fbpx

セキュリティ

認証進化の歴史:パスワードから生体認証まで

この記事では、過去50年間の認証の進化を探ります。パスワードと2要素認証から、真のパスワードレスセキュリティとゼロトラストセキュリティの時代に至るまで、ユーザー認証が長年にわたってどのように変化してきたか、またそれがどこに向かっているかを確認します。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。今だけ無料で公開されています。

認証は共有秘密を超えて進化している

アカウント乗っ取り詐欺(ATO)のコストは過去2年間で倍増しています。悪意のあるログインがeコマーストラフィックの90%以上を占めています。クレデンシャルスタッフィング攻撃は史上最高であり、米国の銀行業界には毎日5000万ドルのコストがかかっています。英国の全企業の半数以上が、過去2年間でフィッシング攻撃の被害を受けました。

パスワード、多要素認証、セキュリティトークン、バイオメトリクスの間で、インターネットユーザーはデジタルIDを保護するためにこれまで以上に多くの方法を持っています。それでも、これらの統計は、毎年悪化するデジタルIDの問題の物語を伝えています。

パスワードは1960年代に発明されました。2019年に早送りし、世界の多くは、オンラインサービスとITリソースへのアクセスを保護するための50年前のテクノロジーに依然依存しています。より強力な2要素認証ソリューションは広く利用可能ですが、広く採用されていません。インターネットユーザーの10%未満。実際、Mary Meekerによる2019年のインターネットトレンドレポートは、2FAのグローバルな採用が実際には50%の低い範囲で停滞していると推定しています。

非常に多くの認証方法を使用すると、アカウント乗っ取りの統計情報は悪化するのではなく、向上すると考えられます。

共有秘密は常に問題だった

問題は、パスワード、2FA、レガシーの多要素認証ソリューションに共通することが1つあるということです。それらは共有シークレットに依存しています。つまり、ユーザーには秘密があり、中央の権限には同じ秘密が保持されます。認証時に、これら2つのシークレットが比較され、ユーザーアクセスが承認されます。悪意のあるサードパーティがシークレットを傍受すると、ユーザーになりすます可能性があります。

悪い知らせは、この共有シークレットへの依存が、アカウント乗っ取り(ATO)の急増の一因となっている一方で、フィッシング、資格情報の詰め込み攻撃、およびパスワードの再利用に対して脆弱な多数のユーザーを維持していることです。

良いニュース?デジタルアイデンティティの状況は急速に変化しつつあります。

信頼についての簡単な歴史…

パスワード

  • 1961年:パスワードはFernando J. Corbatoによって発明された
  • 1974年:Unix OSでの最初のハッシュ形式のパスワードストレージ
  • 1998年:CAPTCHAとAdvanced Encryption Standard (AES)が公開された

ハードウェアセキュリティトークン

  • 2003年:ハードウェア2要素認証の主流の採用
  • 2005年:HOTP (OTP)アルゴリズムが登場

SMS 2FAA

  • 2007年:初代iPhoneがスマートフォン時代の幕を開けた
  • 2011年:TOTPが正式にRFC 6238になった
  • 2012年:FIDOアライアンスがパスワードなしの認証標準を確立するために立ち上げられた

Token MFAとしての電話

  • 2013年:アップルがTouchIDで生体認証を世界に紹介

真のパスワードなしのセキュリティ

  • 2018年~

ユーザー認証技術は進化しました。世界は、共有シークレットに依存する独自のモノリシック認証方式から、セキュリティと使いやすさを優先する標準ベースのパスワードレスソリューションに急速に移行しています。

デジタルIDの方向性を予測するには、最初にここに到達する方法を理解する必要があります。このペーパーでは、デジタル認証の歴史の簡単なタイムライン、一般的なさまざまな認証方法の概要、およびこれらのアプローチが相互にどのように組み合わされるかを探る認証攻撃マトリックスを提供します。

パスワード

2014年に、コンピューターパスワードの発明者であるフェルナンドJ. コルバトは記録に残り、彼の発明は「悪夢のようなもの」になっていると述べました。Corbató は1961年頃、MITで当時革命的な互換性のあるタイムシェアリングシステム(CTSS)の開発に携わっていたときに、パスワードを発明しました。パスワードが解決していた問題は、これらのコンピュータエンジニアリングの初期の開拓者が「複数の」端末にログオンして、自分の記録に確実にアクセスできるようにすることでした。

彼らが「複数」について話したとき、チームは接続されたグリーンスクリーン端末のほんの一部に言及していました。早送り60年近くとCorbatóの発明は、依然として支配的なログインアクセス方式である- 今日の認証セッションの大半を支えます。パスワードは、ラップトップからタッチスクリーンやコネクテッドカーさえ備えたスマートモバイルデバイスに至るまで、数十億のデバイスで毎日数十億のセッションを認証しますが、パスワードの問題はどれほどひどいですか。

資格スタッフィングは、コンシューマーバンキングトラフィックの56%以上を占める悪質なログインと共に、流行となっています。

2016年以降、50億を超えるパスワードが盗まれました。盗まれたパスワードの武器化はかつてないほど容易になりました。SNIPRなどのツールにより、これまで以上に簡単に攻撃を開始できます。 攻撃のコストはハッカーにとって下がっていますが、防御のためのコストは企業にとって劇的に増加しています。

クレデンシャルスタッフィング攻撃は過去最高で、アカマイは「1年足らずで300億回以上の悪意のあるログイン試行」を報告しています。 SANS Analyst Researchによると、資格情報の再利用攻撃は、最大1%から2%の成功率を達成することができます。

2019年のジャベリン戦略の「クラウドの難問」レポートによると、これらの傾向をまとめると、ATO詐欺の費用が前年比で2倍になり、2018年には17億ドルを超えたのは当然のことです。

「ファイアウォールの内側からクラウドへのアプリケーションのこの大規模な移行は、広範囲にわたる顧客のパスワード違反と相まって、ATOとそのコストの急上昇の主な原因です。」

特にパスワード認証にとどまるVPNでは境界を跨ぐ環境でセキュリティの強化は実現出来ません。VPNからゼロトラストネットワークへの移行が求められているのが実情です。多要素認証を活用したゼロトラストネットワークアクセス(ZTNA)を採用する事が求められます。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ハードトークン2FA

大企業で働いたことがあれば、これらのいずれかを使用した可能性があります。ハードウェアセキュリティトークンが普及したとき、時間ベースのワンタイムパスワード(TOTP)アルゴリズムと改ざん防止ハードウェアを使用して、世界のセキュリティを強化しました。ハードトークンは認証(2FA)に「第2要素」を導入し、より高いレベルの保証を必要とする認証セッションに追加の標準ベースのセキュリティを提供するのに優れていました。これらのデバイスは、パスワードよりもセキュリティを強化することを約束していましたが、長年にわたって、ユーザーエクスペリエンスに多くの欠点とセキュリティの脆弱性があることが判明しています。

トークンの共有は企業で一般的な慣例であり、従業員は、ハードトークンを付箋のパスワードのように渡すことが知られています。

ハードトークンOTPはキーロガーまたは中間者攻撃のいずれかによってキャプチャされ、企業に追加のセキュリティ上の懸念をもたらすため、悪意のある攻撃も一般的です。

しかし、ハードトークンの最も困難な側面は、その使いやすさのままです。ユーザーは、追加のデバイスの必須使用によって引き起こされる追加の摩擦に不利に反応することがよくあります。

世界がデスクトップを超えてモバイルデバイスに移行すると、ハードトークンはさらに使いにくくなり、ユーザーエクスペリエンスに大きな摩擦が加わりました。その結果、消費者の間での採用の欠如は、ハードトークンベースの2FAの大量採用への別のハードルを作成しました。

スマートカード

スマートカードは、企業や政府機関で使用されているプラ​​スチックカードです。マイクロプロセッサが組み込まれており、識別、認証、物理的アクセス、さらには金融取引のために従業員が携帯または着用します。公共および金融セクターでは、セキュリティ上の懸念により携帯電話の使用がサポートされていないミッションクリティカルな環境でスマートカードが正常に展開されています。

スマートカードとハードトークンは、同様のユーザビリティの問題を共有しますが、重要な利点はセキュリティです。スマートカード認証は主に公開キー基盤(PKI)に依存しているため、多くの場合、共有シークレットの代わりにスマートカード認証が使用され、セキュリティが大幅に向上します。

SMS 2FA

モバイル時代には、ハードトークンによって普及したTOTPメソッドを使用したSMS認証が導入されました。

別のハードウェアでOTPを生成する代わりに、サーバーがコードを生成し、SMSを介してモバイルデバイスにユーザーに配信します。ほとんどの人が何らかの携帯電話を持っているので、ハードウェアトークンのコストを回避することで、多くのサービスプロバイダーが大規模な消費者向けの2FA SMSを採用するようになりました。これは現在でも最も広く採用されている2FA方式であり、コンシューマーユースケースの「ハードトークンと同等」と見なすことができます。ただし、SMSベースの認証は、その成長をほとんど停止させる重大なリスクを伴います。

私たちは、SS7ネットワーク攻撃を介してSMSメッセージを簡単に傍受できること、一般的なSIM-Swapping問題がOTPメッセージを間違った携帯電話(通常は詐欺師の手に渡る)に配信する方法、そして人気の高いキーロガーと携帯電話の使いやすさを見てきました。 Modlishkaなどのマルウェアの亜種には、自動化されたSMS OTPスチール機能が搭載されています。

そのため、サービスプロバイダーにとっては安価でしたが、SMS 2FAアプローチは、モバイルデバイスまたはWebブラウザーにOTPを入力する必要があるため、ユーザーエクスペリエンスに顕著な摩擦を加えながら、新しいセキュリティ問題を作成しました。また、共有シークレットへの依存のおかげで、認証へのこのアプローチはユーザーのセキュリティに意味のある影響を与えることができませんでした。

国立標準技術研究所(NIST)が2016年7月に2 つ目の強力な要因としてSMSの使用を推奨するのをやめたときのSMS 2FA LEDの脆弱性が転倒ポイントに。

TOKEN MFAとしての電話

企業とそのユーザーがモバイルデバイスにシフトするにつれて、ソフトトークンMFAが主流になりました。これらの方法は、ソフトウェアベースのワンタイムパスワード(OTP)を普及させ、ハードトークンの大部分をPIN、PUSH、または生体認証ベースのMFA に置き換えることに成功しました。

企業や開発者の間で人気があったが、ソフトウェアベースの2要素および多要素認証(2FA / MFA)システムの多くには、多くの既知の弱点があります。ワンタイムパスワード(OTP)を利用する最も人気のある認証方法のいくつかは、共有シークレットに依存しているため、ユーザーはソーシャルエンジニアリング、モバイルマルウェア、および中間者(MitM )攻撃の影響を受けやすくなっています。

2FAログインインターフェースを偽装するフィッシングサイトの人気が高まり、Gmail ユーザーなどの大規模な集団を標的とした攻撃が大規模に展開されています。Microsoftなどの主要なMFAプロバイダーでさえ、ハッカーがIMAP プロトコルを利用してMFAをバイパスするなど、重大な攻撃を経験しています。

Stripeが委託した最近の調査によると、ソフトトークンMFAでさえ、消費者向けアプリケーションでほとんど採用されていないことが示されています。販売者は、カートの放棄率の増加に対する懸念を、顧客体験に摩擦をもたらさないための主要な要因として挙げています。

真のパスワードなしのセキュリティ

これは、認証の進化における次のステップです。前任者とは異なり、このアプローチは共有シークレットの使用に依存しません。代わりに、ユーザーの信頼できるデバイスに格納されている秘密キーを使用して、オンラインサービスにアクセスし、トランザクションに署名します。

真のパスワードレスアーキテクチャでは、パスワード、PIN、SMSコード、OTPなどの共有シークレットの使用は、公開鍵暗号化に置き換えられています。

秘密鍵はユーザーがデバイス上で生成し、常にデバイス上に残ります。AppleのTouch IDなどの生体認証センサー。Face IDとその対応するAndroidおよびWindowsは、公開鍵暗号を使用して認証サーバーに対して検証されるこれらの資格情報のロックを解除するためによく使用されます。

企業内にパスワードや共有シークレットを保存するのではなく、True Passwordless Securityは王冠の宝石をエッジに移動します。ユーザーの資格情報は、ユーザーが管理するスマートフォンやデバイスの最も信頼できる領域に安全に保存されます。このアプローチは、企業内外での採用だけでなく、金融サービス、決済、ヘルスケア、eコマースセクター全体での大規模な展開にも大きな勢いを見せています。多くの真のパスワードなしのデプロイメントは、以前はIAMスペースに欠けていた相互運用性と革新のレイヤーを利用して、FIDO(Fast Identity Online)などのオープンスタンダードを活用しています。

使い方

真のパスワードなしのセキュリティ公開鍵暗号、オープンスタンダード、および生体認証センサーの使用を組み合わせて、完全にパスワードなしの認証フローを作成します。

共有秘密から離れたパラダイムシフト…なぜ今なのか?

