fbpx

セキュリティ

実用的なセキュリティ対応のガイド:アジャイルな体制を構築する

情報セキュリティの重要な課題

データ侵害は今日、企業を常に脅かしています。そして、そのリスクは増大し続けています。侵害にかかるコストは362万ドルから386万ドルに増加し、昨年より6.4%増加しました。侵害に至るまでの時間は現在では数分単位で計測され、データの流出は数日単位で発生します。

迅速に対応できない場合、組織は貴重なデータや機密情報を漏洩させるリスクがあります。 復旧プロセスには信じられないほどの費用がかかり、ビジネスの評判へのダメージは計り知れません。

脅威の特定と対応に時間がかかるのはなぜ?セキュリティとITの専門家は、主な原因の1つを指摘しています。従来のアプローチでは、組織間の効率的なインシデント対応の調整が妨げられています。

  • 多数のバラバラなツール:優先順位のない数千のアラートを累積的に発生させます。
  • 自動化の欠如:手作業で時間を無駄にしてしまう
  • 組織の不透明性:適切な連絡先の追跡が困難
  • 複数のセキュアでないデータセットと手順書:全員が同じページにいることを確認することが不可能になる

非効率性に加えて、従来のセキュリティ対応に関連した手動プロセスは、他の問題を引き起こします。スプレッドシートはすぐに古くなってしまい、電子メールは間違った受信箱に入ってしまうことがよくあります。どちらのシナリオにおいても、パフォーマンス指標を定義して追跡することは非常に困難です。また、このような手作業のプロセスでは、高度な訓練を受けた従業員が低レベルのタスクに集中してしまうことが多く、結果として高い離職率につながってしまいます。

組織全体のインシデント対応を調整することは、ほとんどの企業にとって最大の課題です。

必須のセキュリティ運用ソリューションチェックリスト

セキュリティの脅威や脆弱性に対応する能力をどのように評価しますか?
この短いチェックリストを使用して、適切なセキュリティ運用ソリューションが企業をどのようにサポートできるかを評価してください。

  • セキュリティとITにまたがる単一の真実の情報源を頼りにしていますか?
    • すべての回答者が最新のデータにアクセスする必要があります。共有システムにより、セキュリティチームとITチームが対応を調整することができます。
  • 構成管理データベース (CMDB) との統合?
    • CMDBを統合することで、アナリストは、影響を受けるシステム、その場所、複数の攻撃に対する脆弱性を迅速に特定することができます。
  • すべてのセキュリティインシデントと脆弱性に優先順位をつける?
    • 過剰なアラートを処理する最善の方法は、組織への影響の可能性に基づいて、アラートに自動的に優先順位を付けることです。アナリストは、どのシステムが影響を受けるのか、関連するシステムへの影響を正確に把握する必要があります。
  • 基本的なセキュリティ作業の自動化?
    • アナリストは、セキュリティ脅威に対応するために重要な情報を数秒で必要としています。脅威の濃縮などの手動タスクを自動化することで、対応プロセスを迅速に統合することができます。
  • セキュリティ手順書が守られていることを確認してください。
    • ワークフローは、セキュリティランブックを確実に遵守するために非常に重要です。経験豊富なセキュリティの専門家は複雑な脅威を軽減し、セキュリティのプレイブックにより、Tier1の担当者が実際のセキュリティ作業を行うことが可能になります。
  • 認可された承認者と主題の専門家を迅速に特定することができます。
  • オーケストレーションでより迅速な対応が可能に?
    • 単一のコンソールからアクションを実行し、他のセキュリティツールと相互作用することで、修復を迅速化します。
  • 詳細なメトリクスを収集してパフォーマンスを追跡し、インシデント後のレビューを推進し、プロセスの改善を可能にします。
    • チームのパフォーマンスを追跡し、レビューのためのデータを収集できる必要があります。ダッシュボード、レポート、または事故後のレビューで収集されたメトリクスは、改善をサポートするためのトレンドデータを提供します。

つまり、適切なソリューションがあれば、インシデントへの効率的な対応が可能になり、セキュリティチームとITチームを結びつけることができます。また、セキュリティ姿勢を明確に可視化することができます。CISOとセキュリティチームにとっては、セキュリティオーケストレーション、自動化、および対応を統合したプラットフォームであり、私たちは安全ですか?

セキュリティ対応のアプローチの比較:伝統的なものと新しいもの

注目度の高い脆弱性が発生した場合、企業が対応できる方法はいくつかあります。従来のバラバラなアプローチを使用している組織の対応と、統合された対応プラットフォームを使用している組織の対応を比較する。

伝統的なアプローチ

脅威が発覚すると、セキュリティチームはそれに対処するために奔走します。CISO はそれを聞いて、組織が影響を受けているかどうかを知りたがります。チームはシステムを評価し、誰が緊急パッチを承認する必要があるかを決定するためにレースをします。
多くのプロセスはマニュアル化されているため、アナリストはCISOに影響の正確な評価を提供するために必要な情報を迅速に収集するのに苦労します。
チーム間の手動の調整には数日を要し、重要なシステムが脆弱なままになり、ビジネスをデータ漏洩のリスクにさらすことになります。

新しいアプローチ

それに比べて、セキュリティオーケストレーション、自動化、および対応プラットフォームを使用している組織は、脆弱性に即座に対応することができます。それはすぐに次のステップを開始します。

評価

まず、スキャンデータは、脆弱性管理システムから自動的にセキュリティ対応システムに引き込まれる。これを全米脆弱性データベースやそれらの内部資産データベースなどの外部ソースと相関させ、脆弱性そのものの潜在的なリスクと組織のビジネスサービスへの影響の両方から脆弱性の優先順位を決定します。

通知

その後、事前に構築されたワークフローにより、優先度の高い資産に影響を与える重要な脆弱性がセキュリティチームに通知されます。アナリストは、単一のコンソールで脆弱性とリスクに関する情報を確認することができます。

対応

並行して、ワークフローが応答プロセスを開始します。システムは、重要な脆弱性のある項目に対する緊急パッチを承認するための要求を自動的にトリガーします。パッチが実装されると、脆弱性がクローズとマークされる前に、追加スキャンで修正内容を確認します。

緩和

重要な項目のパッチが適用されたことで、セキュリティとITは、残りの脆弱な項目に対処するための計画を作成することができます。
単一の応答プラットフォームを使用しています。変更要求は自動的にIT内の適切な担当者にルーティングされるため、組織構造を覚える必要がありません。共通のプラットフォームにより、安全な「知る必要がある」ベースで情報を共有することができます。

報告

これで、CISOはブリーフィングを受け、セキュリティ運用ソリューションは、正確なメトリクスを含むインシデント後のレビューを自動的に生成します。CISOは満足し、組織は安全が維持されます。

次は何をするの?

セキュリティインシデントや脆弱性への効率的な対応は、情報セキュリティリーダーにとって最大の課題の一つです。そのため、セキュリティオーケストレーション、自動化、および応答応答プラットフォームを選択することが非常に重要です。

優秀なセキュリティ対策ソリューションは、セキュリティチームがインシデントや脆弱性に迅速かつ効率的に対応できるように設計されています。優秀なセキュリティ対策ソリューションは、インテリジェントなワークフロー、自動化、および IT との深いつながりを利用して、セキュリティ対応を合理化します。

優れたセキュリティオーケストレーション、自動化、および応答ソリューションを導入することで、脅威と脆弱性の特定、修復、および調整作業をより効率的に行うことができます。 自動化により、対応担当者は、手作業での作業ではなく、より複雑な問題に集中することができます。また、組織のセキュリティ態勢を継続的に評価するための正確なデータを自由に利用できるようになります。

ゼロトラストモデルの強みと弱みを徹底的に解説

米国の法廷では、被告人は有罪と証明されるまで無罪とみなされます。ゼロトラスト・セキュリティモデルでは、その逆が当てはまります。すべてのもの、すべての人が疑われているとみなされ、質問され、調査され、クロスチェックされ、それが許可されても安全であることが絶対的に確認できるまでは、すべてのものが許可されていなければなりません。

ゼロトラストは、ジョン・キンダーバーグ氏がフォレスター・リサーチの副社長兼主席アナリストを務めていた2010年に考案した概念です。Kindervag氏は、サイバー攻撃、特にネットワーク内での脅威の横移動を阻止するための組織内部の失敗を見ていたとき、従来のセキュリティモデルは、組織のネットワーク内のすべてのものが信頼できるという時代遅れの仮定の上で運用されていることに気づきました。その代わりに、ゼロトラストはそのモデルを逆転させ、「絶対に信頼しない、常に検証する」という指導原則に従ってITチームを指導し、ネットワーク内部のユーザーとデータを含む境界線を再定義しました。

過去10年の間に、多くの企業がゼロトラストモデルに移行し、古い城と砦の考え方を壊し、インサイダーの脅威の現実を受け入れるようになりました。ここでは、ゼロトラストの強みと弱みを含めたゼロトラストの内部を見ていき、組織が自社の壁の中でゼロトラストの哲学を受け入れるべきか、それとも別の方法を検討すべきかを評価するのに役立ちます。

ゼロトラストの定義

ゼロトラストは情報セキュリティのフレームワークであり、組織はネットワークの境界線の内外を問わず、いかなるエンティティも信用してはならないとしています。ゼロトラストは、組織やその従業員、請負業者がビジネスデータにアクセスするために使用するすべてのデバイス、ユーザー、アプリ、ネットワークを安全に保護、管理、監視するために必要な可視性とITコントロールを提供します。

