアのプラットフォームは、ダークウェブを介してホストされています。これにより、法執行機関やその他のサイバーセキュリティ事業者がその活動を阻止しようとする世界からは十分に隔離されています。一般の人がダークウェブにアクセスするのは難しく、一度アクセスすると専門家の助けなしには非常に困難です。映画に描かれていることとは裏腹に、ポータルに出くわしただけでダークウェブにたどり着くことはできません。

窃盗の進化

私たちは、コモディティでターゲットを絞っていないマルウェアから、よく研究された、よく計画された、実行された攻撃へと、業界で進化を遂げてきました。コモディティマルウェアは、脅威となる行為者に広く利用されており、比較的簡単にダウンロードでき、クレデンシャル、クレジットカード番号、データを盗むために使用され、盗みの副産物として金銭を生成するために使用されます。過去には、世界最大の銀行に対するハッキングが行われ、クレジットカードが何万枚も盗まれ、ATMのサイフォン操作に使用されたことがあります。

ここ3~5年でターゲットが変わってきました。犯罪組織が大手銀行から5万枚のクレジットカードやデビットカードを盗み出し、データを盗み出して運用するにはコストがかかります。大規模な金融機関のセキュリティと不正行為のインフラはより強固で、不正行為を早期に捕捉するためのより高度なツールを利用できるようになっています。

敵は、これらの「大物」をターゲットにしても、以前ほどの利益は得られないと判断しています。彼らは、リソースに制約のある500社の小規模企業をターゲットにする方が簡単であることに気付いたのです。小さな会社からの1ドルは、大きな会社からの1ドルと同じです。

今日のターゲット

サイバー犯罪に関する世界的な統計であるVerizon Breach Reportによると、90%以上の脅威者が、商品型攻撃からランサムウェアのような不吉なものまで、組織への第一の侵入経路としてスピアフィッシングを利用していると推定されています。ソーシャルエンジニアリングとスピアフィッシングは、一般的な犯罪者、組織的なサイバー犯罪、国家によって利用されていることに注意することが重要です。

脅威者は、歴史的にITの進歩に投資してこなかった組織が格好の標的になることを知っています。このような組織には、中小規模の銀行、公益事業、医療機関などが含まれ、地域の医院から地域の医療施設に至るまで、様々な組織が含まれます。最大手の医療機関はデータ保護の面でより良い仕事をしていますが、小規模な組織は、リスクを適切に軽減するための適切なツール、適切な技術、適切な能力を得るのに苦労しています。

最近では、地方自治体が好ましい標的になっています。データを永遠に失った組織もあれば、非常に古いバックアップからデータを復元した組織もあります。いずれの場合も、業務運営に支障が出ています。全体的に見て、あらゆる分野で中小企業に対する攻撃がエスカレートしています。

スモールビジネスに注力する

一匹狼の脅威の行為者や犯罪組織は、通常はあまり守られていない小規模な企業をより多く標的にすることが、よりよく守られているかもしれない数社の大企業を標的にするよりもはるかに効果的であることに気づいています。もっと簡単なターゲットがあるのに、時間外にフルタイムの警備員が「見回り」をしている会社から、なぜわざわざハッキングや窃盗をするのでしょうか?

攻めの代償

攻撃を受けた際には、具体的な復旧費用、法的費用、ブランドレピュテーション管理費用などがあります。しかし、生産性や通常の収益に関わる業務中断コストもあります。データが人質になる前に、従業員が実際にできる仕事がない場合にどのように対処するかを決めておく必要があります。

これはビジネス上の大きな決断であり、ブランドの評判や組織の士気に影響を与えます。

ランサムウェア攻撃に対する複雑な侵害対応の際に、ある組織の上級メンバーが私に尋ねてきました。明日は出社しないように言うべきか?