FIDOなどのPKCベースの認証規格の採用

セキュリティの標準化により、インターネットの最大の成果のいくつかがもたらされました。SSL / TLS標準なしで安全なeコマースを実現できますか?FIDO認証標準は、真のパスワードレスフレームワークが具体化すべきものの主な例であり、あらゆる規模の組織がパスワードや共有シークレットを超えて前進することに成功しています。

モバイル生体認証センサーの主流の採用

今日出荷されるほぼすべてのスマートフォンには、1つ以上の高度な生体認証センサーが搭載されています。指紋、顔、虹彩、音声認識の台頭により、企業は、大規模なユーザーにパスワードなしのエクスペリエンスを簡単に提供できるようになりました。

主要なブラウザがパスワードなしの認証をサポート

2018年現在、FIDO Web認証標準(WebAuthn )は、Chrome、Safari、FireFox 、Edge などの主要なWebブラウザーでサポートされています。この主要なマイルストーンにより、真のパスワードなしセキュリティのサポートがさらに幅広いWeb読者にもたらされ、採用がさらに加速しました。

PSD2規制により強力な顧客認証を実施

欧州連合(EU)PSD2の強力な顧客認証(SCA)規制は、支払いサービスプロバイダーが最新の強力な認証技術を採用するための規制フレームワークを作成しており、サポートされる要素の1つとしてパスワードなしの生体認証の使用を明示的にサポートしています。

技術の巨人、大規模なパスワードなしの取り組みを加速

MicrosoftやGoogleなどの業界リーダー、Azure Active Directory(Azure AD)は、OAuth 2.0やOpenID Connect などの業界標準プロトコルをサポートし、IDをサービスとして提供することで、アプリケーション開発者の認証を簡素化します。

それらはどのようにすべて積み上げますか?

認証は、共有シークレットに依存するモノリシックシステムを超えて、真のパスワードレステクノロジーに進化しました。パスワードを置き換えるための世界的な進化運動が進行中です。

共有シークレットからのパラダイムシフトが起こっており、組織はそれを採用して、データ侵害、資格情報の盗難、そして最終的にはアカウントの乗っ取りや金融詐欺などの高額なイベントにつながる無限のサイクルを回避する必要があります。以上のことを踏まえて、さまざまなアプローチはどのように比較されますか?次の表は、多くの既知のセキュリティの脅威と利点をヒートマップし、重要な認証ソーシングの決定の基礎となる知識を追加して、幹部や実務家に提供されています。

ゼロトラストの原理や原則を詳しく知りたい方はこちらのホワイトペーパーもご覧ください。

ネットワークの新しい規範:SDN (Software Defined Networking)

従来のネットワークアーキテクチャは今日の企業、キャリア、エンドユーザの要求を満たすには不向きだ。Open Networking Foundation (ONF) が主導する幅広い業界の努力のおかげで、SoftwareDefined Networking (SDN) はZTNAへのネットワークアーキテクチャを変革している。

エグゼクティブサマリー

SDN アーキテクチャでは、制御とデータプレーンは分離され、ネットワークインテリジェンスと状態は論理的に集中化され、基礎となるネットワークインフラストラクチャはアプリケーションから抽象化される。その結果、企業やキャリアは前例のないプログラマビリティ、自動化、ネットワーク制御を獲得し、変化するビジネスニーズに容易に適応する高度にスケーラブルで柔軟なネットワークの構築を可能にします。

ONF は非営利の業界コンソーシアムで、SDN の進歩をリードし、OpenFlowプロトコルのような SDNアーキテクチャの重要な要素を標準化している。OpenFlow は SDN のために特別に設計された最初の標準インターフェースであり、複数のベンダのネットワークデバイス間で高性能で粒度の高いトラフィック制御を提供します。

OpenFlow ベースの SDN は現在様々なネットワーキングデバイスとソフトウェアで展開されており、企業とキャリアの両方に大きな利益をもたらしています。

  • 複数ベンダーのネットワークデバイスの一元管理と制御。
  • 共通のAPIを使用して、オーケストレーションやプロビジョニングのシステムやアプリケーションからネットワークの詳細を抽象化することで、自動化と管理を改善します。
  • 個々のデバイスを設定したり、ベンダーのリリースを待つことなく、新しいネットワーク機能やサービスを提供することで、迅速なイノベーションを実現します。
  • 共通のプログラミング環境を使用して、オペレータ、企業、独立系ソフトウェアベンダー、ユーザー(機器メーカーだけでなく)がプログラミングを行うことで、すべての関係者に収益と差別化を促進する新たな機会を提供します。
  • ネットワークデバイスの集中管理と自動管理、統一されたポリシーの実施、設定ミスの減少により、ネットワークの信頼性とセキュリティが向上します。
  • セッション、ユーザー、デバイス、アプリケーションの各レベルで包括的かつ広範なポリシーを適用できるため、よりきめ細かなネットワーク制御が可能になります。
  • アプリケーションが中央化されたネットワークの状態情報を利用して、ネットワークの動作をユーザーのニーズにシームレスに適応させることで、より良いエンドユーザー体験が得られる。

SDN はダイナミックで柔軟性のあるネットワークアーキテクチャであり、既存の投資を保護しながらネットワークの将来性を保証する。SDN によって、今日の静的なネットワークはビジネス、エンドユーザ、市場のニーズの変化に迅速に対応できる拡張可能なサービスデリバリプラットフォームへと進化することができる。

新しいネットワークアーキテクチャの必要性

モバイルデバイスやコンテンツの爆発的な普及、サーバの仮想化、クラウドサービスの出現など、ネットワーク業界では従来のネットワークアーキテクチャの再検討が進められています。従来のネットワークの多くは階層構造になっており、ツリー構造に配置されたイーサネット・スイッチを何層にも重ねて構築されています。この設計は、クライアント・サーバ・コンピューティングが主流だった時代には理にかなっていましたが、このような静的なアーキテクチャは、今日のエンタープライズ・データセンター、キャンパス、およびキャリア環境の動的なコンピューティングおよびストレージのニーズには不向きです。新しいネットワーク・パラダイムの必要性を促進している主なコンピューティング・トレンドには、以下のようなものがあります。

  • 交通パターンの変化。企業のデータセンター内では、トラフィックのパターンが大きく変化しています。通信の大部分が 1 つのクライアントと 1 つのサーバの間で行われるクライアント・サーバ・アプリケーションとは対照的に、今日のアプリケーションは異なるデータベースとサーバにアクセスし、「東西」のマシン間のトラフィックを大量に発生させた後、従来の「南北」のトラフィック・パターンでエンドユーザ・デバイスにデータを返しています。同時に、ユーザーは、自分のデバイスを含むあらゆるタイプのデバイスから企業のコンテンツやアプリケーションにアクセスし、いつでもどこからでも接続したいと考えているため、ネットワーク・トラフィック・パターンも変化しています。最後に、多くの企業データセンターの管理者は、プライベート・クラウド、パブリック・クラウド、またはその両方を組み合わせたユーティリティ・コンピューティング・モデルを検討しており、広域ネットワークのトラフィックが増加しています。
  • ITのコンシューマ化です。スマートフォン、タブレット、ノートパソコンなどのモバイル・パーソナル・デバイスを利用して企業ネットワークにアクセスするユーザーが増えています。IT部門は、企業のデータや知的財産を保護し、コンプライアンスを遵守しながら、これらのパーソナルデバイスをきめ細かく対応しなければならないというプレッシャーにさらされています。
  • クラウドサービスの台頭。企業はパブリックとプライベートの両方のクラウドサービスを積極的に取り入れており、その結果、クラウドサービスはかつてないほどの成長を遂げています。企業のビジネスユニットは、アプリケーション、インフラストラクチャ、およびその他の IT リソースにオンデマンドでアラカルトでアクセスできる俊敏性を求めています。さらに複雑さを増しているのが、セキュリティ、コンプライアンス、監査要件の強化、ビジネスの再編、統合、合併など、一夜にして前提条件が変わる可能性のある環境下で、IT部門がクラウドサービスの計画を立てなければならないということです。プライベート・クラウドでもパブリック・クラウドでも、セルフサービス・プロビジョニングを提供するには、コンピューティング、ストレージ、およびネットワーク・リソースの弾力的なスケーリングが必要です。
  • “ビッグデータ “とは、より多くの帯域幅を意味します。今日の「ビッグデータ」またはメガデータセットを処理するには、何千台ものサーバで大規模な並列処理を行う必要があり、これらのサーバはすべて相互に直接接続する必要があります。メガデータセットの増加に伴い、データセンターのネットワーク容量の追加が常に求められています。ハイパースケールデータセンターネットワークの運営者は、ネットワークをこれまで想像を絶する規模にまで拡張し、あらゆる接続性を維持しながら、破たんすることなくネットワークを拡張しなければならないという困難な課題に直面しています。

現在のネットワーク技術の限界

現在の市場の要件を満たすことは、従来のネットワーク・アーキテクチャでは事実上不可能です。企業の IT 部門は、予算が横ばいまたは削減されていることに直面し、デバイスレベルの管理ツールや手動のプロセスを使用して、ネットワークから最大限の効果を得ようとしています。通信事業者も、モビリティと帯域幅の需要が爆発的に高まる中、同様の課題に直面しています。既存のネットワーク・アーキテクチャは、今日のユーザー、企業、通信事業者の要件を満たすように設計されたものではなく、むしろネットワーク設計者は、以下のような現在のネットワークの制限によって制約を受けています。