ゼロトラスト構成の目標は明確でなければなりません。財務部門の従業員は会計ソフトを必要としており、それ以外の従業員はアクセスを禁止すべきである。リモートワーカーはVPNを使用すべきであり、オープンインターネットからのアクセスは禁止すべきです。データ共有は制限され、制御されるべきです。かつてインターネットの礎の一つであった情報の自由な流れは、ネットワークへの侵入からネットワークを守り、プライバシー侵害から顧客を守り、インフラストラクチャーやオペレーションへの攻撃から組織を守るために、制限される必要があります。

ゼロトラストの戦略は、入出庫トラフィックを精査することに集約されます。しかし、これが他のセキュリティモデルとの違いは、内部トラフィック、つまり組織の境界線を越えていないトラフィックであっても、潜在的な危険性として扱われなければならないということです。

これは深刻に見えるかもしれませんが、過去10年間の脅威の状況の変化を考えてみましょう。何百件もの公開データの漏洩や漏洩、都市、学校、医療機関の数千ものエンドポイントに対するランサムウェア攻撃による業務停止、ビジネスデータベースから盗まれた何百万ものユーザーの個人情報などがあります。サイバー犯罪者が2020年に向けてビジネスターゲットに焦点を当て続ける中、ゼロトラストは、増加する攻撃を阻止するためのスマートなアプローチのように思われます。

ゼロトラストの導入

組織にゼロトラスト・セキュリティモデルを導入することは、単に考え方を変えるだけではありません。会社の部門内の機能、現在導入されているソフトウェア、アクセスレベル、デバイス、そしてそれらの要件のそれぞれが将来的にどのようになるのかを明確に把握する必要があります。

ゼロトラスト・ネットワークをゼロから構築することは、既存のネットワークをゼロトラストに再編成するよりも、移行期間中も既存のネットワークの機能を維持する必要があるため、容易であることが多い。どちらのシナリオにおいても、IT チームとセキュリティチームは、理想的な最終的なインフラストラクチャと、そこに到達するためのステップバイステップの戦略を含む合意された戦略を策定する必要があります。

例えば、リソースセンターやデータセンターを設置する場合、組織はほぼゼロから始めなければならない場合があります。特にレガシーシステムがゼロトラストのフレームワークと互換性がない場合は特にそうです。しかし、企業がゼロから始める必要がない場合でも、ソフトウェアの導入方法や従業員の登用方法、使用するストレージの方法など、セキュリティポリシー内の特定の機能を再編成する必要があるかもしれません。

ゼロトラストの強み

ゼロトラストを組織のインフラストラクチャの基盤に組み込むことで、ITとセキュリティの基盤となる多くの柱を強化することができます。身分証明書やアクセスポリシーの強化やデータのセグメント化など、簡単な侵入障壁を追加し、必要に応じてアクセスを許可することで、ゼロトラストは組織のセキュリティ態勢を強化し、攻撃対象を限定するのに役立ちます。

ここでは、組織が取り入れるべきだと考える「ゼロトラスト」の4つの柱を紹介します。

  • 強力なユーザー識別とアクセスポリシー
  • データと資源のセグメンテーション
  • ストレージと転送における強力なデータセキュリティ
  • セキュリティオーケストレーション

ユーザーの識別とアクセス

多要素認証(MFA)で安全な要素の組み合わせを使用することで、チームは誰がリクエストを行っているのかを十分に把握することができ、よく考え抜かれたポリシー構造は、その識別に基づいてどのリソースにアクセスできるかを確認する必要があります。

多くの組織では、シングル・サインオン・サービスを使用した IDaaS(Identity-as-a-Service)クラウド・プラットフォームを選択することで、データやアプリケーションへのアクセスをゲートしています。ゼロトラスト・モデルでは、アクセスを許可する前に、アクセスを要求している人、要求の文脈、およびアクセス環境のリスクを検証することで、アクセスをさらに保護します。場合によっては、これはリソースの機能を制限することを意味します。他のケースでは、認証やセッションのタイムアウトを追加することになるかもしれません。

セグメンテーション

しかし、堅牢なアクセスポリシーは、データとリソースを適切にセグメント化しなければ意味をなさない。入口テストに合格した人なら誰でも好きなものに飛び込んでアクセスできるようなデータの大きなプールを作っても、機密データが共有されるのを防ぐことはできませんし、内部の人間がセキュリティツールやその他のリソースを悪用するのを防ぐこともできません。

組織のネットワークをセグメントに分割することで、ゼロトラストは不正なユーザーから重要な知的財産を保護し、脆弱なシステムを十分にガードすることで攻撃の対象を減らし、ネットワークを介した脅威の横移動を防ぎます。また、セグメント化は、従業員に物理的な危険をもたらす可能性のあるインサイダーの脅威を含む、インサイダーの脅威の影響を制限するのに役立ちます。

データセキュリティ

データへのアクセスを制限し、セグメンテーションによって攻撃の対象を減らしても、組織は保管中および輸送中のデータを安全に保護しなければ、データの侵害、データ漏洩、およびデータの傍受の危険にさらされることになります。エンドツーエンドの暗号化、ハッシュ化されたデータ、自動化されたバックアップ、および漏洩したバケットの安全性を確保することは、組織がゼロトラストをデータセキュリティ計画に導入できる方法です。

セキュリティ・オーケストレーション

最後に、これらの柱のすべてに通じるものとして、セキュリティオーケストレーションの重要性があります。セキュリティ管理システムがなくても、ゼロトラストを利用する組織は、セキュリティソリューションがうまく連携して、可能性のあるすべての攻撃ベクトルをカバーできるようにする必要があります。重複はそれ自体は問題ではありませんが、効率を最大化し、競合を最小化するための適切な設定を見つけるのは厄介なことです。

ゼロトラストの課題

ゼロトラストは、ユーザー、エンドユーザーデバイス、API、IoT、マイクロサービス、コンテナなどからのネットワーク、アプリケーション、環境全体のアクセスを確保するための包括的なアプローチとされています。ワークフォース、ワークロード、職場を保護することを目的としていますが、ゼロトラストにはいくつかの課題があります。それには以下のようなものがあります。

  • 利用者の種類が増えてきている(オフィスでもテレワークでも)
  • より多くの異なる種類のデバイス(モバイル、IoT、バイオテック)
  • より多くの異なる種類のアプリケーション(CMS、イントラネット、デザインプラットフォーム)
  • データ(ドライブ、クラウド、エッジ)にアクセスして保存する方法を増やしました

そう遠くない過去には、労働者の大多数が労働時間の大半を勤務地で過ごすことが当たり前のように行われていました。しかし、フォーブスによると、米国の人口の少なくとも50%が何らかの形でリモートワークに従事していると言われている現在はそうではありません。つまり、VPNサービスを利用しない限り、自宅のIPやルーター、公衆Wi-Fiからデータにアクセスすることになります。

しかし、ユーザーは必ずしも労働力に限定されているわけではありません。顧客は、業界によっては組織のリソースにアクセスする必要があることもあります。例えば、次の配送先の注文を選択したり、在庫を確認したり、デモやトライアルに参加したり、もちろん企業のウェブサイトにアクセスしたりする顧客の場合を考えてみましょう。サプライヤーやサードパーティのサービス会社は、オペレーション、安全性、進捗状況を確認するために、組織のインフラストラクチャの他の部分にアクセスする必要があるかもしれません。

これらの例はいずれも、ユーザー層のばらつきが大きく、カバーすべきアクセスポイントの数が多いことを示しています。これらのグループや個人ごとに具体的なポリシーを策定するのは時間のかかる作業であり、新しい従業員や顧客の流入を継続的に維持することは、今後この作業を管理する者にとって大きな負担となります。

デバイス

BYODポリシーとIoT機器、さらにはリモート従業員のための「常時接続」というメンタリティの時代にあって、組織は仕事で使用されるデバイスとそれに付属するオペレーティング・システムの多様性を許容しなければなりません。これらのデバイスにはそれぞれ独自の特性、要件、通信プロトコルがあり、ゼロトラスト・モデルの下で追跡し、保護する必要があります。繰り返しになりますが、これにはもう少し前もっての作業が必要ですが、プラスの結果が得られる可能性が高いです。

アプリケーション

ゼロトラスト戦略を採用する際に考慮しなければならないもう一つの困難な要因は、組織全体で人々やチームが共同作業やコミュニケーションを行うために使用されているアプリケーションの数です。これらのアプリケーションの中で最も汎用性の高いものは、クラウドベースのもので、複数のプラットフォームで使用することができます。しかし、この汎用性は、何を許可して何を許可しないかを決定する際に、複雑な要因となることがあります。

アプリはサードパーティのサービス、代理店、またはベンダーと共有されているか?コミュニケーションプラットフォームは外向きで、従業員だけのものではありませんか?このアプリケーションは、財務、デザイン、プログラミングなどの特定の部門にのみ必要なものなのか?やみくもに全従業員のために60のアプリケーションのスタックを採用する前に、これらの質問のすべてに答えなければなりません。

データ

旧来のセキュリティポリシーが支持されなくなってきている理由の1つは、もはや保護すべき場所が1つではなく、固定された場所になってしまったことです。組織はエンドポイントや企業ネットワークだけを保護することはできません。リソース、データ、さらにはアプリケーションまでもがクラウドベースの環境に保存されるケースが増えています。