業務中断コスト

攻撃を受けた後の後始末には何百万もの費用がかかることは誰もが知っています。多くの企業は、修復だけが唯一のコストだと誤って考えています。このような企業は、業務の中断に伴うコストを考慮することを忘れています。

データが漏洩したり、押収されたりするような事態が発生すると、従業員は自分のコンピュータを必要とする仕事ができなくなります。従来のコモディティ攻撃では、企業内のマルウェアとモグラ叩きをしながら業務を継続する可能性があったのに対し、データ盗難ではすべてを阻止することができます。

例として、私は大規模な組織が被害を受けたマルウェア攻撃への対応を指揮していました。このマルウェアは、感染したコンピュータのユーザが30の特定の銀行のウェブサイトのいずれかを訪問した場合に、ユーザの認証情報を収集するように設計されていました。ユーザーがユーザー名とパスワードを入力すると、マルウェアはデータをキャプチャして脅威の行為者に送信します。マルウェアがどのようにして侵入し、その機能を理解し、コマンド&コントロールに接続する機能を停止させた後、私たちはクライアントに通常の業務を継続するようにアドバイスしました。

マルウェアとその根底にある永続性を根絶するためのプロセスを開発しながら、全従業員に銀行のウェブサイトを訪問しないように指示しました。

データ盗難の費用と対応

攻撃を受けた後の後始末には何百万もの費用がかかることは誰もが知っています。多くの企業は、修復だけが唯一のコストだと誤って考えています。このような企業は、業務の中断に伴うコストを考慮することを忘れています。

データが漏洩したり、押収されたりするような事態が発生すると、従業員は自分のコンピュータを必要とする仕事ができなくなります。従来のコモディティ攻撃では、企業内のマルウェアとモグラ叩きをしながら業務を継続する可能性があったのに対し、データ盗難ではすべてを阻止することができます。

例として、私は大規模な組織が被害を受けたマルウェア攻撃への対応を指揮していました。このマルウェアは、感染したコンピュータのユーザが30の特定の銀行のウェブサイトのいずれかを訪問した場合に、ユーザの認証情報を収集するように設計されていました。ユーザーがユーザー名とパスワードを入力すると、マルウェアはデータをキャプチャして脅威の行為者に送信します。マルウェアがどのようにして侵入し、その機能を理解し、コマンド&コントロールに接続する機能を停止させた後、私たちはクライアントに通常の業務を継続するようにアドバイスしました。

私たちは、全従業員に銀行のウェブサイトを訪問しないように指示し、マルウェアとその根底にある永続性を根絶するためのプロセスを開発しました。

データ盗難費用と対応

従来のサイバー侵害への対応と修復は簡単ではありませんが、一般的には理解されています。すべての攻撃への対応には、インシデント対応者がフォレンジックを行うこと、攻撃への対応方法に関する法的アドバイス、全国の違反通知法のパッチワークの解読、規制要件などがあります。

これに対し、ランサムウェアは、コモディティマルウェアとは異なり、データがどのようにバックアップされているのか、どこにあるのか、身代金を支払わなかった場合、どれだけ早くマシンを再構築できるのか、といったIT運用上の既存のギャップをさらに突くことができます。身代金を支払ってファイルを解読した後、ファイルが破損していたことが判明した場合、ファイルは永遠に失われてしまうのでしょうか?

これらの質問は、ネットワークの構築方法やデータの管理方法に大きな問題があることをしばしば明らかにします。

マルウェア駆除

ネットワークからマルウェアを除去することは、非常に困難でコストのかかる作業です。次世代のツールによってマルウェアの検出と停止ができるようになってきていますが、敵対者はマルウェアを非常に迅速に拡散させ、永続性を維持するためのメカニズムを作り出しています。

変化したのは、マルウェアの進化に伴い、従来のAVや次世代のAVでは、マルウェアが実際のペイロードを実行するのを防ぐことができるかもしれませんが、マルウェアを配信したメカニズムは、ネットワーク全体にフックを設置することができるということです。これにより、マルウェアは拡散を続け、境界線をテストし、脅威行為者に報告し続けることができます。

敵対者は、自分たちのマルウェアがどのようにして停止されるかを観察します。永続性メカニズムにより、マルウェアの複数のバージョンをテストするために戻ってくることが可能になり、最終的にはウイルス対策プラットフォームやセキュリティサービス、さらにはセキュリティアナリストの手に渡ることができるようになります。

今日、私たちはエンドポイントにマルウェアを侵入させるための高度なアプローチを扱っていますが、そのマルウェア自体が高度なものとなっています。進化する課題に対応するためには、防御的アプローチを強化する必要があります。

ランサムウェア対応コストの計算

多くの組織では、ランサムウェアの発生に対応するために数百万ドルの費用がかかることはないだろうという印象を持たれています。しかし、彼らはネットワークからマルウェアを除去するための関連コストを過小評価しているか、あるいは認識していません。関連コストには、収益の損失、ビジネスの混乱、ブランド認知度、評判などが含まれます。これらの各分野はランサムウェアの影響を受けており、クリーンアップ作業におけるコストの一部として計算する必要があります。