  • うっ血につながる複雑さ。今日までのネットワーキング技術は、主に任意の距離、リンク速度、およびトポロジ上でホストを確実に接続するために設計されたプロトコルの離散的なセットで構成されていました。ここ数十年の間にビジネスや技術的なニーズを満たすために、業界はネットワーキングプロトコルを進化させ、より高いパフォーマンスと信頼性、より広い接続性、そしてより厳しいセキュリティを実現してきました。しかし、プロトコルは個別に定義される傾向があり、それぞれが特定の問題を解決するものであり、基本的な抽象化の恩恵を受けることはありません。これが、今日のネットワークの主要な制限の一つである複雑さにつながっています。たとえば、デバイスを追加したり移動したりするには、IT 部門は複数のスイッチ、ルータ、ファイアウォールWeb認証ポータルなどに触れ、デバイスレベルの管理ツールを使用して ACL、VLAN、サービス品質(QoS)、およびその他のプロトコルベースのメカニズムを更新しなければなりません。さらに、ネットワーク・トポロジー、ベンダーのスイッチ・モデル、ソフトウェアのバージョンをすべて考慮しなければなりません。このように複雑なため、今日のネットワークは比較的静的なものとなっており、IT 部門はサービス中断のリスクを最小限に抑えようとしています。ネットワークの静的な性質は、今日のサーバ環境の動的な性質とは対照的です。サーバの仮想化により、ネットワーク接続を必要とするホストの数が大幅に増加し、ホストの物理的な位置に関する前提条件が根本的に変化しました。仮想化以前は、アプリケーションは 1 台のサーバ上に存在し、主に特定のクライアントとトラフィックを交換していました。今日では、アプリケーションは複数の仮想マシン(VM)に分散しており、相互にトラフィックの流れを交換しています。VMはサーバのワークロードを最適化してリバランスを取るために移行するため、既存のフローの物理的なエンドポイントが時間の経過とともに(場合によっては急速に)変化します。VM の移行は、アドレススキームやネームスペースから、セグメント化されたルーティングベースの設計の基本的な概念に至るまで、従来のネットワーキングの多くの側面に挑戦しています。仮想化技術の採用に加えて、今日では多くの企業が音声、データ、およびビデオ・トラフィックのために IP コンバージド・ネットワークを運用しています。既存のネットワークでは、異なるアプリケーションに対して差別化された QoS レベルを提供することができますが、これらのリソースのプロビジョニングは非常に手動で行われます。IT 部門は、各ベンダーの機器を個別に設定し、ネットワーク帯域幅や QoS などのパラメータをセッションごと、アプリケーションごとに調整する必要があります。静的な性質のため、ネットワークはトラフィック、アプリケーション、ユーザーの要求の変化に動的に適応することができません。
  • 一貫性のない方針。ネットワーク全体のポリシーを実装するために、IT 部門は何千ものデバイスやメカニズムを設定しなければならない場合があります。例えば、新しい仮想マシンが立ち上がるたびに、IT 部門がネットワーク全体の ACL を再構成するのに数時間、場合によっては数日かかることもあります。今日のネットワークの複雑さは、IT 部門がアクセス、セキュリティ、QoS、その他のポリシーを一貫して適用することを非常に困難にしており、企業はセキュリティ侵害、規制への違反、その他の悪影響を受けやすくなっています。
  • スケール感の無さ。データセンターの需要が急速に増加するにつれ、ネットワークも成長しなければなりません。しかし、構成と管理が必要な数百から数千のネットワーク・デバイスが追加されると、ネットワークは非常に複雑になります。また、IT 部門は、予測可能なトラフィック・パターンに基づいてネットワークを拡張するために、リンクのオーバーサブスクリプションに頼ってきましたが、今日の仮想化されたデータ・センターでは、トラフィック・パターンは信じられないほど動的で、したがって予測不可能です。グーグル、ヤフー、フェイスブックなどのメガ・オペレーターは、さらに困難なスケーラビリティの課題に直面しています。これらのサービスプロバイダは、大規模な並列処理アルゴリズムとそれに関連するデータセットをコンピューティングプール全体で使用しています。エンドユーザーのアプリケーションの範囲が拡大するにつれ(例えば、検索結果をユーザーに即座に返すためにワールドワイドウェブ全体をクロールしてインデックスを作成するなど)、コンピューティング要素の数は爆発的に増加し、コンピュートノード間のデータセットの交換はペタバイトに達する可能性があります。このような企業には、数十万、数百万の物理サーバ間で高性能かつ低コストの接続性を提供できる、いわゆるハイパースケール・ネットワークが必要となります。このようなスケーリングは、手動での設定ではできません。競争力を維持するためには、通信事業者はこれまで以上に価値の高い、より差別化されたサービスを顧客に提供しなければなりません。ネットワークは、異なるアプリケーションと異なるパフォーマンスニーズを持つユーザーのグループにサービスを提供しなければならないため、マルチテナンシーは、通信事業者のタスクをさらに複雑にしています。顧客のトラフィック・フローをステアリングしてカスタマイズされたパフォーマンス制御やオンデマンド配信を提供するなど、比較的簡単に見える主要な操作も、既存のネットワーク、特にキャリア・スケールで実装するには非常に複雑です。また、ネットワーク・エッジに特殊なデバイスを必要とするため、資本支出や運用コストが増加し、新サービスの導入までの期間も長くなります。
  • ベンダー依存通信事業者や企業は、変化するビジネスニーズやユーザーの要求に迅速に対応して、新しい機能やサービスを展開しようとしています。しかし、ベンダーの機器の製品サイクルが3年以上に及ぶこともあり、その対応能力は妨げられています。標準的でオープンなインターフェイスがないため、ネットワーク事業者が個々の環境に合わせてネットワークを調整する能力が制限されています。市場の要求とネットワークの能力の間にあるこのミスマッチが、業界を転換点に追い込んでいます。これに対応するため、業界は Software-Defined Networking (SDN) アーキテクチャを作成し、関連する標準を開発している。

 

ソフトウェア定義型ネットワーキングの導入

Software Defined Networking (SDN) はネットワーク制御が転送から切り離され、直接プログラム可能な新しいネットワークアーキテクチャである。以前は個々のネットワークデバイスに強く縛られていた制御がアクセス可能なコンピューティングデバイスに移行することで、基礎となるインフラストラクチャをアプリケーションやネットワークサービスのために抽象化することが可能になり、ネットワークを論理的または仮想的なエンティティとして扱うことができるようになります。

図 1 は SDN アーキテクチャの論理的なビューを示している。ネットワークのインテリジェンスは(論理的に)ソフトウェアベースの SDN コントローラに集中され、ネットワークのグローバルなビューを維持している。その結果、ネットワークはアプリケーションとポリシーエンジンに単一の論理的なスイッチとして見える。SDN によって、企業とキャリアは単一の論理ポイントからネットワーク全体をベンダーに依存せずにコントロールできるようになり、ネットワークの設計と運用が大幅に簡素化される。SDN はまた、ネットワークデバイス自体も大幅に単純化する。なぜなら、何千ものプロトコル標準を理解して処理する必要がなくなり、SDN コントローラからの指示を受け入れるだけだからだ。

おそらく最も重要なことは、ネットワークオペレータと管理者は何千ものデバイスに散らばった何万行もの設定を手作業でコーディングするよりも、この単純化されたネットワークの抽象化をプログラムで設定することができるということだ。さらに、SDN コントローラの集中化されたインテリジェンスを活用することで、IT はリアルタイムでネットワークの動作を変更し、新しいアプリケーションやネットワークサービスを数時間から数日のうちにデプロイすることができる。

今日必要とされている数週間や数ヶ月ではなく。ネットワークの状態を制御層に集中させることで、SDN はネットワークマネージャに動的で自動化された SDN プログラムを介してネットワークリソースの設定、管理、安全性の確保、最適化の柔軟性を与える。さらに、彼らはこれらのプログラムを自分で書くことができ、ネットワークの真ん中にあるベンダのプロプライエタリでクローズドなソフトウェア環境に機能が組み込まれるのを待つ必要はない。

ネットワークを抽象化することに加えて、SDN アーキテクチャは一連の API をサポートしており、ルーティング、マルチキャスト、セキュリティ、アクセス制御、帯域幅管理、トラフィックエンジニアリング、サービス品質、プロセッサとストレージの最適化、エネルギー使用量、そしてビジネスの目的に合わせてカスタマイズされたあらゆる形態のポリシー管理を含む一般的なネットワークサービスの実装を可能にしている。例えば、SDN アーキテクチャはキャンパス内の有線と無線の両方の接続において一貫したポリシーを定義し、実施することを容易にする。

同様に、SDN はインテリジェントなオーケストレーションとプロビジョニングシステムを通してネットワーク全体を管理することを可能にする。Open Networking Foundation はマルチベンダ管理を促進するためにオープンAPIを研究しており、オンデマンドのリソース割り当て、セルフサービスプロビジョニング、真の仮想化ネットワーキング、セキュアなクラウドサービスへの扉を開いている。

このように、SDN の制御層とアプリケーション層の間のオープンAPI により、ビジネスアプリケーションはネットワークの抽象化された上で動作し、実装の詳細に縛られることなくネットワークサービスと機能を活用することができる。SDN はネットワークを “アプリケーションを意識したもの” ではなく “アプリケーションにカスタマイズされたもの” にし、アプリケーションを “ネットワークを意識したもの” ではなく “ネットワーク機能を意識したもの” にする。その結果、コンピューティング、ストレージ、ネットワークのリソースを最適化することができる。

オープンフローの内部

OpenFlow は SDN アーキテクチャの制御層と転送層の間で定義された最初の標準的な通信インターフェースである。OpenFlow はスイッチやルータのようなネットワークデバイスのフォワーディングプレーンへの直接アクセスと操作を可能にする。今日のネットワークデバイスがモノリシック、クローズド、そしてメインフレームのようなものであるという特徴付けにつながっているのは、フォワーディングプレーンへのオープンなインターフェースがないことだ。OpenFlow と同じことができる標準プロトコルは他になく、ネットワーク制御をネットワーキングスイッチから論理的に中央集権化された制御ソフトウェアに移すためには、OpenFlow のようなプロトコルが必要とされています。

SDN ユースケース

ONF は著名な企業やサービスプロバイダ、システムやアプリケーションの開発者、ソフトウェアやコンピュータの会社、半導体やネットワーキングのベンダによって指導されている。この通信とコンピューティング業界の多様な断面は SDN と関連する標準が市場の各セグメントにおけるネットワークオペレータのニーズに効果的に対応することを確実にするのに役立っている。

  • キャンパス – SDN の集中化された自動制御とプロビジョニングモデルはデータ、音声、ビデオのコンバージェンスをサポートし、IT が有線と無線の両方のインフラストラクチャに一貫してポリシーを適用できるようにすることで、いつでもどこでもアクセスできるようにする。同様に、SDN は個々のユーザープロファイルとアプリケーション要件によって決定されるネットワークリソースの自動プロビジョニングと管理をサポートし、企業の制約の中で最適なユーザー体験を保証する。
  • データセンター – SDN アーキテクチャはネットワークの仮想化を促進し、データセンターでのハイパースケーラビリティ、自動化された VM 移行、ストレージとのより緊密な統合、より良いサーバ利用率、より低いエネルギー消費、帯域幅の最適化を可能にします。
  • クラウド – プライベートクラウドやハイブリッドクラウド環境をサポートするために使われるかどうかに関わらず、SDN はネットワークリソースを非常に伸縮性のある方法で割り当てることを可能にし、クラウドサービスの迅速なプロビジョニングと外部のクラウドプロバイダへのより柔軟なハンドオフを可能にします。仮想ネットワークを安全に管理するツールがあれば、企業やビジネスユニットはますますクラウドサービスを信頼するようになるだろう。