これは、エッジ・コンピューティングへの移行の可能性があるため、IT チームは中央集権型のトップダウン・インフラストラクチャから分散型の信頼モデルへの切り替えが必要になることで、さらに複雑化しています。漏洩したクラウドリソース(AWSバケットやエラスティックサーバー)についてのシリーズで見てきたように、企業がゼロトラスト戦略の最弱のリンクとして終わることを望まないのであれば、クラウドサービスやそれ以降のデータインフラストラクチャの構成は完璧である必要があります。

信用するかしないか

ゼロトラスト・セキュリティフレームワークへのオーバーホールは簡単にはできませんが、組織全体のセキュリティ姿勢と意識を強化することができると私たちは考えています。古参の経営者を説得しようとしているITチームは、自分たちの主張をするために、絶好の機会を探しているかもしれません。例えば、すでにクラウドベースのリソースへの移行が計画されている場合は、ゼロトラストの採用を提案するのに適したタイミングです。

VPNやCitrixの最近の脆弱性や、リモート・デスクトップ・プロトコル(RDP)を介して配信されるランサムウェアなど、脅威の状況が変化しているため、アイデンティティとアクセス管理のためだけにゼロトラスト・ソリューションを調査する組織が増えているかもしれません。これらの組織は、移行期間を設け、大きな変化に備える必要があります。

境界線内のトラフィックを自動的に許可しない適切なゼロトラストのフレームワークは、ハッカーが侵害されたネットワークを掌握するために使用する横方向の脅威の動きを確実に妨げることになります。EmotetやTrickBotのようなビジネスに焦点を当てたトップレベルの脅威は、セグメント化されたネットワークの中でサーバからサーバへと移動することができないため、拡散の妨げになります。侵入ポイントは通常、攻撃者のターゲットとなる場所ではないため、内部境界線を設定することで、攻撃が成功した場合の深刻度を制限することもできます。

これらの層に、強力なデータセキュリティの衛生管理と、脅威の種類、オペレーティングシステム、およびプラットフォームを幅広くカバーするインテリジェントなオーケストレーションを加えれば、企業は、今日のセキュリティフレームワークを打ち破るのはかなり困難になるでしょう。私たちの目には、これがゼロトラストをヒーローにしていると映っています。

ゼロトラストでリモートアクセスを安全に実現する

リモートアクセスの世界が変わった

クラウドコンピューティングが成長しているというのはほぼ決まり文句になっていますが、クラウドへの移行が急速に進んでいることを裏付ける数多くの統計データが出回っています。筆者はそれらの統計情報からいくつかの重要な事実を得る事が出来ました。1つ目はオンプレミス、オンプレミス・プライベート・クラウド、ホスト型プライベート・クラウド、SaaS、パブリッククラウド(AWSやAzure、GCPなどのIaaS/PaaS)など、ワークロードを置く場所の多様性です。

そして様々な統計情報の中で最も興味深いのは、来年までに、そして初めてワークロードを展開する方法の第一位はSaaSアプリケーションになるということです。逆に、従来のオンプレミス型のワークロードは基本的に半分に削減され、アプリケーションを展開するための主要な方法ではなくなり、わずか半分程度に減少するでしょう。

それと同時に、労働者はテレワークで仕事をしたり、複数のデバイスを使用したりするケースも増えています。その他のデータによると、従業員の4分の1強が、時間のすべてまたは大部分を自宅または別の「オフィス以外の」固定された場所(スターバックスなど)で仕事をしていることがわかります。また、3分の2近くの従業員が、週のうち少なくとも一部の時間帯にリモートワークを行っています。残念ながら、これらの傾向はCOVID-19への対応により加速する可能性が高く、VPNVDIのようなものの使用が大幅に増加すると思われますが、SaaSアプリの使用がより一層促進され、やがてAWSやMicrosoft Azure、Google Cloud Platform (GCP)のようなパブリッククラウドに移行するアプリも増えると思います。さらに、このテレワークへのシフトは、少なくともオフィスに戻ることのない一部の社員にとっては、ある程度までは恒久的なものになるのではないかという憶測が広がっています。

VPNは現代のエンタープライズ向けに設計されたものではない

しかし、既存の VPN インフラストラクチャは、この新しい世界に最適化されていません。VPN は、内部リソースへのリモート接続を提供するという点では優れていますが、UXやパフォーマンスの面では多くの欠点があります。また、VPN は、ユーザーが仕事をするために必要なアプリケーションだけではなく、フラットネットワーク全体への広範なアクセスを提供するという意味で、セキュリティ上の課題も抱えています(後述する最小特権の原則)。

ゼロトラストは新しいセキュリティの考え方

また、VPNのハードウェアとクライアント・ソフトウェアを合わせたコストは、すぐに高額になる可能性があります。また、VPNは一般的に導入が困難です。新しいハードウェアをインストールしてVPNクライアントソフトウェアを展開することも、特に請負業者やパートナー、コンサルタントが使用している非管理型のデバイスの場合には課題となります。これは、従業員の20%の従業員がリモートで仕事をしていたのが、80%以上、場合によっては98%になったと最近耳にしたことがあるような企業ではなおさらのことです。

現在、私たちが生きているこの新しい世界では、特にアプリケーションとユーザーの両方が分散化していく中で、境界線ベースのセキュリティモデルはますます重要ではなくなってきています。この1年ほどの間に、ゼロトラストと呼ばれるセキュリティの新しいアプローチが注目を集めています。ゼロ・トラストについては、他のブログ(例えば、「ゼロ・トラストの進化」)で詳しく説明してきましたが、非常に高いレベルでは、ゼロ・トラストのセキュリティは、いくつかのコアコンセプトに基づいています。

  • リソースへのアクセスを「どこにいるか」よりも「誰が」いるかに基づいて、リソースへのアクセスを提供し、継続的に承認します。言い換えれば、アクセスは自分のアイデンティティに基づいて行われるべきであり、これは、自分がどのネットワークサブネットやVLANにいるかだけではなく、MFAやデバイストラストなどの認証技術をより多く使用することを意味します。
  • 最低限の特権の原則を強制する:利用者(またはサービス)が仕事をするために特に必要なものへのアクセスを許可するだけで、それ以上は何もしない。

ゼロトラストを実現するためのNISTガイドライン

Software Defined Perimeter (SDP) は、従来のVPNの代替となり得る、より広範なゼロトラストフレームワークの中に収まる比較的新しい技術である。SDPとゼロトラストベースのアクセスには、多くの異なるアーキテクチャアプローチがあり、NISTは公式の文書で一連の正式な推奨事項を示しています。

正直言って、NISTの論文は濃密な内容で、ほとんどの人は時間がなく、目を通す気にはなれないでしょう。しかし、この記事の残りの部分では、この論文の3つの重要な提言と思われるものに焦点を当て、平均的な企業にとって本当に意味のあることを読み解いていきたいと思います。さらに重要なことは、これら3つのテーマに焦点を当てることで、企業がレガシーなVPN資産を安全なリモートアクセスのためのより近代的なアプローチに置き換えるためのゼロトラストの実装を始める準備をするのに役立つということです。

NISTの提示する要件:画一性を排除する

“企業はリモート環境において、社内ネットワークインフラを最初にトラバースする必要なく、企業リソースにアクセスできるようにしなければなりません。例えば、リモートユーザーは、企業によって利用され、パブリッククラウドプロバイダーによってホストされているサービス(電子メールなど)にアクセスするために、社内ネットワーク(仮想プライベートネットワーク/VPN)へのリンクバックを使用する必要はありません。”

意訳:1 つのサイズにすべてのアプローチを適用しても効果はありません。機密性の高い企業アプリケーションが配備されている場所に基づいて、適切なゼロトラストの実現方法を選択してください。

最新のアプリケーションは、従来のデータセンターのオンプレミス、プライベートクラウド、AWS、Azure、Google Cloud Platform (GCP) などのパブリッククラウド環境、または SaaS アプリケーションとして実行されるなど、どこでも実行することができます。しかし、後者はそれぞれ独自のセキュリティ要件を持っているため、アクセス戦略とポリシーは、各アプリケーションのシナリオに合わせて調整する必要があります。簡単に言えば、アプリケーションが実行されている場所に基づいて、適切なゼロトラストの実現方法を適用することです。そして、それがSaaSアプリケーションを意味するのであれば、アプリケーションにアクセスしてセキュリティポリシーを適用するためだけに、ユーザー・トラフィックのすべてを企業のマザーシップに持ち帰る必要はありません。

NISTの提示する要件:クラウドベース

“ゼロトラスト・アクセス決定プロセスをサポートするために使用されるインフラストラクチャは、プロセス負荷の変化を考慮して拡張可能なものにすべきである。ZTAで使用される PE、PA、および PEP は、あらゆるビジネスプロセスの重要な構成要素となる。PEP に到達するまでの遅延や不能(または PEP が PA/PE に到達できない)は、ワークフローの実行能力にマイナスの影響を与えます。ZTAを実装する企業は、予想されるワークロードに合わせてコンポーネントをプロビジョニングするか、必要に応じて使用量の増加に対応するためにインフラストラクチャを迅速にスケーリングする必要があります。”