データサイエンス、取引の事実、政府の記録、業界調査、そしてパートナー企業と共同で行った当社独自の調査によると、組織の規模に関わらず、ランサムウェアの発生は数百万ドル規模の損失につながる可能性があることが示されています。

ここ数年、データを失ったり、データを盗まれたり、何らかの形でプライバシーに影響を与えたりした組織に対する大規模な訴訟がメディアで報道されています。この訴訟は、銀行からヘルスケアまで業界を横断しています。訴訟を起こされた場合、巧妙な攻撃に直面した際には、可能な限り最善の防御態勢を整えなければなりません。現実には、悪者の方が善者よりも早く動くことが多いのです。繰り返しになりますが、問題は時期の問題であって、「もしも」の問題ではありません。

組織は、攻撃を受ける前、攻撃を受けている間、そして攻撃を受けた後に、自分たちが正しいことをしたかどうかを知る必要があります。攻撃を受ける前に、データのバックアップ頻度とバックアップ先を知る必要があります。

巧妙なマルウェアは、マシンを暗号化するだけでなく、ネットワーク共有やバックアップドライブを探し出して暗号化します。これらの攻撃は、大規模な組織を非常に公然と襲っています。

ある大企業は、世界最大のアルミニウム生産国の一つであるノルウェーのノルスク・ハイドロ社で、ランサムウェアの攻撃を受け、世界中のネットワークを停止させ、工場を混乱させ、ITスタッフを残業に追い込みました。ランサムウェアは月曜日の夜に米国内のコンピュータを攻撃し、翌朝には40カ国で事業を展開する同社の大部分に広がっていました。

それに伴うネットワークのシャットダウンにより、工場は顧客からの将来の注文を受けられなくなり、株式にも影響を与え、感染の報告を受けて約0.7%の下落となりました。

平均検出・対応・脅威駆除時間の短縮

すべての組織の目標は、侵害の拡大と影響を食い止めるために、可能な限り迅速に対応し、根絶することでなければなりません。対応時間を正確に評価するためには、チームのトレーニングを評価することで、チームの準備態勢を評価する必要があります。また、適切なツール、プロセス、リソースがあるかどうかを調べ、インシデントを迅速に検出、トリアージ、調査、修復する準備ができているかどうかを判断する必要があります。すべてが整っていると思っているのであれば、それをテストする必要があります。あなたの新しい目標は、対応時間と修復時間を短縮することです。

道具を増やせば守備力が上がる

次世代技術を購入してインストールするのは簡単です。実際、私たちの中小企業のお客様のほとんどは、さまざまな目的のために6~12の異なるセキュリティツールを稼働させています。

しかし、ツールが統合されておらず、互いに通信していないため、一連のツールを通して脅威が実際に追跡されているかどうかをテストすることはできません。インシデントが関連しているかどうかを判断するためには、各ツールを個別に検証する必要があります。

サイバーセキュリティへの投資のコストを分解することは、「独自に構築する」、「アウトソーシングする」、またはその両方を組み合わせた場合のコストを表にするだけではありません。ベストケースとワーストケースのコストを評価するのです。また、カバレッジも重要です。

今日の市場では、組織を無防備なままにしておくことはできません。組織の内外を問わず、有資格者のチームによる24時間365日のカバレッジを確保する必要があります。より多くのツールは、24時間体制の必要性を解決することはできません。

大企業と中小企業の違いは、統合されていないツールのそれぞれが提供する評価を実行するためにオンサイトチームを必要とするかどうかです。大規模な組織は、複雑なグローバルネットワークと大規模な設置面積のため、一般的に現場での人材が必要であると結論づけています。

大企業であっても、一部の分析は専門家に任せた方が良いことを知っているため、例えば、脅威インテリジェンスや複雑なフォレンジック業務を外部に委託しています。このような企業がアウトソーシングを選択するのは、社内の専門知識を獲得し、維持し、維持することが非常に困難だからです。