ONFホワイトペーパー ソフトウェア定義ネットワーキング。ネットワークの新しい規範
OpenFlow は CPU の命令セットに例えることができます。図 2 に示されているように、プロトコルは CPU の命令セットがコンピュータシステムをプログラムするのと同じように、外部のソフトウェアアプリケーションがネットワークデバイスの転送プレーンをプログラムするために使用できる基本的なプリミティブを規定している。

OpenFlow プロトコルはネットワークインフラストラクチャデバイスと SDN コントロールソフトウェアの間のインターフェースの両側に実装されている。OpenFlow はフローの概念を使い、SDN コントロールソフトウェアによって静的または動的にプログラムされた事前に定義されたマッチルールに基づいてネットワークトラフィックを識別する。また、IT は使用パターン、アプリケーション、クラウドリソースのようなパラメータに基づいてネットワークデバイスを通過するトラフィックの流れを定義することができます。OpenFlow はネットワークをフロー毎にプログラムすることを可能にするので、OpenFlow ベースの SDN アーキテクチャは非常に細かい制御を提供し、ネットワークがアプリケーション、ユーザ、セッションレベルでのリアルタイムの変化に対応することを可能にする。現在の IP ベースのルーティングはこのレベルの制御を提供していない。なぜならば、二つのエンドポイント間のすべてのフローは、それらの異なる要件に関わらず、ネットワークを通る同じパスに従わなければならないからだ。

OpenFlow プロトコルはソフトウェア定義ネットワークのキーイネーブラーであり、ネットワークデバイスのフォワーディングプレーンを直接操作できる唯一の標準化された SDN プロトコルである。最初はイーサネットベースのネットワークに適用されていたが、OpenFlow スイッチングはより広範なユースケースに拡張することができる。OpenFlow ベースの SDN は物理的にも仮想的にも既存のネットワーク上にデプロイすることができる。ネットワークデバイスは従来のフォワーディングと同様に OpenFlow ベースのフォワーディングをサポートすることができ、企業やキャリアがマルチベンダのネットワーク環境であっても OpenFlow ベースの SDN テクノロジーを徐々に導入することを非常に簡単にしている。

Open Networking Foundation は OpenFlow を標準化するために設立され、プロトコル、コンフィギュレーション、相互運用性テスト、その他の活動を担当する技術的なワーキンググループを通して、異なるベンダのネットワークデバイスや制御ソフトウェア間の相互運用性を確保するのを支援しています。OpenFlow はインフラストラクチャベンダによって広く採用されており、彼らは通常シンプルなファームウェアやソフトウェアのアップグレードで実装している。OpenFlow ベースの SDN アーキテクチャは企業やキャリアの既存のインフラストラクチャとシームレスに統合し、SDN の機能を最も必要とするネットワークのセグメントにシンプルな移行パスを提供することができる。

OpenFlowベースのソフトウェア定義のメリット
ネットワーク

企業とキャリアにとって、SDN はネットワークを単なる避けて通れないコストセンターではなく、競争上の差別化要因とすることを可能にする。OpenFlow ベースの SDN テクノロジーは IT が今日のアプリケーションの高帯域幅、ダイナミックな性質に対処し、ネットワークを常に変化するビジネスニーズに適応させ、運用と管理の複雑さを大幅に削減することを可能にする。

企業やキャリアが OpenFlow ベースのSDN アーキテクチャを通して達成できる利益には以下のようなものがあります。

  • マルチベンダー環境の集中管理SDN コントロールソフトウェアはスイッチ、ルーター、仮想スイッチを含むあらゆるベンダーの OpenFlow 対応ネットワークデバイスをコントロールできる。個々のベンダのデバイスのグループを管理するのではなく、IT は SDN ベースのオーケストレーションと管理ツールを使ってネットワーク全体のデバイスを素早くデプロイ、設定、更新することができます。
  • 自動化により複雑さを軽減。OpenFlow ベースの SDN は柔軟なネットワークの自動化と管理フレームワークを提供し、今日手動で行われている多くの管理タスクを自動化するツールの開発を可能にする。これらの自動化ツールは運用上のオーバーヘッドを減らし、オペレータエラーによってもたらされるネットワークの不安定性を減らし、IT-as-a-Service やセルフサービスプロビジョニングモデルをサポートします。さらに、SDN を使えば、クラウドベースのアプリケーションはインテリジェントなオーケストレーションとプロビジョニングシステムによって管理され、ビジネスの俊敏性を高めながら運用上のオーバーヘッドをさらに減らすことができる。
  • 技術革新率が高い。SDN の採用は IT ネットワークの運用者が特定のビジネスニーズやユーザーの要求を満たすために文字通りリアルタイムでネットワークをプログラムし、再プログラムすることを可能にすることでビジネスの革新を加速させる。ネットワークインフラストラクチャを仮想化し、個々のネットワークサービスから抽象化することで、例えば SDN と OpenFlow は IT、そして潜在的にはユーザさえもネットワークの動作を調整し、新しいサービスやネットワーク機能を数時間のうちに導入する能力を与える。
  • ネットワークの信頼性とセキュリティが向上しました。SDN は IT が高レベルのコンフィギュレーションとポリシーを定義することを可能にし、それは OpenFlow を介してインフラストラクチャに変換される。OpenFlow ベースの SDN アーキテクチャはエンドポイント、サービス、アプリケーションが追加されたり移動されたり、ポリシーが変更されたりする度にネットワークデバイスを個別に設定する必要性を排除し、設定やポリシーの不一致によるネットワーク障害の可能性を減らす。SDN コントローラはネットワークの完全な可視性と制御を提供するので、アクセス制御、トラフィックエンジニアリング、サービス品質、セキュリティ、その他のポリシーが支店、キャンパス、データセンターを含む有線と無線のネットワークインフラストラクチャ全体で一貫して実施されていることを保証することができる。企業と通信事業者は、運用コストの削減、よりダイナミックな構成機能、エラーの減少、一貫した構成とポリシーの実施などのメリットを享受できます。
  • よりきめ細かなネットワーク制御。OpenFlowのフローベースの制御モデルは、高度に抽象化された自動化された方法で、セッション、ユーザー、デバイス、アプリケーションの各レベルを含む非常に細かいレベルでポリシーを適用することを可能にします。この制御により、クラウド事業者は、顧客が同じインフラストラクチャを共有する際に、トラフィックの分離、セキュリティ、弾力性のあるリソース管理を維持しながら、マルチテナンシーをサポートすることができます。
  • より良いユーザー体験。ベルのアプリケーションで利用可能にすることで、SDNインフラストラクチャは動的なユーザーのニーズにより良く適応することができる。例えば、キャリアはプレミアムな加入者に可能な限り最高の解像度を自動化された透過的な方法で提供するビデオサービスを導入することができる。今日、ユーザーは解像度の設定を明示的に選択しなければならず、それはネットワークがサポートできないかもしれないし、できないかもしれないが、その結果、遅延や中断が発生し、ユーザーの経験を低下させている。OpenFlow ベースの SDN では、ビデオアプリケーションはネットワークで利用可能な帯域幅をリアルタイムで検出し、それに応じてビデオの解像度を自動的に調整することができるようになります。

結論

ユーザーのモビリティ、サーバーの仮想化、IT-as-a-Service、ビジネス状況の変化に迅速に対応する必要性などのトレンドは、今日の従来のネットワーク・アーキテクチャでは対応できないネットワークへの大きな要求をもたらしています。Software-Defined Networking は、従来のネットワーク・バックボーンをリッチなサービス・デリバリー・プラットフォームに変換する、新しいダイナミックなネットワーク・アーキテクチャを提供します。

ネットワーク制御とデータプレーンを分離することで、OpenFlowベースの SDN アーキテクチャは基礎となるインフラストラクチャをそれを使用するアプリケーションから抽象化し、ネットワークがますます似てきているコンピュータインフラストラクチャと同じようにプログラマブルで管理可能なスケールになることを可能にします。SDN のアプローチはネットワークの仮想化を促進し、IT スタッフが共通のアプローチとツールセットでサーバ、アプリケーション、ストレージ、ネットワークを管理することを可能にします。キャリア環境であれ、企業のデータセンターやキャンパスであれ、SDN の採用はネットワークの管理性、スケーラビリティ、敏捷性を向上させることができる。

Open Networking Foundationはアプリケーション開発者、ソフトウェア会社、システムや半導体メーカー、コンピュータ会社、そして様々な種類のエンドユーザを含む大小のインフラストラクチャベンダーにまたがる SDN に関する活気あるエコシステムを育ててきた。OpenFlow スイッチングは SDN コントローラソフトウェアと同様に、物理的、仮想的の両方のインフラストラクチャの設計に既に組み込まれている。ネットワークサービスとビジネスアプリケーションは既に SDN コントローラとインターフェイスし、それらの間のより良い統合と調整を提供している。

ネットワークの未来はますますソフトウェアに依存するようになり、それはコンピューティングとストレージの領域でそうであったように、ネットワークのイノベーションのペースを加速させるだろう。SDN は今日の静的なネットワークを、リソースを動的に割り当てるためのインテリジェンス、巨大なデータセンターをサポートするためのスケール、そして動的で高度に自動化された安全なクラウド環境をサポートするために必要な仮想化を備えた柔軟でプログラム可能なプラットフォームに変えることを約束する。その多くの利点と驚くべき業界の勢いで、SDN はネットワークの新しい規範になりつつある。

 

SMB向けの重要なサイバーセキュリティeBook

前書き

近年、中小企業(SMB)を標的とするサイバー犯罪者は、SMB を悪用して破壊するための高度なテクノロジーとソーシャルエンジニアリング手法を使用してますます攻撃的になっています。中小企業へのサイバー攻撃は、データベースの消去、運用、財務、および評判の低下から、業務の麻痺および停止に至るまで、重大な被害を引き起こす可能性があります。今日、中小規模の組織で展開されている平均的なセキュリティソリューションは、攻撃者が最新の革新的な攻撃方法を定期的に使用する絶えず進化する脅威の状況に直面して不十分です。

小規模組織で働いている400人のサイバーセキュリティおよびITプロフェッショナルに対するEnterprise Strategy Group(ESG)の調査によると、過去2年間、回答者の3分の2が少なくとも1回のサイバーセキュリティインシデント(システムの侵害、マルウェアインシデント、DDoS標的型フィッシング攻撃、データ侵害など)を経験しました。回答者のほぼ半数(46%)がセキュリティインシデントが生産性の低下につながったと主張し、37%が攻撃によりビジネスアプリケーションまたはITシステムの可用性が混乱したと述べ、37%がビジネスプロセスが混乱したと述べました。

ESGのシニアプリンシパルアナリストであり、会社のサイバーセキュリティプラクティスの創設者は、「SMBの幹部が、中小企業がサイバー攻撃者にとって簡単な目印になることを認識する時が来ました。 犯罪者はSMBを標的にして金銭を強要したり、貴重なデータを盗んだりしますが、国家は中小企業を接続されたパートナーを攻撃するための先駆けとして使用します。」と信じています。

次の電子書籍は、SMBのセキュリティの基本、フレームワーク、SMBの推奨事項、およびSMBがサイバーセキュリティインシデントを防御および回復するのに役立つ方法論について概説しています。