意訳:スケーラビリティとパフォーマンスが鍵を握る。将来性のあるクラウドベースのアーキテクチャを使用しましょう。

先に述べたように、従来のVPNの欠点の 1 つはスケーラビリティです。さらに、スケーラビリティと俊敏性は、特にKubernetes、マイクロサービス、サーバーレス・コンピューティングなどの新しい開発が普及する中で、よりクラウドベースのアーキテクチャに移行することの主な利点の2つです。しかし、後者のメリットは、ゼロトラストの原則を展開するための拡張性の高いクラウドベースのアーキテクチャを構築しなければ、ほとんど意味がありません。

NISTの提示する要件:柔軟なポリシー

“企業の資産は、観察可能な要因により、特定の PEPsに到達できない場合がある。例えば、要求するアセットが企業の本国以外に位置している場合、モバイルアセットが特定のリソースに到達できない可能性があるというポリシーがあるかもしれません。これらの要因は、場所(地理的位置またはネットワーク上の位置)、デバイスの種類、またはその他の基準に基づ いている可能性がある。”

意訳:既存のエンタープライズと統合されたコンテキストベースなアクセスのための、粒度が細かく柔軟なポリシーを実装する必要があります。

先に述べたように、ゼロトラストフレームワークのセキュリティポリシーは、ネットワークの場所よりも、ユーザのコンテキストと属性に基づいているべきです。どのリソースにアクセスできるかを決定する主要な入力ではなく、ロケーション、多くの異なる文脈(時間帯、曜日、ユーザの役割、地理的速度など)と行動指標(ジョーは通常そのアプリケーションにアクセスしているか?ゼロトラストのソリューションが、ポリシーの決定に必要なすべてのシグナルをネイティブに提供できる可能性は低いでしょう。

ゼロトラストのための厳守事項

ゼロトラストへの道のりには多くの考慮事項が含まれますが、これらの3つの重要な項目を順守することは、強固なゼロトラストの基盤を確立するための長い道のりとなります。

  1. 1 つのサイズですべてのアプローチを行うことはできません。機密性の高い企業アプリケーションが配備されている場所に基づいて、適切なゼロトラストの実現方法を選択してください。
  2. スケーラビリティとパフォーマンスが鍵を握る 将来性のあるクラウドベースのアーキテクチャを使用します。
  3. 既存のエンタープライズツールと統合された、きめ細かく柔軟性のあるポリシーフレームワークを実装して、コンテキストアクセスを実現します。

【解説】仮想デスクトップ(VDI)が企業にもたらす5つのメリット

VDIの導入は生産性に直結

成功を収めるために、企業はITサービスの重要性を益々認識しています。テクノロジーは、事実上あらゆるビジネスの多くの機能において圧倒的な役割を果たしており、最高品質のITサービスを導入しなければ、その企業が成功することはほぼ不可能となりました。ITサービスの利活用で競合他社に遅れをとっている企業は、ほぼ確実にライバルへ遅れをとることになります。

おそらく、近年のIT業界で最も注目すべき重要な変化は、孤立したIT部門から、重要かつ包括的な組織全体のITプレゼンスへの移行、つまりデジタルトランスフォーメーションです。IT部門は地下室から社長室まで、そして社外のあらゆる場所へと対象領域が広まっています。現在ではあらゆる業界の組織レベルで、従業員が日常的にテクノロジーに依存している業務が増え続けています。ITはもはや、基本的なインフラとしての立ち位置を維持しながらも、業界のライバルに対して決定的な競争上の優位性を企業に提供できる戦略的イニシアチブとしての地位を確立しました。

この傾向は、あらゆる種類のビジネスに多大な影響を与えています。その中でも特に重要なのは、組織全体の一貫性を確保するという課題です。おそらく最も重要なことは、企業はデスクトップ・エクスペリエンスを標準化し、これらのリソースを管理する方法を見つけなければならないということです。これが達成できなければ、企業はさまざまな面で苦境に立たされることになります。 この標準化を実現できなければ、互換性の観点から問題が発生する可能性が高く、社内ネットワークに接続されているすべてのコンピューティング機器の整合性を確保することがはるかに困難になります。一貫性のないデスクトップの導入は、企業の全体的な生産性、効率性、セキュリティを低下させる事に直結します。

多くの企業が気づきつつあるように、仮想デスクトップ・インフラストラクチャ(VDI)は、この障害を克服するための理想的なソリューションです。企業はVDIを使用することで、ヘルスケア、金融、および製造業等様々な業種において全ての従業員に一貫したデスクトップ体験を提供すると同時に、高レベルのセキュリティを実現する事でテレワーク環境を実現しつつも、法規制に関連するコンプライアンス基準を維持することができます。VDIを採用することで、コストを削減し、従業員の労働生産性を改善しながら、企業は組織全体の生産性も大幅に向上させることができます。

VDIの定義

VDIは基本的に、デスクトップ環境と関連プログラムが、もはや従業員のパーソナルコンピュータに収容されるのではなく、むしろ組織のデータセンターに保管されるような展開をします。その結果、VDI環境ではユーザーは自分の身元を確認した後、利用可能なコンピュータを介して様々な環境から様々なシステムに対してサインオンすることができ、すぐにパーソナライズされたデスクトップにアクセスすることができるようになります。使用するコンピュータが物理的に社内にあるか、他の場所にあるかは関係ありません。

これは会社にとって様々なメリットをもたらします。その中でも特に注目すべきは、企業のデスクトップ管理が飛躍的に容易になり、効率的になること、デスクトップエクスペリエンスが統一されること、テレワーク環境での柔軟性が高まること、BYOD(Bring your own device)ポリシーがより効果的に実施できること、セキュリティが改善されることです。

管理の簡素化

簡素化された管理を実現するという目標は、紛れもなくあらゆる業界においてVDIを採用する最大の要因です。VDIが導入されると、従業員はデスクトップ環境を一元化されたデータセンターを介してアクセスできるようになるため、デスクトップ環境を監視することがはるかに容易になります。これにより、企業はデスクトップへの投資から大きな価値を得ることができます。

バージョンアップの互換性に関する問題

恐らくこのメリットは、会社全体のシステムアップグレード時に最も強力なものとなるでしょう。例えばMicrosoftが最新のオペレーティング・システムを発表すると、レガシーなデスクトップ環境を使用している企業は困難な状況に陥ります。バージョン毎の互換性が保てず、利用に苦心してしまう可能性があるのです。企業の特定部署では、最新の最先端の Microsoft OS を利用したいと考えている。しかし、このOSを従来のデプロイに頼っている場合、組織内のユーザーが利用できるようにするには、非常にコストがかかります。そのためには、すべてのデスクトップを新しいモデルに置き換えるか、組織全体のアップグレードを行わなければなりません。また、これには時間・労力・資金の大規模な投資が必要となります。本質的に情報システムの担当者は、デスクトップ環境の移行を1台ずつ行い、すべてのデバイスを個別にアップグレードしなければならないという難しい見通しに直面しています。このような状況は、何もマイクロソフト製品だけに当てはまるものではありません。新しい重要なアプリケーションが利用可能になると、それが広く利用可能なものであれ、業界特有のものであれ、往々にして発生します。

この問題を強調しているのは、最近のSpiceworksとVMwareの調査で、中小企業の情報システム担当者250人にアンケートをとって発見されたものです。その調査によるとこれらの専門家の37%が「ハードウェアとエンドポイントデバイスを更新するのに十分な予算と時間を確保する事」を組織が直面している主要な課題と考えているということです。

バージョンの互換性に対する解決策

他の唯一の選択肢は、単にアップグレードを待つことであり、これは、組織の従業員が一定期間、利用可能な最新のコンピューティングソフトウェアにアクセスできなくなることを意味します。「じっとして待つ」という方法は、その場しのぎとして短期的には有効な選択肢ですが、長期的には良い戦略とは言えません。しかし、企業がVDIを採用するとこの課題は消えてしまいます。
物理的な機器を交換したり、高価で断片的なものを追求したりせずに アップグレードを行うことができます。そのため、アップグレードのメリットとして従業員は遥かに迅速に、そして企業にとってはるかに低いコストで業務を再開することができます。

VDI は小規模なアップグレードにも強力なメリットをもたらします。VDIソリューションを導入することで、管理者はユーザのデスクトップに個別に更新プログラムをインストールするのではなく、一度の作業でアプリケーションやプログラムの更新を簡単に実装することができます。

VDIの生産性自体が競争力に

あらゆる規模の企業が、これらの利点をいち早く認識し、競争上の優位性を得るための手段の一つとしてVDIを採用しています。IT Business EdgeとPalmer Researchが2011年3月に実施した575人のIT専門家を対象とした調査によると、デスクトップ仮想化を導入する上で最も重要な要因の1つは、導入の容易さとアプリケーションのメンテナンス性の向上であることがわかりました。また、デスクトップ管理の複雑さとコストを最小限に抑え、Windows 7のアップグレードの導入プロセスを簡素化することが、回答者の企業におけるVDIの最大のメリットの1つであると考えられています。

より具体的な事例として、トレンドマイクロの事例を紹介していきます。トレンドマイクロではOS、セキュリティ、その他のアップグレードにかかるコストを最小限に抑えつつ、すべてのユーザーのために、デスクトップのプロビジョニングを簡素化するという課題に直面していました。そして、同社はVDIを導入することでデスクトップのプロビジョニング時間を平均8時間から30分に短縮すると同時に、セキュリテの改善とコスト削減にも成功したと言われています。これにより、従業員はデスクトップ周りの設定に悩まされる事なく、より早く仕事に復帰できるようになりました。その他にも、VDIを導入した結果ダウンタイムを最小限に抑えることにも成功し、全体的な生産性と効率性を大幅に向上させることができたと言います。