必要とされる人材の種類と量、インフラとその維持管理、さらにはサイバーセキュリティ態勢の高度化を考慮すると、「コスト」は予想以上に高くなる可能性があります。

チームとそれをサポートするテクノロジーが初日に100%の状態になることはないと予想しなければなりません。

防御手立て

堅実で効率的なサイバーセキュリティチームを構築するには、セキュリティに関する幅広い知識を持った 1 人や 2 人だけでは十分ではないかもしれません。SOCとITセキュリティチームは、ネットワーク脅威インテリジェンス、ネットワークトラフィック分析、エンドポイント検出対応、フォレンジック、一般的な脅威インテリジェンスの分野の専門家で構成されている必要があります。

組織は、どの程度のリスクを許容できるか、また、インソーシングやアウトソーシングにどの程度の費用をかけることができるかを判断する必要があります。

道具と人を選ぶ

サイバーセキュリティのベンダー会社が販売しているものをすべて購入する必要はありません。どのツールがあなたに余裕のある最高の保護を提供してくれるかを理解しているベンダーに依頼すべきです。これは、リーダーシップに特定の費用を正当化し、特定のリスク(例えば、24時間365日誰もいないというリスクなど)を受け入れる必要があることを意味する場合があります。

どの程度のリスクを許容するかは、組織や利用可能な金銭的リソースによって異なります。組織によっては、特定の技術を導入したり、従業員が5時以降に特定の行動を取らないようにする追加のコントロールを導入したりすることで、リスクをダウングレードしたり、軽減したりしているところもあります。また、プライベート・クラウドの使用を許可しないことで、組織のフットプリントを減らし、ネットワークにハッキングした場合に敵対者が見るものを減らすこともある。その他の組織では、上記のような対策を行い、社内または外部で管理されている高度なセキュリティ・オペレーション・センターを利用してリスクを軽減している。

ほとんどの中堅中小企業は、複数の変数の処理を支援するために、マネージド・セキュリティ・サービス・プロバイダ(MSSP)に移行しています。これらの企業は、ネットワークトラフィック、エンドポイントトラフィック、検出と応答、フォレンジック、マルウェア分析の専門家を求める傾向があります。また、これらすべてをリーズナブルな価格で提供することも求めています。

最近、業界は小規模な組織に対して、大規模な組織が利用できるのと同じタイプの防御オプションを提供し始めています。小規模組織は、さまざまなNext Genツールを購入したり、プロセスを実装したり、機能を強化したりするのではないことに気付いています。内部でセキュリティを構築して運用するためにお金をかけるつもりはないのです。企業はむしろ、妥当な価格ですべてを外注したいと考えているのです。良いニュースは、一般的にサイバーセキュリティサービスは、中堅企業向けに以前よりも手頃な価格で提供されるようになったということです。悪いニュースは、ほとんどのMSSPがパズルの最後のピースである真の脅威の撲滅を解決していないことです。

セキュリティインフラのカスタマイズ

長い間、すべてをIT担当者がやっていました。その後、業界ではITとITセキュリティの考え方が変わり始めました。ITは電気をつけておくこと、ITセキュリティはファイアウォールの更新、コンピュータの脆弱性の監視とパッチの適用など、他のすべてを行うことと定義されるようになりました。今日では、ITセキュリティはさらに分割され、「サイバーセキュリティ」とは切り離されています。

サイバーセキュリティの専門家は一般的に、コンピュータにパッチを当てるのではなく、攻撃者がいないかコンピュータを監視しています。彼らの主な機能は、攻撃者を検知して阻止することです。

サイバーセキュリティチームの個人は、ネットワークを守るためのユニークなスキルセットを持っています。彼らは、ネットワーク全体の攻撃をほぼリアルタイムで検知する能力と、大きな問題になる前にそれを阻止する知識とスキルを持っていなければなりません。サイバースセキュリティの専門家の求人市場は信じられないほど競争が激しいため、中小企業にとって、このチームを構築することは非常に困難なことが多いです。このようなオペレータを惹きつけたり、訓練したり、維持したりすることができないのです。

コストは人だけではありません。ツールとインフラストラクチャで構成されるインフラストラクチャのコストもあります。サイバーセキュリティソリューションには、市場には数十種類のカテゴリーが存在します。それぞれのカテゴリーには数十種類のツールがあり、すべての機能が重複しています。バズワードだけでは、圧倒されて混乱してしまうこともあります。慎重に選びたいものです。

セキュリティオペレーションセンター資源

独自のSOCを構築する場合は、これらのツールを理解して、どのツールがニーズに最も適しているかを判断する必要があります。最低限必要なのは、エンドポイントセキュリティ、境界セキュリティ、データ損失防止、メールセキュリティなどの基本的なものです。