SMB セキュリティの基礎

包括的なセキュリティプログラムは、中小企業が顧客、従業員、およびビジネスパートナーを獲得して維持するのに役立ちます。米国商務省の一部門である国立標準技術研究所(NIST)によると、顧客は、機密情報が盗難、開示、誤用などから保護されることを期待しています。顧客情報を保護することは、優れたカスタマーサービスであるだけでなく、ビジネスを大切にしていることを顧客に示します。

基本的なビジネスプラクティスとして、コンピューターのセキュリティは、SMBがセキュリティプログラムを実装する際に留意する必要がある3つのプロセス領域(情報セキュリティ、ネットワークセキュリティ、サイバーセキュリティ)に分類できます。

情報セキュリティー

情報セキュリティは、NISTによって「機密性、完全性、および可用性を提供するための不正アクセス、使用、開示、破壊、変更、または破壊からの情報および情報システムの保護」として定義されています。

情報セキュリティには、以下の保護に重点を置く人、プロセス、およびテクノロジーが含まれます。

  • トピック:守秘義務
    不正アクセスおよび開示から情報を保護します。
    例:盗まれたユーザー名、パスワード、またはクレジットカード情報。
  • トピック:整合性
    不正な変更から情報を保護します。
    例:給与情報または提案された製品設計が攻撃者によって変更されました。
  • トピック:可用性
    情報へのアクセス方法の混乱を防ぎます。
    例:あなたの銀行口座、顧客の情報にアクセスできません。または、あなたの顧客があなたのネットワークリソースにアクセスできません。

ネットワークセキュリティー

SANS Instituteは、ネットワークセキュリティを、不正なアクセス、誤用、誤動作、変更、破壊、または不適切な開示から基盤となるネットワーキングインフラストラクチャを保護する物理的およびソフトウェアの予防措置を講じ、それによりコンピュータ、ユーザー、およびプログラムが安全なプラットフォームを作成するプロセスと定義しています。安全な環境内で許可された重要な機能を実行します。

サイバーセキュリティ

そして最後に、NISTはサイバーセキュリティを「コンピュータ、電子通信システム、電子通信サービス、有線通信、および電子通信の損傷の防止、修復、およびそれらに含まれる情報を含む、それらの可用性、完全性、認証、機密性、否認防止」と定義しています。

SMB向けNISTサイバーセキュリティフレームワーク

NISTの出版物Small Business Information Security:The Fundamentalsは、サイバーセキュリティの経験がない中小企業のオーナー向けに書かれています。NISTガイドは、情報システムを保護するためにSMBが実行できる基本的な手順を説明し、重要インフラストラクチャサイバーセキュリティを向上させるためのNIST フレームワークに基づいています。

NIST Small Business Publicationでは、次の方法について説明しています。

  •  データと情報への従業員のアクセスを制限します。
  • 情報セキュリティについて従業員を訓練します。
  • 情報セキュリティのポリシーと手順を作成します。
  • データを暗号化します。
  • Webおよび電子メールフィルターをインストールします。
  • オペレーティングシステムとアプリケーションにパッチを適用するか、更新します。

NISTサイバーセキュリティフレームワークは、もともと重要なインフラストラクチャ組織のために特別に開発されましたが、NIST は、組織がサイバーセキュリティリスクを識別、評価、管理するのに役立つシンプルで共通の言語を備えている中小企業に役立つと考えています。

重要インフラストラクチャを改善するためのフレームワークサイバーセキュリティは、既存の標準、ガイドライン、および慣行に基づく自主的なガイダンスです。NISTによれば、「組織内外のコミュニケーションを改善するのに特に役立ちます。これは、以下の定義されている5つのフレームワークのコア機能を含んでいます。これらの関数は、シリアルパスを形成したり、静的な望ましい最終状態をもたらすことを意図していません。むしろ、機能を同時に継続的に実行して、動的なサイバーセキュリティリスクに対処する運用文化を形成することができます。」ということです。

NISTサイバーセキュリティフレームワークのコア機能の例

  • 機能:識別
    システム、資産、データ、機能に対するサイバーセキュリティリスクを管理するための組織の理解を深めます。ビジネスコンテキスト、重要な機能をサポートするリソース、および関連するサイバーセキュリティリスクを理解することで、組織は、リスク管理戦略とビジネスニーズに合わせて、取り組みに集中して優先順位を付けることができます。
    例:この関数内の結果カテゴリの例は次のとおりです。
    資産運用管理; ビジネス環境、ガバナンス、リスク評価、リスク管理戦略。
  • 機能:保護
    重要なインフラストラクチャサービスを確実に提供するための適切な保護手段を開発して実装します。保護機能は、潜在的なサイバーセキュリティイベントの影響を制限または封じ込める機能をサポートします。
    例:この関数内の結果カテゴリの例は次のとおりです。
    アクセス制御、意識とトレーニング、データセキュリティ、情報保護プロセスと手順、メンテナンス、保護技術。
  • 機能:検出
    サイバーセキュリティイベントの発生を特定するための適切なアクティビティを開発して実装します。検出機能により、サイバーセキュリティイベントをタイムリーに発見できます。
    例:この関数内の結果カテゴリの例は次のとおりです。
    異常とイベント、セキュリティ継続監視、および検出プロセス。
  • 機能:応答
    検出されたサイバーセキュリティイベントに関してアクションを実行するための適切なアクティビティを開発および実装します。応答機能は、潜在的なサイバーセキュリティイベントの影響を封じ込める機能をサポートします。
    例:この関数内の結果カテゴリの例は次のとおりです。
    対応計画、コミュニケーション、分析、緩和、改善。
  • 機能:回復
    レジリエンスの計画を維持し、サイバーセキュリティイベントによって障害が発生した機能やサービスを復元するための適切なアクティビティを開発して実装します。リカバリ機能は、通常の運用へのタイムリーなリカバリをサポートし、サイバーセキュリティインシデントによる影響を軽減します。
    例:この関数内の結果カテゴリの例は次のとおりです。
    復旧計画、改善、コミュニケーション。

SMBサイバーセキュリティチェックリスト

以下のイスラエル国立サイバー総局からの推奨事項は、SMBがITシステム、ビジネス情報、および顧客データを保護するために必要な基本的なビジネスプロセスの概要を示しています。

  1. 従業員の認識
    1. ソーシャルエンジニアリング攻撃、フィッシング詐欺、またはランサムウェア攻撃を防ぐには、従業員のサイバーセキュリティ教育への投資が不可欠です。サイバー攻撃はソーシャルエンジニアリングと人間の弱点に大きく依存しているため、エンドユーザーは、マルウェアが他のコンピューターに拡散するなどの方法で操作される可能性があります。ITセキュリティの意識について従業員を教育する人材と連携したトレーニングプログラムは、サイバー攻撃を防ぐための重要な要素です。
  2. 情報資産マッピングとリスク調査
    1. ITリソースマッピングとリック調査プロセスは、組織のIT資産、ネットワークトポロジ、およびコンピューティングリソースに対する既存のリスクを、オンプレミスまたはクラウドの両方で特定します。組織内外のIT セキュリティ専門家の支援により、既知の脅威、システムの弱点、および既存のセキュリティ対策の分析は、リスクを軽減するために組織のセキュリティアーキテクチャ、ポリシー、およびプログラムに影響を与える上で重要です。
  3. ライセンスソフトウェア
    1. ライセンスソフトウェアを使用すると、秩序だったセキュリティ更新プロセスが保証されます。ライセンスされていないソフトウェアや海賊版ソフトウェアを使用することは攻撃者にとって魅力的な機会です。これには、ビジネスアプリケーションの最新のセキュリティ更新がなければ脆弱性が悪用される可能性もあります。
  4. ウイルス対策ソフトウェア
    1. ビジネスコンピュータまたはモバイルデバイスにローカルにインストールされたウイルス対策ソフトウェアは、脅威を特定し、コンピュータウイルスを隔離および排除します。攻撃者がコンピューティングリソースやネットワークリソースにアクセスできないように、ウイルス対策ソフトウェアを頻繁に(少なくとも1日に1回)更新する必要があります。
  5. ソフトウェアの更新
    1. IT管理者は、すべての内部ソフトウェアとクラウドリソースに対して定期的な自動更新が行われるようにする必要があります。これは、Microsoft Office 365などの定期的に使用されるパーソナルコンピューティングおよびモバイルデバイスのオペレーティングシステムとソフトウェアにとって特に重要であり、ソフトウェアの脆弱性を悪用する潜在的な攻撃者の能力が低下します。
  6. 強力な識別パスワードと、数回の識別試行の失敗後のロック
    1. 最も一般的な攻撃方法の1つは、パスワードの推測とパスワードの解読です。攻撃プロセス中に、攻撃者は正しいものを推測するために数百万の可能なパスワードのパスワードディクショナリを実行します。単純なパスワードを使用すると、簡単に推測してコンピューティングシステムにアクセスできます。数字、大文字と小文字の文字、特殊記号で構成された、推測しにくい長いパスワードを使用することをお勧めします。 2要素認証を使用すると、電子メールフィッシングなどによるパスワードを盗もうとする試みに対する別のセキュリティ層が提供されます。
  7. 情報を暗号化してビジネス情報とクライアントデータを隠す
    1. 暗号化は、HTTPS、安全なプロトコル、データセンターサーバー、企業のコンピューティングデバイスなどのプロトコルを使用して、転送中または保管中の不正アクセスからデータを保護します。ITスタッフまたはサードパーティのソフトウェアサプライヤーによる暗号化の適切な使用を保証するには、ユーザーデータ、暗号化キー、およびネットワークセキュリティを管理する必要があります。
  8. バックアップとリカバリ
    1.  適切なバックアッププロセスにより、さまざまなサイバー攻撃からのリカバリが可能に。
    2. たとえば、ランサムウェア攻撃中に、マルウェアは特定のコンピューター上の情報を暗号化したり、組織のネットワーク全体で人質データを暗号化して保持したりする可能性があります。この場合、更新されたバックアップを介して感染時から情報を復元できるため、ビジネスへのさらなる害を防ぐことができます。バックアップ方法には、ローカルバックアップ、クラウドバックアップ、物理的なドキュメントコピーの印刷などがあります。トリプルバックアップを使用して、初期または二次バックアッププロセス中のデータ損失を最小限に抑えることができます。
      バックアップは、組織の重要な情報を含む外付けドライブまたはテープドライブを使用して実行できます。さらに、情報資産のマッピングは、ビジネスの重要な情報を識別して特定するのに役立ちます。災害やマルウェアの攻撃が発生した場合にビジネスが移行する代替サイトにバックアップを作成することもできます。バックアップ戦略は、ビジネスの固有の性質、ビジネス継続性に必要なデータの範囲、およびさまざまなバックアップソリューションに投資するビジネスの能力に応じて選択されます。
  9. ワイヤレスネットワーク
    1.  従業員とクライアントにワイヤレスネットワークアクセスを提供する場合は、セキュリティリスクを軽減するために、以下のベストプラクティスに従うことをお勧めします。
    2. クライアントまたはインターネットサービスを使用するクライアントがビジネスのプライベートネットワークへの不正アクセスを取得できないように、2つの個別のワイヤレスネットワークを確立します。
    3. 暗号化– 現時点で利用可能な最も強力なワイヤレス暗号化であるWPA2を使用します。
    4. パスワード–長くて複雑なネットワークパスワードを使用し、定期的に変更します。
    5. MACアドレスファームウェア– ホワイトリストフィルターなど、ワイヤレスルーターに接続するMACアドレスを可能な限り強化します。
    6. ネットワークのサービスセット識別子(SSID)を隠します– ネットワークの名前を隠し、エリア内のワイヤレスネットワークを調査しているユーザーに公開されないようにします。
    7. ルーターの管理– ネットワークルーターを管理するためのデフォルトのパスワードを変更します。
    8. ワイヤレスキーボード、ワイヤレスマウス、ワイヤレスプリンターなどのデバイスのワイヤレスセキュリティを確認します。
  10. サイバーセキュリティ保険
    1. 現在市場に出回っている既存のすべてのセキュリティソリューションにもかかわらず、サイバー攻撃は依然としてビジネスに経済的損害を与える可能性があります。攻撃の成功による金銭的被害を最小限に抑える重要な方法は、サイバーセキュリティ保険を購入することです。サイバーセキュリティ保険は、攻撃者が企業に金銭的損害を与えた場合に補償を受ける資格を得るように、企業に基本的なサイバーセキュリティ保護を実装することを要求します。