通常のOSアップデートではなくより複雑なアップグレードの場合、従来の導入では達成までに最大1年かかる場合があります。しかし、VDIソリューションを導入することで、同じアップデートでも最短1日で達成することができます。

統一された体験

組織全体で統一されたデスクトップ・エクスペリエンスを実現することは、VDIソリューションの最も重要な利点の1つです。多くの企業にとって、一貫性は非常に重要です。従業員は、標準的なPC機器を使用していない場合でも、いつでも必要なデスクトップ・プログラムやアプリケーションにアクセスできる必要があります。

レガシーなデスクトップ環境では、この目標を達成することは不可能ではないにしても、非常に困難です。事実上、すべての組織は多くの異なる部門で構成されており、それぞれの部門には非常に異なる仕事の機能と責任を持つワーカーがいます。これらのタスクを実行するためには、ワーカーは特定のソフトウェアプログラムを入手する必要があります。 組織内の各デスクトップにこれらのアプリケーションをインストールするのに十分なライセンスを取得するのは経済的に無理があります。しかし、特定のプログラムを利用できるデスクトップステーションが限られている場合、各従業員の働く場所の選択肢が大幅に制限されてしまいます。

特定のデスクトップの修理やアップグレードが必要なために業務ができない状況が発生している場合、会社の生産性に支障をきたす可能性があります。

VDIはこの問題を解決します。その性質上、VDIはレガシーなデスクトップ・デプロイメントでは、データとアプリケーションはすべて事実上データセンターではなく、個々のコンピューティング・ステーションを利用しています。したがって、企業は権限のある担当者が、一貫したアクセスが可能であることを確認することができます。成功するために必要なプログラムと情報は、関係なくユーザーが使用している特定のマシンのデスクトップの一貫性は、組織全体、そしてすべてのユーザーに対して達成されています。

テレワーク対応のメリット

テレワークは、あらゆる産業において、企業にとっての基本的なニーズとして急速に定着しつつあります。企業は競争の激しい市場でリーダーであり続けるために、より俊敏で適応力のある企業になる必要があり、テレワーク環境はこの目標を達成するための重要な要素となっています。従業員がオフィスの外でいつでも仕事ができるようになると、生産性が向上します。さらに、従業員がこのレベルの柔軟性を評価することで、仕事への満足度は一般的に上昇します。

しかし、テレワーカーが必要なツールを確実に利用できるようにするには、根強い問題があります。テレワーカーが彼らの仕事を行うために必要なアプリケーションや他のプログラムを利用することができない場合は、その生産に最適ではないだけでなく、実際に有効性の企業の全体的なレベルを傷つけることになります。

これは重要性が高まっている問題です。先に引用したSpiceworksとVMwareの調査によると、参加した中小企業の情報システム担当者の20%が、企業の最大のIT課題の1つとして「テレワーク環境でのユーザー管理」を挙げています。

VDIは、テレワーカーのデスクトップニーズに対応するための理想的な環境を提供します。VDIを使用することで、企業は他のどのソリューションよりも多くのアプリケーション、エンドユーザー、データセンターのトラフィックを管理することができます。VDIは設定や環境が集中化されているため、企業のリソースにアクセスするために使用するデスクトップに対して柔軟性をもたらします。更に企業のオフィス内にVDIを導入した場合に得られるメリットはすべて、従業員の自宅やサテライトオフィスにも拡大することができます。企業はテレワーカーの私物であるデスクトップにソフトウェアを購入してインストールさせる事なしに、各ワーカーが必要なアプリケーションやプログラムにアクセスできるようにすることができます。

BYODの推進役

テレワーク環境に加えて、BYOD の台頭は、現在あらゆる業界で進行中の最も重要なトレンドの 1 つです。BYOD はますます標準化されつつあります。ガートナーによると2017 年までに、全雇用者の約半数が組織内で BYODポリシーを強制的に導入し、残りの多くはオプションとして BYOD を提供しています。

BYODの導入環境では、従業員が個人のスマートフォンやタブレットを利用して業務に関連する作業を行うことが認められています。これはさまざまな面でビジネスを改善する可能性を秘めています。最も明らかなことは、移動中や自宅など、オフィスの外でも生産性を高めることができるということです。この柔軟性により、ワーカーは机に縛られることなく、より多くの総作業を行うことができます。BYODは従業員にとっても魅力的なので、その満足度は最終的に企業にとっても非常に有益です。

BYOD実現のための課題

しかし、これはテレワーク環境と同様に、企業は従業員が必要なリソースを活用することができるという大きな課題に直面しています。BYOD環境では、従業員が使用するデバイスが標準的なデスクトップを超えることになりますが、必要なツールは変わらないため、多くの点で難易度はさらに高くなります。そのため、企業はモバイル上でデスクトップレベルのユーザビリティを提供するソリューションへと投資をしなければなりません。

VDIは、企業が正確にこの目的を達成することを可能にします。ユーザーは、承認されたモバイルデバイスを介してログインし、デスクトップ上で通常利用可能なすべてのアプリケーションにすぐにアクセスすることができます。これは、リソースが一元化されているため、様々な担当者に個別にこれらのツールを提供するよりもはるかに実用的なソリューションです。

例えば、BizTech Magazineの最近の記事では、法律事務所Foley & Lardner内でのVDIとBYODの使用が取り上げられています。この組織は 4 カ国にオフィスを構え、900人の弁護士と数百人の従業員を雇用していました。このような多様な人材に BYOD の利点を見出すために、法律事務所では、弁護士が独自のニーズに最も適した特定のモバイル・デバイスを自由に利用できるようにすると同時に、関連するすべてのアプリケーションにアクセスできるようにする必要がありました。記事によると、VDI を追求することで、企業はVDI 環境の集中管理の性質のおかげでデスクトップをサービスとして提供することができました。

このような戦略は、事実上あらゆる規模の企業で活用できるため、ますます一般的になってきています。1,000 人以上のビジネス・ユーザーを対象とした最近の Cisco IBSG の調査では、モバイル・デバイス上でデスクトップ・エクスペリエンスを提供するためにVDI を活用することが、BYOD 導入による柔軟性と生産性の向上を実現するために企業が利用している最も一般的な戦略の1 つであることが明らかになりました。

セキュリティとコンプライアンスの改善

企業のデータとリソースのセキュリティを確保し、特定の業界のコンプライアンス基準を満たすことは、テレワーク環境または BYODの導入の最も困難な側面の 1 つです。従業員が使用するデバイスがオフィスの外にある場合、企業の情報システム部門がセキュリティ・ポリシーとコンプライアンス基準を実施することは非常に困難になります。これは、従来の配置では、各デバイスは独自のインストールされたプログラムを持っているという事実に起因しています。権限のないアプリケーションを使用しているにもかかわらず、義務化されたセキュリティ対策が含まれていません。

VDIで一気にコンプライアンス順守を実現

VDIはこれらの障害を排除します。VDIの導入では、すべてのデバイスがデータセンター内で動作するため、従業員が利用するデータが組織から離れることはありません。これにより、企業は各従業員の個人的なデバイスを保護しようとするのではなく、一元化された一貫したリソースにセキュリティ対策を集中させることができます。

さらに、VDIには暗号化手段が組み込まれているため、安全性が確保されています。これにより、企業データを保護するための企業のファイアウォールやその他の戦略を補完し、新たな防御力を追加します。実際これによりある企業の意思決定者は、セキュリティの向上が VDI導入の最も重要な利点の 1 つであったと述べています。また彼曰く、VDIのおかげで深刻度の高いセキュリティリスクを防ぐことに集中することができるようになったとも述べています。小規模なセキュリティイベントはVDIに任せる事で、組織全体のセキュリティだけでなく、セキュリティ担当部署の効率性も向上したという事です。

不可逆な流れにVDIで対応する

上記のようなメリットを考えると、VDIがあらゆる業界で急速に支持者を増やしているのは当然のことです。BYODテレワーク環境サイバーセキュリティなど、テクノロジーの進化と拡大が続く中、企業は効率性の最適化、柔軟性の向上、コストの削減、アップグレードの迅速な実装、従業員の要求を満たすための迅速なソリューションを必要としています。

VDIは、これらすべての目標を達成するための重要なリソースです。企業は、すべてのデスクトップリソースの管理と監督を簡素化しながら、IT投資を最大限に活用することができます。あらゆる規模やセクターの組織がVDI戦略を追求することで、すぐに利益を得ることができます。そして、先に引用した研究で明らかになったように、この傾向はますます強まっています。近い将来、VDIは企業にとって事実上の標準的なデスクトップソリューションになる可能性が高いです。

Desktop as a Service(DaaS)のコスト削減

DaaS(Desktop as a Service)とは、VDI(デスクトップ仮想化)の一種である仮想デスクトップ基盤を第三者が扱うサービスです。DaaSプロバイダは、インフラの設定、クラウドサービスとしてのデータの保存・バックアップ、セキュリティ対応、アプリケーションのインストール、アップグレードなどのサービスを提供します。このようなDaaSソリューションの利便性は明らかですが、DaaSの提供する隠れたメリットとして存在するのが、ビジネス上のコスト削減の効能です。適切な洞察と計画があれば、DaaSを導入する事によってコスト削減に伴うROIを迅速に得ることができます。本記事では、優れたDaaSソリューションが企業の収益に貢献する方法をいくつか紹介します。