例えば、データ損失防止を利用すると、従業員や願わくば脅威行為者が特定のタイプのデータをネットワークから持ち出したり、特定の場所にデータを移動させたりできないように、組織は実施ポリシーを構築することができます。これらのツールのすべてがすべてを検出できるわけではありませんが、DLP(データ損失防止)のようなツールを他のデータと一緒に導入することで、企業全体の可視性と知識を高めることができることを理解してください。

企業全体の可視性を統一し、インシデントを迅速に調査できるようにするには、特定のタイプのテクノロジーが必要です。これらの技術は、セキュリティインシデントおよびイベント管理(SIEM)とセキュリティオーケストレーション、自動化、および応答(SOAR)プラットフォームに分類されます。

SIEMは、ユーザーが複数の形態のデータを一箇所で確認できるようにし、ビジネスからセキュリティに至るまで、特定のユースケースのためのカスタムクエリと可視性を構築することを可能にします。SOARプラットフォームでは、インシデント調査中にセキュリティ専門家が行う様々なステップを支援したり、代替したりするために自動化できるプレイブックを構築することができます。この2つの技術は、サイバーセキュリティと高性能なセキュリティオペレーションセンターの運営に不可欠なものとなっています。

上記のように、SIEMとSOARの技術は重要ではありますが、使いやすいものではなく、「ターンキー」ではありません。これらは、社内または外注の専門家によるセットアップと継続的な管理にしっかりとしたコミットメントを必要とします。

インフラ整備費

インフラを構築する際には、考慮すべき多くのコストがあります。これらのコストには以下のようなものがあります。

  • ハードウェア(仮想/アプライアンス):データ収集をどのように実装するか?
  • ストレージ:データをどのくらいの期間、どこに保存しますか?
  • データソース:どのようなデータソースをどのような目的やユースケースで取り込むか?

エキスパートを追加する前に、上記のすべてに関連するハードコストがあることを覚えておいてください。一般的に、小規模な企業の場合は10万ドル以上の費用がかかることが予想されます。

システムの精錬

初期セットアップ後、データソースとユースケースを継続的にレビューするプロセスを構築することが重要です。組織がSIEMやSOARを実装する際に目にする最も大きな痛みは、MSSPと仕事をする前にSIEMを調達していたお客様の一人が次のように語っています。

当初はすべてが完璧でした。データを見ることができ、インサイトを得ることができたので、実際に良い影響を与えることができました。しかし、1年経った今、ログソースの変更やクエリの更新など、新たな変化についていけなくなりました。

チームの成熟度

最後に、チームが成熟していく過程で発生する可能性のあるコストを考慮してください。セキュリティチームを成熟させるには、12~18ヶ月かかることもあります。また、人員やインフラストラクチャに関する決定は、現在必要なものであっても、ネットワークの変化や成長に伴って大きく変わる可能性があることを覚えておいてください。

セキュリティチームを成熟させるためのコストは、組織の規模、リスクプロファイル、資産の価値、危殆化した場合に資産を復元できるかどうかによって異なります。

結論

サイバーセキュリティの基本的なコストは、中小企業のあらゆる業種にまたがっています。ランサムウェアやマルウェアの攻撃がなくなるわけではなく、私たちはこれをチームでの戦いと考えています。この問題はますます悪化していくでしょう。これは恐怖の戦術としてではなく、観察として述べています。

犯罪者は、儲かるお金があるので、より巧妙になってきています。内部のリスクを評価し、そのリスクを軽減するためにリソースを投入するという良い仕事をしなければ、私たちは本当に自分たちを防御できる立場に置くことができません。強力な防御可能な立場になるには、問題を考え、月曜日の朝のクォーターバックに耐えうる合理的なプロセスが文書化されていることを確認する必要があります。

データの評価と分類を行い、「王冠の宝石」を特定する。 ネットワーク内には多くのデータがあり、すべてのデータとサービスが同じではない。事業運営や評判にとってミッションクリティカルなデータと、価値があるが損失や破壊があってもビジネスに支障をきたさないその他のデータを見極めましょう。昨今はクラウドの変化のみならず、私物の端末を業務で扱うBYODなども増えてきています。これにより、機密データを保護するために必要なツールやプロセスを決定し、それらのデータ・ソースのいずれかが破損したり盗まれたりした場合に重要な意思決定を行うことができます。