中小企業向けのクラウドVPN

前述のイスラエル国営サイバー総局の推奨事項に加えて、すべてのSMBは、クラウドVPNをセキュリティ戦略に組み込んで、ネットワークのセキュリティを迅速に高め、データを「送信中」および「保管中」に保護し、暗号化とユーザーアクセス制御を提供する必要があります。 、GDPR、SOC 2、HIPAA、ISO 27001および27002を含むコンプライアンス要件を満たします。

現在、多くのSMBは、企業または従業員所有のWindows、iOS、Mac OS、およびAndroidデバイスを介してアクセスされるOffice 365、AWSまたはSalesforce CRM などのクラウドベースの生産性アプリケーションに依存するさまざまなグローバルオフィスに拠点を置く従業員を抱えています。従業員が自宅や旅行で仕事をするにつれて、リモート接続も重要になっています。安全なWi-Fiホットスポットまたは地理的制限とオンライン検閲によってゲート制御されたパブリックネットワークを介して企業ネットワークにアクセスするビジネスのために、従業員が自宅または出張で仕事をするとき、リモート接続も重要になっています。

ITマネージャーの課題は、ITリソースと予算を使い果たすことなく、安全で信頼できる従業員アクセスを提供することです。従来のVPNは、ハードウェアとソフトウェアの両方の観点から、展開と保守が複雑になる場合があります。これには、物理サーバーとサイト固有のアプリケーション、クラウドベースのインフラストラクチャとアプリケーション、およびIDアクセスと管理の統合が含まれます。したがって、IT管理者は、従来のVPNを超えて、ソフトウェア定義の境界構成で迅速に展開および構成できるクラウドベースのVPNを検討する必要があります。

Perimeter 81ソリューション

Perimeter 81は、SMBにクラウドベースの高度なVPNソリューションを提供し、オンプレミスおよびクラウドリソースへのアクセスを迅速かつ簡単に保護し、従業員アクセスのための軽量のクロスプラットフォームクライアントアプリケーションサポートを提供し、すべてが単一の管理コンソールで制御されます。ソフトウェア定義の境界セキュリティモデルを利用するPerimeter 81のクラウドVPN は、VPNエンドポイントのシームレスな展開を可能にし、デバイス認証、IDベースのアクセス、およびすべてのユーザーに動的にプロビジョニングされる接続を組み合わせたクラウドベースのインフラストラクチャにより、高価なハードウェアを排除します。

モバイル従業員は、Windows、Mac、iPhone、Androidデバイスで使用できるPerimeter 81のシングルサインオンネイティブクライアントアプリケーションで保護されています。Perimeter 81の革新的な自動Wi-Fiセキュリティは、従業員が不明または信頼できないネットワークに接続したときにVPN 保護を自動的にアクティブにすることで、すべてのデータを保護します。

中央制御とID 81 管理がPerimeter 81ポータルに統合されているため、安全なポリシーベースのリソースアクセスにより、従業員とグループを企業ネットワークリソースとクラウド環境に簡単に追加できます。詳細なアクティビティレポートは、リソースと帯域幅の使用状況に関する洞察を提供し、アクティブな接続とセッションの情報を監視できます。

最後に、あらゆるネットワークを通過するすべての企業データは、256ビットの銀行レベルの暗号化で保護され、企業の実際のIPアドレスをIPマスクで隠す専用プライベートサーバーを介してルーティングされます。Perimeter 81の34か所以上にある700を超える高速パブリックサーバーのグローバルネットワークは、プライベートVPNサーバーと専用IPアドレスの迅速かつ簡単な展開を提供します。

組織がSASEモデルを採用する必要がある理由

組織がコンピューティングをクラウドとモバイルデバイスに向けて推進し続けるにつれて、エッジコンピューティングは、クラウドサービスオンプレミスのリソースを必要とする数十億の接続デバイスによるアクセス要件を変化させています。同時に、より多くのユーザー、デバイス、アプリケーション、サービス、データが生成され、組織内よりも組織外に配置されています。

続きを読む

AWS環境向けのゼロトラストアクセスと相互接続

企業がAmazonウェブサービス(AWS)などのクラウドコンピューティングプラットフォームを採用し、データと重要なワークロードをオンラインで移行するにつれて、強力なITセキュリティ基盤を確保しながら、クラウドセキュリティに対処する構造を作成するために必要な手順があります。AWSは、プログラムを開発して組織のクラウド導入の取り組みの触媒として機能するように機能が成熟するように、セキュリティの実装では反復的な開発を可能にする必要があると考えています。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。今だけ無料で公開されています。

続きを読む

企業におけるIoTトラフィックと脅威の分析

概観

世界中の企業は、組織の効率を改善し、コミュニケーションを強化し、システムパフォーマンスに関する洞察を得るためにIoT製品の使用を採用しています。

ガートナーによると、2020年までに世界で204億のIoTデバイスが使用され、企業の65%以上がIoT製品を採用する予定です。

これらのIoTデバイスの急速な採用により、サイバー犯罪者に新しい攻撃ベクトルが開かれました。そのため、とある研究チームは、クラウド全体のIoTトラフィックを分析することで、企業におけるIoTデバイスの使用を調査し始めました。

チームは、クラウドのトラフィックに基づいて、最近のIoTデバイスのフットプリントに関する1か月のデータを分析しました。この分析では、使用中のデバイスの種類、使用したプロトコル、通信相手のサーバーの場所、受信と送信の通信の頻度、およびIoT トラフィックパターンを調べました。

このレポートでは、この分析の結果について詳しく説明します。

バックグラウンド

IoTデバイスは、ワイヤレスでネットワークに接続し、データを送信する機能を持つ非標準のコンピューティングデバイスです。これらのデバイスは、インターネットを介して通信および対話でき、リモートで監視および制御できます。

接続されたデバイスは、すべてのデバイスが環境内の他の関連デバイスと通信して家庭や産業のタスクを自動化し、使用可能なセンサーデータをユーザー、企業、その他の関係者に伝達するシナリオの一部です。IoTデバイスは、家庭、産業、または企業の人々が協調して機能することを目的としています。

市場規模

IDCは、IoT支出が2019年に7,450億ドルに達し、2022年に1兆ドルを超えると予測しています。これは、2018年の6,460億ドルから15%増加しています。

同じレポートによると、米国と中国がそれぞれ1,940億ドルと1,820億ドルと最も多くの支出になるでしょう。その後、日本、ドイツ、韓国、フランス、イギリスが続きます。

新たな脅威

よくあることですが、IoTテクノロジーは、これらのデバイスとそのユーザーを保護するために利用できるメカニズムよりも速く動いています。

研究者たちはすでにペースメーカーと車のリモートハッキングを実証しています。そして2016年10月にMiraiと呼ばれる大規模な分散型サービス拒否(DDoS)攻撃が米国東海岸のDNSサーバーに影響を与え、世界中のサービスを混乱させました。この攻撃は、ワイヤレスルーターや接続されたカメラなどのIoT デバイスを介してネットワークに侵入するハッカーにまでさかのぼります。

2017年8月、米国上院はIoTデバイスに関連するセキュリティ問題に対処する法案であるIoTサイバーセキュリティ改善法を導入しました。それは始まりですが、この法案は、連邦政府が購入したインターネット対応デバイスのみが業界全体ではなく、最小要件を満たすことを要求しています。しかし、それが全面的に採用されれば、業界全体のIoTセキュリティを改善するための道を開くことができる出発点と見なされています。

それでは、クラウドで最も多くのIoTトラフィックを構成するデバイスと、それらが直面する脅威の種類は何でしょうか?専門家となるチームが発見したものを見てみましょう。

結果

このレポートは、最も頻繁に見られるデバイスカテゴリの一般的な概要を提供し、次に、10種類の特定のタイプのIoTデバイスのトランザクションデータを詳しく調べたものです。

カテゴリーの概要

企業組織ではどのような種類のデバイスが実行されていますか?

  • IPカメラ
  • スマートウォッチ
  • スマートプリンター
  • スマートTV
  • セットトップボックス
  • デジタルホームアシスタント
  • IP電話
  • 医療機器
  • デジタルビデオレコーダー
  • メディアプレーヤー
  • データ収集端末
  • デジタルサイネージメディアプレーヤー
  • スマートグラス
  • 業界の制御デバイス
  • ネットワーキングデバイス
  • 3Dプリンター
  • 自動車(スマートカーを含む)

エンタープライズIoTトラフィックのハイライト

  • 270の異なるIoTデバイスプロファイル
  • 153の異なるIoTデバイスメーカー
  • 5,600万のIoTデバイストランザクションがクラウドで処理されました
  • 1,051の組織に少なくとも1つのIoTデバイスがあります

固有のデバイスタイプ別の上位10の宛先

  • 27.8%米国
  • 6.4%オーストラリア
  • 6.0%中国
  • 日本6.0%
  • 6.0%オランダ
  • 5.3%ドイツ
  • 4.7%アイルランド
  • 4.3%イギリス
  • 3.3%ナミビア
  • 3.3%シンガポール

IoTトランザクション別の上位の宛先

  • 57%オーストラリア*
  • 37%米国*
  • 2%アイルランド共和国
  • 1.5%ナミビア
  • 0.8%日本

カテゴリおよびトランザクション別のデバイス

調査期間中、クラウドで最も頻繁に見られたIoTデバイスはセットトップボックス(通常はビデオのデコードに使用された)で、その後にスマートTV、スマートウォッチ、メディアプレーヤー、プリンターが続きました。次のグラフは、さまざまなカテゴリにわたるIoTデバイスの分布を示しています。

トランザクションに関しては、データ収集端末がすべてのカテゴリで最もアクティブなデバイスであり、クラウドのIoTトラフィックの80%以上を占めています。データ収集端末を除いて、最もアクティブなカテゴリはプリンターで、残りのIoTトランザクションの51%以上がこのカテゴリからのものです。デジタルメディアデバイス、スマートTV、医療機器も主要な貢献者でした。以下のチャートは、より良い状況を把握するために、データ収集端末を除くトランザクションごとのデバイスカテゴリの分布を示しています。

IoTデバイスの洞察

IPカメラとデジタルホームアシスタント

IPカメラは、企業内の監視に使用されるネットワーク接続されたスマートカメラデバイスです。Nest、Foscam、Axis Camera、Yi Technologies、Samsung、Polaroid、Dahuaの7つの異なるブランドの8つの異なるデバイスプロファイルを確認しました。