DaaSのメリット:オフィス機器のメンテナンスが楽に

アップデート

DaaSソリューションを利用する上で最大の魅力の一つは、導入企業の情報システム担当者の負担を軽減することです。従来の機器のセットアップでは、情報システム担当者は特定の修正やアップデートを個別に適用するために、各支店や支社を訪問する必要があるかもしれません。対してDaaSソリューションでは、クラウド型のDaaSサービスで保持するイメージにアップデートを適用し、その変更をすべての仮想デスクトップへと反映させることで大幅な時間を節約することができます。

例えば情報システム部の担当者の時給が2000円とします。そのような状況下で、情報システム部の従業員が月に30分ほどかけて各マシンのアップデートを行うとすると、各支社の合計で年間合計20万円近くになります(機器は多数存在するため)。またアップデートに30分以上かかる場合や、より経験の無いスタッフがこのタスクを処理する場合は、それ以上の隠れたコストが発生しています。DaaSでは、すべての支社にある全ての端末の更新を、1台数分程度の時間で行うことができます。

セキュリティ

多くのクラウド型ソリューションと同様に、DaaSベンダーはソリューションがクラウドサーバ上にあるので、エンドポイントのセキュリティも担保します。このセキュリティ対策には、セキュリティソフトウェアや、サイバー攻撃の可能性を回避するためのさまざまなベストプラクティスが含まれています。またセキュリティ対策自体はパッケージの一部であるため、クライアントのセキュリティを最新の状態に保つための追加コストは不要です。

昨今の現代社会においては、データを保護することが最も重要になっています。テクノロジーを利用した企業はサイバー犯罪に対してどうしても脆弱です。実際、米国の「平均的な」企業は、そのせいで年間1540万ドルの損失を出していると報告されています。DaaSを導入していれば、すべての金銭的損失は避けられたかもしれません。DaaSの導入により、良いデータ保護を事前に設定することで、より安全な労務環境を実現します。

DaaSのメリット:新しい端末の導入時間を削減

新しい仮想デスクトップやワークステーションの導入は、一般的に非常に簡単です。従来のセットアップでは、新しい従業員のために新しい従来の業務端末を準備するために、ITスタッフが30分から1日以上の作業時間を費やす必要があるケースもあります。

なぜなら、DaaSを利用することで、情報システム担当者はクラウドサーバー上のイメージから、新しい環境のセットアップができるからです。このようなDaaSの利用はわずか数分で完了し、従来のデスクトップ へのセットアップでで数時間かかっていたのに比べれば、大幅に改善されています。

永続性と非永続性

ほとんどの DaaS ソリューションはデフォルトで永続化されており、各ユーザのデータやインストールしたアプリケーションを含む個々の仮想マシンは、ユーザがログオフしたときにプロバイダのサーバに保存されるようになっています。しかし非永続的なDaaSソリューションを持つことも可能だ。

逆に非永続的なDaaSソリューションでは、サーバ側には個別の設定やデータが保持されません。その代わり、クラウドのイメージはユーザーがログオンするたびに新しいデスクトップイメージとして適応されます。このようなソリューションが存在することは、すべての企業のニーズに対応できない場合でも、DaaS を利用して新たなデスクトップ・インスタンスを簡単に作成できることを物語っているといえます。

ソフトウェアライセンス

デスクトップのデプロイは簡単ですが、ソフトウェアやOSのライセンスは通常それぞれの会社に任されています。つまり各仮想マシンには、WindowsやMicrosoft Offi ceなどのプログラムのライセンスが必要になるということです。DaaSプロバイダーの中にはこのライセンスをパッケージの一部として提供しているところもありますが、パッケージに含まれていないプロバイダーの場合は、競合他社に比べてコストが低く見えます。しかし実態としては各種ソフトウェア・ライセンスが加算され、見かけ上の割引を相殺してしまう可能性もあります。

DaaSのメリット:コンプライアンス遵守が容易に

機密性の高い顧客を扱う組織は、データの取り扱いに関する政府の規制に準拠するために必要な情報を保存し、処理しています。例えば、医療機関はHIPAAガイドラインを遵守する必要があり、クレジットカードデータを保存する企業はPCI-DSSを遵守しなければなりません。これらの基準に違反した場合高額な罰金が科せられる可能性があります。単一の HIPAA 違反に対する罰金は、100 ドルから 50,000 ドルに及ぶことがあります。

企業の情報システム部門がこれらの標準に準拠するために必要な時間は、どの標準に準拠しなければならないか、また組織の規模によっても異なります。DaaS プロバイダは、これらの標準の多くを熟知しており、それぞれの標準をどのように遵守するかを熟知している傾向があります。優れたDaaSソリューションであれば、すでに業界標準に準拠した環境を即座にクライアントへ反映させることができ、時間と労力を節約できるだけでなく、コストのかかる違反料金を回避することもできます。

DaaSのメリット:サーバー容量の削減が可能

サーバー容量は、特に組織が成長するにつれて、大きなコストになることがあります。ご存知のように、サーバー1台に3000ドル以上の費用がかかることもあります。大抵サーバーの寿命は約4~5年で、サーバー1台あたり月50~60ドルの価値があります。

そのようにサーバーを自社運用していく大体手段として、企業はDaaSやVDIプロバイダーを通じてデータをクラウドに持っていくことができます。
このようにDaaSソリューションへサーバー容量をアウトソーシングすることで、サーバーの設置やメンテナンス、交換時期の監視にかかる費用を削減することができます。また、サーバーを保管するために必要な物理的なスペースを節約することができ、レンタルコストを削減できる可能性があります。

DaaSのメリット:従業員の自由と責任を拡大

DaaSを利用することで、ユーザーはモバイルデバイス、ラップトップ、オフィスのデスクトップコンピュータなど、あらゆるデバイスからまったく同じデスクトップ(すべてのデータを含む)にアクセスすることができるというメリットがあります。これは頻繁に出張したりするようなリモートで業務を行えるようになるというテレワーク対応としてもメリットがあり、特に特定の業界や職種では便利です。

従業員が完全にリモートで(テレワーク環境で)仕事をする可能性がある場合、企業は家具に関連するすべてのコストと一緒に、オフィススペースのレンタルコストを節約することができます。また、従業員が自分のデバイスを職場に持ち込むこと(BYODの実施)ができるため、機器の供給コストを削減することができるというメリットもあります。

デバイスの障害

従来のデスクトップ環境では、デバイスの故障は壊滅的な問題になることがあります。デバイスの故障によって重要なデータや進捗状況が失われた場合、失われた作業を復旧させるなどの再構築には多大な時間と労力が必要になります。DaaSの場合、情報はDaaSプロバイダーのクラウドサーバー(外部サーバー)に保存・バックアップされるため、データを失うことはほぼありえません。また一度故障したデバイスが発生しても、端末自体を交換してしまえば、ユーザーはその端末の設定にかかる時間を気にすることなく元の作業を続けることができます。

DaaSのメリット:エンドクライアント機器の管理が容易に

従来のデスクトップ環境では、すべての労務環境に独自のハードドライブと技術的な仕様が必要でした。それに対してDaaSソリューションの特徴は、アプリケーションやOSがすべて仮想化されていることで、クライアントデバイスが特定のハードウェアを持つ必要性を減らすことができる、あるいはなくすことができるというメリットがあります。そのため、DaaSに取り組む企業にとって、シッククライアントはリーズナブルな(しかも非常に安価な)選択肢となりえます。

シッククライアント

この文脈では、従来のデスクトップコンピュータはシッククライアントとして知られています。対照的にシンクライアントは、仮想デスクトップにアクセスするためのソフトウェアを搭載しており、それ以外の機能はほとんどありません。まれにシンクライアントにもメンテナンスが必要なソフトウェアがインストールされている場合もあります。しかし、基本的にはシンクライアントはデバイス自体では処理をしない形になっており、それによる低消費電力が実現し、コストを抑えることもメリットとしては存在します。通常これらのデバイスは300ドル、200ドル程度の価格で提供されています。

シンクライアントは、シッククライアントに比べて作業負荷が軽いため、一般的に長持ちします。メンテナンスが必要な場合もありますが、故障する可能性のある部品が少なく、交換する部品も安価です。比較のために言及すると、ファットクライアントのコストが600ドルで4年持続する、対してシッククライアントは300ドルのコストと6年を持続させる事ができる場合、ファットクライアントは12.50ドル/月の費用がかかりますが、シッククライアントは約4.17ドル/月の費用がかかります。これは確かに魅力的な価格だと言えるでしょう。

ゼロクライアント

シンクライアントに代わるものとして、ゼロクライアントがあります。これらのデバイスは、シンクライアントと同じ方法で仮想デスクトップ空間にアクセスしますが、他のソフトウェアは一切インストールされていません。これらのデバイスの中には、ハードドライブが付いていないものもあります。ゼロクライアントの価格は通常、シンクライアントと比べても対して安くなっている訳ではありません。その代わり、企業はデバイス自体に必要なメンテナンスの量が少なくて済むため、そういった管理コスト削減の効果は期待できます。

シンクライアントとしてのシッククライアント

シッククライアントは、シンクライアントソフトウェアを使用することができます。しかし、このオプションはコスト削減にはならないので、ほとんどの企業にはアピールできません。ただし、現代の標準的なパワーに達していない作業用コンピュータをシンクライアントとして再利用することができることも意味します。その意味ではメリットになりうるでしょう。

新品で軽量機を購入した方が、古いパソコンを安く買うよりも投資になる可能性は高いですが、すでに所有している古い機械は無駄にする必要はありません。また、デバイス(古いPC、新しいPC、Mac、タブレットなど)に関係なく、全従業員が標準的なデスクトップを使用することで、ITサポートの問題やそれに伴うコストを削減できることも注目に値します。

DaaSのメリット:拡張が容易

仮想デスクトップはオンデマンドで簡単に作成・破棄できるため、DaaSプロバイダーは必要に応じてクライアントにスケールアップ・ダウン機能を提供しています。一般的には、システム上で許可されているデスクトップ数やユーザー数に応じて価格を上下させることができるような仕様が多いです。これは、迅速にスタッフを追加雇用したい企業や、人員が多すぎて少人数にスケールバックしたい企業にとっては有用だと言えるでしょう。

また、スケールアップやスケールダウンが可能なため、企業は低コストでセットアップを試すことができます。企業は少数の課金サイクルでマシンの数を増やすことができ、また、既存の仮想マシンに影響を与えることなく、新しいセットアップやプログラムの新しいスイートをテストするために新しい仮想スペースを使用することができます。最適なセットアップが決定されれば、追加の仮想マシンは(変更が標準マシンに適用されているかどうかに関わらず)リリースされ、価格は元のニーズのセットに戻ることができます。

DaaSのメリット:課金形式によるコストメリット

DaaSソリューションは、一般的に月額課金で運営されているサービスが多いです。また、DaaSは他の光熱費と同様に事業費とみなすことができ、サーバ・スペースやセキュリティ・ソフトウェアなどの費用をカバーすることができるため、これらの必要経費の多くを税金控除として計上することができる可能性があります。

また、ほとんどのDaaSソリューションのサブスクリプション課金方式は、企業に予測可能な定期的な費用を提供します。値上がりする場合は、DaaSプロバイダーがサービスレベルを上げる必要があるケースでのみ上昇します。

DaaSのメリット:ダウンタイムに対するリスク低減

DaaSプロバイダーの中には、ダウンタイムゼロのサービスを提供している(SLAなどで保証)ところもあり、通常は、ハードウェア障害が発生した場合に切り替えられるバックアップサーバーのようなコンポーネントの冗長性によって、ダウンタイムをゼロにすることができます。提供する製品やサービスによっては、過剰なダウンタイムは企業にとって致命的な影響を与える可能性があるため、潜在的な中断を回避できることは、リスクを軽減する上で非常に有効な手段であると言えるでしょう。

仮想デスクトップの展開は、すべてのユーザーに対して一貫したものになります。各ユーザーは自分の環境に変更を加えることができますが、すべて同じイメージをベースにしているため、特定のユーザーに固有の問題が発生する可能性は低いと考えられます。逆に万が一大きな問題が発生した場合にはすべてのユーザーに影響を与えうるという懸念もありますが、コアとなるイメージは一つなので、コアイメージさえ修正すれば一斉に修正を反映する事ができるので安心です。このようなDaaSの特徴により、ユーザー間での突然の未知の問題や矛盾のリスクを排除することができます。もう一つの追加で存在するDaaSのメリットは、発生する可能性のある技術的な問題はすべてプロバイダが処理する事になっているため、何かしらのインシデントに対応する必要があったりするケースでも、情報システム部の人間がそれらへの対処に作業時間を必要とするケースはありません。

DaaSのメリットまとめ

DaaSソリューションは、企業の情報システム部門の時間を大幅に削減し、定期的なメンテナンスだけではなく、より意味のあるタスクに集中できるようにします。

企業はDaaSを導入することによって、ユーザー固有の技術的な問題や外部からの攻撃、ハードウェアの障害が従業員の生産性に影響を与えるリスクを減らすことができます。また、ハードウェアと従業員自身をオフサイトに置くことで、クライアントは家賃の支払い(およびその他の間接費)を大幅に削減することができます。さらに、DaaSの導入を最終的に決定する前に、当面のニーズに合わせてスケールアップしたり、実験をしたりすることもできるでしょう。DaaSプロバイダーは、企業の多くの負担を軽減することができ、同時に企業は多くの金銭的負担から身を守ることを助けてくれます。

このようにDaaSソリューションを有効活用できる企業は、企業成功のために大きな時間及び金銭面でメリットを得られるでしょう。

BYOD:職場における個人端末の危険性とセキュリティリスクを解説

BYOD:職場でのサイバーセキュリティリスクの管理

この10年間で、テクノロジーは本質的に私たちのビジネスのやり方を変えてきました。10年前には、ビジネスのためのクラウドストレージを使用してのアイデアは考えられなかったでしょう。新しいテクノロジーが採用されるのは、ビジネス・オーナーにとって理にかなっているからであり、ほとんどの場合、リスクを上回るメリットがあるからです。今日、BYOD (Bring Your Own Device) は、ビジネス・オーナーがリスクとメリットを考慮した上で、新しいトレンドに適応するか、取り残されるかを選択しなければならない崖っぷちに立たされています。BYODを収益性の高いものにするためには、様々なリスクとのバランスを取ることが重要です。

本記事では、BYODを採用してリスクを管理し脅威を封じ込める、リスクを軽減するためのBYODデバイスポリシーを作成することの重要性について説明していきます。

尚、BYODに徹底的に解説されたホワイトペーパーに関心がある方は、別の記事をご確認ください。

スモールビジネスにおけるBYOD

現在、アメリカ人の3分の2以上がスマートフォンを所有し、45%がタブレットを所有し、40%近くがポータブルノートパソコンを所有しています。これらのデバイスはすでに職場で使われています。あるエコノミストインテリジェンスユニットのレポートでは、参加者の40% が、許可されているかどうかに関わらずスマートフォンを職場に持ち込むと主張し、50%がモバイルを主なコンピューティング デバイスとして使用していると回答し、多くの人がBYODに対するオープンなポリシーを掲げている職場でなければ仕事をしないと主張しています。

また、アメリカの労働者の99%は、すでに職場でスマートフォンやタブレットを使用しており、電子メールのチェック、チャットアプリの利用、ソーシャルメディアの管理、デジタルツールの利用、仕事用アプリへのアクセスなどに利用しています。ITポリシー・コンプライアンス・グループの報告書によると、企業レベルではスマートフォンを利用している従業員は33と高く、タブレットを利用して高度な情報にアクセスしている従業員は22%となっています。

BYOD は安全性の低い規制の厳しいデバイスを職場に持ち込むという形が遠因して、当初はリスクが高いように見受けられます。しかし雇用主と従業員の両方にいくつかの利点があります。雇用主は会社支給のデバイス、デバイスのトレーニング、維持管理、メンテナンスに投資する必要がないため、コストを節約し、従業員支給のデバイスから利益を得ることができます。従業員は自分のデバイスの使い方をすでに知っているため、デバイスを大切に使う可能性が高く、税金の控除対象となり、自分に合ったモデルを選ぶことができ、仕事とプライベートのタスクを簡単に切り替えることができるというメリットがあります。これにより、生産性が向上し、従業員がどこでも仕事ができるようになり、紛失や破損したデバイスのリスクや管理コストを軽減することができます。

BYODの課題を理解する

消費者は、これまで以上に幅広い種類のデバイスを購入しています。そしてその端末で今では仕事をしたり、遊びに行ったり、コミュニケーションを取ったり、さらには請求書を支払うことまでできるようになっています。これは従業員がこれらのデバイスを職場に持ち込んで、仕事の目的で使用したり、社内でアクセスしたりすると、ビジネスオーナーにとってはセキュリティ上の懸念材料になります。安全な領域でのデバイスやデバイスの種類の増加は、安全でないデータ、マルウェア、サードパーティ製アプリ、デバイスの紛失、さらには悪意のある従業員がそれらを使ってデータを盗むという形でセキュリティ上のリスクをもたらしています。これらのリスクを理解し、軽減するのは端末の管理者とその端末の保有者、つまり従業員次第です。

主要なオペレーティング・システム(OS)は数種類しかありませんが、これらのシステムには数十種類のバージョンやオプションが存在します。今日では、全従業員の52%が仕事で3 台以上のデバイスを使用しており、この数は今後も増加していくと予想されています。また、デバイスの種類が増えたことで、複数の種類のデバイスを管理することが格段に難しくなり、ITにおけるセキュリティ管理が難しくなっています。例えば、Android端末は現在2万4,000台を超えています。米国の全モバイル機器の52.8%がAndroid OSを使用しているため、Android端末だけでも大きなセキュリティリスクをもたらす可能性があります。 Androidがハミングバードのような悪質なソフトウェアに脆弱であり、50億以上ダウンロードされたAndroidアプリが攻撃を受けやすいことを考えると、特に関連性が高いと言えます。BYODによって導入されたさまざまなテクノロジーを管理することには限界がありるので、IT部門・情報システム部門はネットワークを統合する必要があります。リスクを管理するために、デバイスのみのポリシーではなく、セキュリティを重視した社内ルールが必要です。