Amazon EchoやApple HomePodなどのデジタルホームアシスタントデバイスも組織に存在していることがわかりました。

スマートウォッチとスマートグラス

スマートウォッチは、ネットワークに接続されたスマート腕時計で、ヘルスモニタリング、通話、テキストメッセージなどに使用できます。Apple、Samsung、Pebble、Lemfo、Motorola、Mobvoiなど、13の異なるメーカーから18のスマートウォッチがありました。

スマートウォッチに加えて、Googleスマートグラスがクラウドにわずかに存在していることにも気付きました。

スマートプリンターと3Dプリンター

スマートプリンターは、オフィスや家庭でドキュメントの印刷とスキャンに使用されるネットワーク接続プリンターです。Canon、HP、Xerox、Ricoh、Brothersoft、Zebra、Toshibaの7つのメーカーのプリンターを観察しました。

スマートプリンターとともに、3Dプリンターからのトランザクションも確認されました。3Dプリンターは、実際のオブジェクトの作成に使用されるスマートネットワーク接続デバイスです。Ultimakerの3Dプリンターを観察しました。

スマートテレビ

スマートTVは、娯楽やプレゼンテーションの目的でオフィスや家庭で使用されるネットワーク接続されたテレビです。Hisense、Letv、LG、MStar、Panasonic、Philips、Realtek、Samsung、Sharp、Sony、TCL、Xiaomi など、17のメーカーの合計46の異なるTVモデルを観察しました。

セットトップボックスとDVR

セットトップボックスは、画面やテレビにコンテンツをストリーミングするために使用されるネットワーク接続デバイスです。AerialBox、Alfawise、Amazon、Amlogic、Apple、Beelink、BenQ、Bomix、Bqeel、Foxtel Now、Google など、68のメーカーから109の異なるデバイスプロファイルが表示されました。

セットトップボックスに加えて、デジタルビデオレコーダー(DVR)は企業のトラフィックにおいて強力な存在感を示しています。DVRは、デジタルビデオの記録と再生に使用されるネットワーク接続されたスマートデバイスです。TVT、EverFocus、DIRECT TVの3つのメーカーがありました。

IP電話とデータ収集端末

IP電話は、企業で一般的に使用されている、通信に使用されるネットワーク接続されたスマートデスクトップ電話です。Polycom、Grandstream、Cisco、およびYealinkの4つの異なるデバイスを見ました。

また、企業でデータのロギングと保存に使用されるデータ収集端末デバイスも見ました。チェーンウェイ、コッパーニック、ハネウェル、モトローラ、ゼブラの5つのメーカーから合計20の固有のデバイスを特定しました。

医療機器

分析中には、医療ワークステーションもエンタープライズトラフィックに存在し、インターネット接続を必要とするインスリンモニターなどのスマート医療機器を見ました。

メディアプレーヤーとデジタルサイネージメディアプレーヤー

メディアプレーヤーは、ビデオや音楽をストリーミングするためのエンターテイメントデバイスです。Bose、Sonos、Google、Pioneer、Sony、Roku など、18の異なるメーカーの24のデバイスプロファイルが見つかりました。

デジタルサイネージメディアプレーヤーは、テレビ、モニターディスプレイの自動、ワイヤレス、リモート管理に使用されます。私たちは、BrightSign、Navori、ViewSonic、Prometheanの4つのメーカーの6つの異なるモデルを見ました。

産業用制御デバイスとネットワークデバイス

さまざまなタイプの制御システムと関連する計測に使用されるデバイスには、工業プロセスの操作と自動化に使用されるデバイスとシステムが含まれます。

IXON、Netbiter、Synologyのスマートネットワーキングデバイスもエンタープライズログに含まれていました。

自動車機器

興味深いことに、クラウドを介して接続している自動車メディアデバイスもいくつかありました。TeslaとHondaの2つの異なるメーカーの4つの自動車モデルを確認しました。

これらの車に加えて、チェンバレンのスマートガレージドア開閉装置からの取引がありました。

セキュリティとプライバシーの懸念

企業内のIoTデバイスを調べていると、一部のデバイスは適切なセキュリティプラクティスに従っていないため、細工された攻撃に対して脆弱であることがわかりました。我々は我々の分析で観察されたセキュリティ上の問題は、次のとおりです。

  1. ファームウェアまたはパッケージの更新のためのサーバーへのプレーンテキストHTTP通信
  2. プレーンテキストHTTP認証
  3. 古いライブラリの使用
  4. 弱いデフォルト認証情報

SSLと非SSL

また、プレーンテキストで取引しているデバイスの数と、暗号化されたチャネルで取引しているデバイスの数も調べました。私たちはそれを見て、約91.5パーセントのトランザクションが発生しているプレーンテキストチャネルを介してのみ8.5%に対し、SSLを使用しています。

デバイスの観点から見ると、デバイス全体の18%が通信にSSLのみを使用していることがわかりました。デバイスの41 %が部分SSL(一部の通信はSSLを介して行われ、一部は非SSL チャネルを介して行われる)を使用していますが、同じ割合(41%)のデバイスが、どの通信にもSSL/TLSをまったく使用していないことがわかりました。

IoTエンタープライズトラフィックのマルウェア

先進的なクラウドソリューションは四半期ごとに、IoTベースのマルウェアとエクスプロイトからの約6,000のトランザクションをブロックします。

今年初め、IoTデバイスを標的とした特定の脅威を分析しました。チームは、デフォルトのパスワードを使用するブルートフォース攻撃は新しいものではありませんが、デフォルトのデバイスパスワードはインストール後に変更されない傾向があるため、依然として効果的であることがわかりました。多くの場合、IoTマルウェアのペイロードには、既知のデフォルトのユーザー名/パスワード名のリストが含まれています。これにより、感染したIoTデバイスが別のデバイスに感染する可能性があります。ちなみに、不正ログインはテレワーク時にも気をつけるべき対象なので、必要な対策が分からない人はこちらの記事も参考にしてみてください。

さらに、研究者たちは、IoTデバイスに存在する脆弱性を利用していると思われるMiraiボットネットの亜種を確認しました。これらの脆弱性は主に管理フレームワークにあり、それらを悪用することにより、攻撃者はリモートでコードを実行します。これにより、通常、感染したデバイスがボットになり、ボットネット軍が大きくなります。

場合によっては、クリプトマイナーをIoTキャンペーンで配信される最後のペイロードと見なすこともありました。また、2018年12月に登場し、17の異なるエクスプロイトが武器庫にあるRIFTボットネットを検出しました。

調査期間中に確認した上位のIoTマルウェアファミリは次のとおりです。

  • Mirai
  • Gafgyt
  • Hakai
  • Rift
  • Bushido
  • Muhstik

IoTマルウェアファミリーによって接続された上位の宛先

  • 66%が米国に接続しています
  • 12%がカナダに接続
  • 2.5%がフランスに接続
  • 2.2%がギリシャに接続
  • 2%がロシアに接続

結論

IoTデバイスは、あらゆる業界の企業や世界のほぼすべての場所で一般的になっています。これらのデバイスは効率の向上と通信の拡大を支援するように設計されており、組織はこれらのデバイスを日常の運用に組み込む新しい方法を模索し続けています。もちろん、デバイスの多くは従業員が所有しており、これがセキュリティ上の懸念がある理由の1つにすぎません。

事実、近年市場に氾濫しているIoTハードウェアデバイスに組み込まれたセキュリティはほとんどなく、通常これらのデバイスに簡単にパッチを適用する方法はありません。多くの企業は、IoTデバイスに何も保存されていないため、IoTデバイスのセキュリティは不要であると考えてきましたが、そうではありません。Miraiボットネット攻撃は、IoTデバイスの結果として、企業がさらされる可能性があることを示しています。にもかかわらず、企業がコンピュータとして自分のIoT製品を考えていなかった、未来は、彼らがしたことを示した本質的であり、非常に強力なボットネットは、結果としてのIoT製品を使用して一緒に置くことができます。

これらのデバイスは引き続きサイバー攻撃の対象となりやすいですが、企業のIoTフットプリントが拡大するにつれて、リスクを軽減するために実行できることがいくつかあります。

  • デフォルトの資格情報をより安全なものに変更します。従業員がデバイスを持ち込むときは、パスワードが強力であり、ファームウェアが常に最新であることを確認するように奨励します。
  • インバウンドおよびアウトバウンドネットワークトラフィックを制限して、IoTデバイスを(横方向の移動を防ぐために)分離されたネットワークにインストールします。
  • 外部ネットワークからのIoTデバイスへのアクセスをできるだけ制限します。不要なポートを外部アクセスからブロックします。
  • ネットワークトラフィックのセキュリティ保護に加えて、IoTデバイスに定期的なセキュリティとファームウェアの更新を適用します。
  • 最後に、すでにネットワーク内に配置されているシャドウIoTデバイスの可視性を得て、上記の保護手段を確実にするソリューションを展開します。

自動車環境向けのゼロトラストネットワーク

前書き

コネクテッドおよび自律型車両のセキュリティを確保するための競争において、サイバーセキュリテの専門家は企業のセキュリティ手法をこの新しいコンピューティング環境に適合させることに取り組んでいます。ただし、最新の車両には固有の一連の制約と技術要件があり、マルウェアの更新が頻繁に行われない、パッチが適用されていないゼロデイの脆弱性、誤検知、認証ギャップが生じるため、結果は最適ではありませんでした。集合的に、これらの危険は、自動車のパフォーマンスをほとんど無視して乗客の安全を確保するために、車両のサイバーセキュリティ保護の義務を提示します。

今日、主要なコネクティッドカー機能は、ますます自動化され、クラウドサービスと統合される特殊なソフトウェアおよびハードウェアデバイスにますます依存しています。現代のコネクテッドカーは、車載ナビゲーションやBluetoothオーディオなどのドライバーと情報を共有するだけでなく、インターネットやクラウドに接続されたサービスを介してドライビングデータや車両データで「コールホーム」も行います。

内蔵通信モジュールまたはモバイルデバイスを介してインターネットとデータ接続を備えた新車は、調査会社のガートナーによって2016年に1,240万台に達し、2020年には6100万台に増加し、全世界で出荷される自動車の70%近くを占めています。

ガートナーはまた、道路上には25億台の接続車両が存在すると予測しており、ドライバーが情報、コンテンツにアクセスし、車内で生産性を維持する機会を提供しています。その結果、ドライバーの安全性とデータを保護する方法は、モバイル、自動車、セキュリティ業界で重要な問題となっています。

Intelによると、将来の自動運転および半自動の自動車や車両は、8 時間の運転ごとに約40テラバイト(TB)のデータを消費および生成し、自動車データは技術データ、クラウドソースデータ、個人データの3つのタイプに分類されます。

エンジン管理、GPSシステム、ブレーキ、ステアリング、エンターテインメントシステムからセキュリティに至るまで、自動車のコンポーネントを制御するソフトウェアを備えた複数のオンボードクラウド接続デバイスを使用することは、ドライバーや自動車メーカーにとって重要な安全問題となっています。

自動車サイバー脅威の特定

セキュリティ慣行として、自動車メーカーは、コネクテッドカーの脅威と脆弱性を内部的および外部的に事前に特定できる必要があります。既存および新たなサイバー脅威の例には、次のものがあります。