また従業員は、データやネットワークを基本的に危険にさらしています。安全でない第三者の技術(サードパーティの技術)も使用しています。自分のデバイスを利用し、安全ではないデータを利用することでネットワークにもリスクが出てしまいます。仕事でも家庭でもリスクは常に存在するのです。従業員がサードパーティのアプリをダウンロードできる場合、そのようなセキュリティ上リスクの高いなデータソースに接続してリモートで仕事をすることになります。ある研究による仕事で使うアプリのうち、会社が作ったものは全体の約3割にすぎないことがわかりました。ITやデータ管理のためにサードパーティのアプリを利用していることをイメージすれば想像がつくでしょう。中小企業の場合は、アドビクラウドなどのクラウドサービスや Microsoft Office 365などがこれらのクラウドサービスに該当します。

ビジネスオーナーは、時間節約の習慣が脅威になることも気にしています。利便性に基づく決定は企業のセキュリティに悪影響を及ぼします。このような決定には「デバイスの暗号化を使用しない」「デバイスのロックやパスワード設定を怠る」「公衆無線LANから個人情報にアクセスする」「時間を節約するためにセキュリティ基準を下げる」などが含まれます。

最後に、すべてのビジネスにとってのリスクではありませんが、インサイダーの脅威(内部犯行)は損失を軽減しなければならない多くのビジネスにとって、ますます大きなリスクとなっています。

50人に1人の従業員が悪意を持っている可能性があり、業界によっては悪意のある攻撃の36%が内部の人間から来ているという調査結果もあり、悪意のある従業員の可能性とデータを盗む能力を無視することはできません。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

安全なBYODポリシーの統合

BYODにはそれ自体のリスクが伴いますが、多くの環境で収益性や生産性の向上につながることを証明することができます。これは特に、IT セキュリティ管理のコストとITサポート、デバイスの修理、交換、初期購入、雇用主が提供するデバイスとの暗黙のトレーニングのコストを削減することができます。しかし、質の高いBYOD ポリシーを導入するには、事業のリスクを特定し、会社のあらゆる領域を保護するための措置を講じる必要があることを意味します。

安全なBYODポリシーを作成するということは、次のステップを踏むことを意味します

  1. 脅威の評価、リスク分析の実施、ポリシー監査の実施、アプリ監査の実施、アーキテクチャ計画の評価、セキュリティの評価を行う
  2. ポリシーの更新、デバイス管理の統合、デバイスの安全性の確保、データの損失と保護基準の統合
  3. 方針の維持、コンプライアンスの確保、および必要に応じた更新

BYODポリシーの要素:リスクの見直し

慎重なリスク評価は、最も可能性の高い脅威とその影響を特定することで、リスクを認識し、リスクに対処するのに役立ちます。これにより、関連するサイバーセキュリティにリソースと予算を割り当てることができます。リスクが最も必要とされる場所で保護と予防のポリシーを活用できるようにします。

BYODポリシーの要素:ネットワークの保護

ネットワークセキュリティはリスク管理に欠かせません。24%以上の従業員が自宅で仕事をするなど、データ共有の重要性が高まっています。VPNとリモート接続を統合することで、このリスクを軽減することができます。また、仮想デスクトップ・インフラストラクチャ(VDI)を採用することで、従業員が使用する機密データや機密データは、デバイス上ではなく仮想デスクトップ上にあることを保証することで、リスクを抑制することができます。これにより、雇用主はデータの保存、転送、移動をよりコントロールできるようになります。

BYODポリシーの要素:モバイルデバイス管理(MDM)

デバイスベースのモバイルデバイス管理(MDM)は大企業には有効ですが、中小企業は一般的には、ネットワークベースのMDMを実装するのが良いでしょう。ネットワーク上のデータを制御し、セキュリティを提供します。また利用にはデバイスに直接インストールする必要があります。ネットワークベースのシステムは、デバイスに基づいてインテリジェントに更新することができます。そしてこれは、高価なITを必要とせずにデータのセキュリティを提供することができます。アップグレードは、デバイスの新しいバージョンがリリースされるたびに行われます。これは通常、デジタル証明書を使用して動作します。デバイスには、システム内でのアイデンティティと役割が割り当てられています。MDMを使用することで、雇用主はデバイスに対する制御を挿入することができます。アクセスをブロックするためにネットワークを使用して、リモートワイプまたはデバイスをロックし、ネットワークアクセスパスワードをリセットし、デバイスのロックを解除します。の間に使用されているWebページやアプリをブロックします。ネットワークを利用することができます。洗練されたネットワーク型のモバイルデバイス管理(MDM)プログラムは、アプリ内の特定のタイプの情報をブロックすることもでき、雇用主は有害な可能性のあるデータやデータをブロックすることができますまた、このようなマネージドネットワークアクセスは、どこからアクセスしてもデバイスの安全性が確保されているため、リモートユーザーやVPNユーザーの安全性も確保されています。ITの観点から の観点から見ると、モバイルデバイスはエンドポイントであるため、既存のエンドポイントに直接統合することは理にかなっています。SymantecのAltirisTM Client Management Suite または MicrosoftのSystem Center Configuration Manager がこの統合を処理することができます。

BYODポリシーの要素:モバイルアプリケーション管理(MAM)

モバイルアプリケーション管理は、VPNや他のソリューションを使用せずに、アプリケーションやイントラネットをより強力に制御することができます。MAMは、Microsoft Officeなどのサードパーティ製アプリケーションや電子メールアプリケーションに最適です。MAMを使用すると、本質的にサードパーティ製アプリや電子メールをコンテナ化してセキュリティリスクを制限することが出来ます。しかし、多くのMAMソリューションは特定のアプリケーションとしか互換性がありません。

BYODポリシーの要素:セキュリティ教育

セキュリティリスクに関する知識の不足がそのリスクに大きく寄与しており、従業員は機器や情報に無頓着である可能性が高いという実態があります。セキュリティ面に関する教育の検討も必須です。

BYODポリシーの要素:施行方法

多くの企業はすでに BYOD ポリシーを導入していますが、その多くは実施されていません。BYOD ポリシーを導入している企業の 53% 以上が、標準に準拠していないデバイスを 1 つ以上導入しています。定期的なコンプライアンス・チェック、非準拠デバイスが情報にアクセスできないようにするネットワーク・ベースのセキュリティ、従業員が IT を通じて簡単にデバイスをネットワークに追加できるようにする統合ポリシーがあれば、導入率が向上します。

終わりに

ほとんどの小規模企業では、アクセス制御、追加セキュリティの提供、およびデバイス・ユーザーの教育を目的としたセキュリティ・ポリシーを組み合わせることで、セキュリティを大幅に向上させることができます。しかし、強力なセキュリティ・ポリシーを統合するためには、企業は、特定の BYOD リスクを見直し、完全に理解する必要があります。

BYODは雇用主の時間とコストを節約し、従業員の幸せと生産性を向上させる可能性を秘めています。セキュリティを強化し、データを保護するためのリスク管理ポリシーを統合することで、これらのポリシーが関係者全員の利益になることを保証します。

より詳しいBYODに徹底的に解説されたホワイトペーパーに関心がある方は、別の記事をご確認ください。

モバイル・BYODなど高度なモビリティにMDMで対応する

BYODやモバイル端末による変化にはMDM対応が必須

モバイルワーカーの数は指数関数的に増加しており、可能性が拡大しています。企業の情報システム責任者に新たな課題を提示しながら、生産性の向上を目指しています。企業内のデバイスの量と種類が増えるにつれ、これらの課題はより複雑になっています。ここ数年はデバイス中心の管理戦略が主流でしたが、複数のプラットフォームでより多くのアプリケーションにアクセスする必要があるリモート・ワーカーの数が増加しているため、このアプローチではもはや追いつくことができません。企業の IT リーダーは、デバイスのロックダウンから、これらのデバイス上に存在する企業のアプリケーション、データ、およびその他の専有コンテンツの保護へと移行しなければなりません。つまりモバイルデバイスの管理を超えて、より全体的な管理方法に移行する必要があります。

続きを読む

EDRで脅威に対応する-エンドポイント・セキュリティを徹底解説!

EDRを導入することで企業のセキュリティを迅速にスケールできます

十分なモチベーションと時間とリソースがあれば、敵対者は最終的には組織の防御を突破する方法を考案します。残念ながら、そのような事態が発生した場合、ほとんどのセキュリティ製品は「攻撃に気付く事なく予防に失敗」してしまいます。侵入を検出することはおろか、侵入を警告することもできません。これにより、攻撃者は数週間から数ヶ月間、お客様の環境を自由に徘徊することができます。この状況は、可視性、セキュリティリソース、専門知識の不足によって更に悪化する可能性もあります。

続きを読む

VPNからゼロトラストネットワークアーキテクチャへの移行を検討

現代社会の企業は、リモートアクセスであるVPNの現代的な後継として、ゼロトラスト・リモートアクセス・ソリューション(ZTRA)を評価しています。(ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。)

 

VPNの起源は1996年にさかのぼりますが、当時はデータセンターがもっとシンプルで静的で、インターネットへの露出が少なかった時代でした。

続きを読む

ActiveDirectoryをクラウド統合し、ID管理する方法

ID管理サービスで、ADをクラウドに移行する

Active Directory (AD)は、MicrosoftがWindows 2000 Serverで最初にリリースした1999年から存在しています。長年にわたり、IDベースの関連活動を管理するための重要なオンプレミスサービスとなっています。しかし、クラウドサービスやアプリケーションに対する需要の高まりに伴い、昨今の企業はADがクラウド中心の世界や今日のユースケース向けに構築されたものではないことに気づき始めています。

続きを読む