安全運転の危険性-攻撃者は、車のオーディオシステムをオンにして音量を上げたり、人命や公共の安全を危険にさらすブレーキなどの車両安全機能を無効にしたりするなど、ドライバーの注意散漫を引き起こす可能性があります。

サイバーランサム ランサムウェアに感染した接続された車両は、身代金が支払われるまで、ユーザーを車からロックしたり、車の点火システムを無効にしたりできます。
データプライバシリスク ハッカーは、USB、Wi-Fi、Bluetooth 、モバイルデバイスなどのインターフェースを介して接続された車を危険にさらし、車や車に持ち込まれた個人用デバイスのファイルを削除または変更できます。
踏み台攻撃 侵害された車両は、他の車や自動車メーカーに偽のデータを送信したり、個人のモバイルデバイスやホームコンピューターにアクセスしたりするための踏み台として使用される可能性があります。

自動車環境向けのゼロトラストセキュリティ

ゼロトラストは、組織が境界の内側または外側を自動的に信頼するのではなく、ITシステムに接続しようとするすべてのものを確認してからアクセスを許可するという信念に基づくセキュリティコンセプトです。安全なネットワークアクセスサービスへのこのゼロトラストモデルのアプローチにより、コネクテッドカーにも使用できる高セキュリティの企業全体のネットワークサービスを提供できます。

インターネットに接続された車、デバイスデータ、ドライバーに新しい機能が追加されると、ゼロトラストセキュリティモデルを自動車環境に拡張できます。管理が簡単で粒度の細かいネットワークセグメンテーションは、自動車のサイバー攻撃の成功を防ぐための鍵です。ゼロトラストアプリケーションとユーザー中心のセキュリティモデルにより、セグメンテーションアーキテクチャ全体に対する特定の定義済みの例外が可能になります。

すべてのスマートな接続デバイスが自動車メーカーに新たな脅威を生み出しているため、ゼロトラストセキュリティは、インターネットからデバイスレベルで車両に至るまでのデータ侵害や攻撃の脅威を軽減する可能性を秘めています。

コネクテッドカーのサービスとしての安全なクラウドネットワーク

ゼロトラストなNaaS(Network as a Service)は、ゲートウェイのグローバルネットワークと、接続された自動車メーカーや自動車サービスプロバイダーが使用するために完全に保護、暗号化、監査、監視されるクローズドネットワークを提供します。

自動車の使用例には、安全な無線アップデートが含まれます。信頼できるネットワークから、仮想閉鎖ネットワーク内のフリート車両の役割ベースのアクセス制御(RBAC)、およびクラウドコントロールセンターへの暗号化された自動車通信により、転送中のデータと保管中のデータを保護します。

信頼できるネットワークを通過するすべての接続された車のデータは、256ビットの銀行レベルの暗号化で保護され、接続された車の実際のネットワーク署名を隠す専用のプライベートクローズドネットワークを介してルーティングされます。信頼できるグローバルネットワークは、高速、安全、低レイテンシのクラウドネットワークをサービスとして提供します。

そしてゼロトラストネットワークの中核に位置するものは、Software Defined Perimeter(SDP)です。これは、柔軟なクラウドベースのプラットフォーム、デバイスとアプリケーションの構成可能性、およびアクセシビリティ、強化されたセキュリティ、プライバシー、ユーザーアクセス制御の粒度と分析を提供しながら、従来のVPNの制限に対処するセキュリティモデルです。VPNからゼロトラストセキュリティへの移行方法については、別の記事にまとまっているので是非ご覧ください。

ユースケース:Remote over the Air ソフトウェアアップデート

SDPセキュリティモデル内では、ゼロトラストまたはマイクロセグメンテーションの概念は、ネットワーク境界の内側で終端するトランスポート層セキュリティ(TLS)トンネルを確立することにより、クライアントとのゲートウェイ間の信頼ブローカーとして機能し、それによってアプリケーションとサービスへアクセスします。

Software Defined Perimeter(SDP)アーキテクチャとアイデンティティアクセス管理サービスの構成、運用、統合は、サードパーティの管理プラットフォームなしでは複雑になる場合があります。ただし、マルチテナント管理機能を備えたクラウドベースの安全なネットワークアクセスソリューションであるゼロトラストを使用することで、サードパーティがすべてのネットワークサービスを処理して、クライアントのリモートアクセスとエンドポイントのセキュリティを簡単に監視できます。

コネクテッドカーがSDPを採択するメリット

費用対効果の高い配信

クラウドSDPプラットフォームでは、手頃な価格で効果的な自動車用サイバーセキュリティのための高価なハードウェアのインストールはありません。

セキュリティと暗号化

プライバシーとデータのセキュリティを確保するために、SDPはTLS暗号化でトラフィックを暗号化しながら、コネクテッドカーとエンドポイントの保護、IDとアクセスの管理、OSとアプリケーションレベルのセキュリティを提供します。

高い拡張性

スケーラブルなソフトウェアフレームワークと便利なクラウドまたはオンプレミス展開でネットワークを簡単に拡張します。

待ち時間の短縮

接続されている車を追跡し、最適なデータ転送速度を保証するために、物理的または仮想的な場所にエンドポイントを展開します。

無制限の帯域幅

従量制のネットワークと柔軟でグローバルなサーバー展開により、帯域幅の制限がなくなります。

SDPアーキテクチャでコネクテッドカーを保護する

従来のネットワークセキュリティモデルは、今日のクラウドおよびモバイルファーストテクノロジー環境にはもはや関係がないため、ペリメーター81のクラウドベースの安全なネットワークアクセスプラットフォームは、コネクテッドカー向けで、すべての主要なクラウドプロバイダーおよびサービスと統合するゼロトラストセキュリティモデルを組み合わせています。

コネクテッドカーへの不正なネットワークアクセスを防止するために、自動車メーカーは、脅威に対する保護を提供し、接続された車両との間の許可された通信を規制するモバイル侵入検知システム(IDS)として機能するソフトウェア定義境界(SDP)アーキテクチャを実装できます。

SDPにはネイティブの集中制御とID管理が備わっているため、安全なポリシーベースのリソースアクセスにより、自動車サービスプロバイダーネットワークとクラウド環境にコネクテッドカーを簡単に追加できます。詳細なアクティビティレポートは、リソースと帯域幅の使用状況に関する洞察を提供し、セキュリティ違反についてアクティブな接続とセッション情報を監視できます。

ゼロトラストセキュリティを備えたSDPにより、コネクテッドカーは技術データ、クラウドソーシングデータ、および個人データを維持および保護できます。コネクテッドカー向けソリューションにより、自動車サービスプロバイダーは、ネットワークトラフィックを暗号化し、ネットワークとフリートのアクティビティを管理し、ジオターゲティングを行い、品質保証を提供できます。

クラウド接続車両プラットフォームの統合

アマゾンウェブサービス、Microsoft Azure、Googleはすべて、自動車会社がクラウドプラットフォーム上で革新的な接続された製品とサービスを構築するのを支援しています。それらは、企業がITインフラストラクチャープロバイダーとしての機能を活用する安全でスケーラブルなクラウドサービスを構築するのを支援すると同時に、さまざまなコネクテッドカーアプリケーションおよびモビリティサービスに人工知能、分析、機械学習、およびデータ管理サービスを提供します。

これらのサービスはクラウド環境を安全に保つことができますが、USB、Wi-Fi、Bluetooth 、接続された車両のモバイルデバイスなどのインターフェイスを介して機密データへのアクセスを常に安全にするわけではありません。クラウド環境と車両の両方を保護することは、自動車メーカーまたはサービスプロバイダーの責任です。

安全なネットワークアクセスソリューションは、Amazon、Google、またはMicrosoftのクラウドプラットフォームと統合して、自動車メーカーやサービスプロバイダーにゼロトラストのセキュリティと制御を追加します。このソリューションは、接続された車両のデータがどこから来ても、個人データと自動車データを保護します。接続された車両向けのNaaSは、自動車のセキュリティ環境全体に対してシンプルで費用効果の高いアクセス制御と監視を提供します。

ブランチ変換の決定的なガイド

このドキュメントの目的は、ブランチオフィスの場所からローカルにトラフィックをルーティングして、インターネットおよびクラウドアプリケーションに直接アクセスできるようにするセキュリティガイダンスを提供することです。理想的なソリューションを設計するための5つの要件の概要を説明します。しかし、最初に、安全なローカルインターネットブレイクアウトが必要になった理由を説明しましょう。

状況

アプリケーションは、クラウドへの移行を加速し続けています。同時に、ますます多くの従業員が本社の外の支社やリモートオフィスで働いています。組織は、過去に機能していたレガシーネットワークとセキュリティ戦略がもはや意味をなさないことを発見しています。

データセンターにあるアプリケーションへのトラフィックのバックホールを中心としたハブアンドスポークアーキテクチャは、ますます重要ではなくなってきています。それでも、多くの組織は依然としてレガシーアーキテクチャを介してブランチトラフィックを強制的に戻し、クラウドアプリケーションとインターネットにアクセスしているため、そもそもアプリケーションをクラウドに移動する目的に大きく反しています。

クラウドアプリケーションは、優れたユーザーエクスペリエンスを提供するように設計されており、ユーザーの生産性を高めながら、ビジネスの柔軟性と俊敏性を高めます。そして、これらのメリットを実現するには、インターネットへの直接接続が必要です。しかし、そこに到達するには、ネットワークセキュリティへのアプローチ方法に根本的な変更が必要です。

従来のアーキテクチャーの課題

ユーザーエクスペリエンスが悪い

ユーザーがブランチオフィスに移動してリモートで作業する場合、インターネットやクラウドアプリケーションにすばやくアクセスする必要があります。これらの場所からハブアンドスポークネットワークを介して本社のデータセンターにトラフィックをバックホールすると、トラフィックのボトルネックと遅延が発生し、ユーザーが待たされて生産性を低下させます。

高コスト

従来のハブアンドスポークアーキテクチャにより、組織はMPLSの支出を抑えるのに苦労しています。ブランチロケーションからデータセンターへのトラフィックをバックホールすると、ヘアピン効果が生じ、基本的には、インターネットに向かうトラフィックに対して2度支払う必要があります。ブランチからデータセンターにトラフィックを伝送し、再びそのトラフィックをユーザーに戻す必要があります。 これらのコストは、広く分散している多国籍企業では指数関数的に増加し、ITチームは常にMPLS支出を削減する方法を模索しています。

可視性の低下

多くの組織は、集中型ゲートウェイを介してトラフィックをルーティングすることで、可視性と制御性が向上すると考えています。しかし、実際には、アプリケーションがクラウドに移行すると、それらのアプリケーションやそれらが存在するネットワークを可視化できなくなります。

複雑さ

RightScale によると、現在、ワークロードの79%がクラウドで実行されています1。あなたの最もとして支店の従業員であっても、企業ネットワークへのアクセスを必要としないことがあり、アプリケーションのクラウドへの移行します。これらのユーザーをネットワーク上に維持することで、MPLSとアプライアンスの料金を支払い、管理するために不必要なコストと複雑さを追加するだけです。ブランチユーザーは、インターネットやクラウドアプリケーションへの高速で安全なアクセスを必要とするだけです。これは、バックホールでは実現できないことです。

スケーラビリティ

Office 365のようなアプリケーションは、インターネット経由で直接アクセスできるように設計されています。ハブアンドスポークアーキテクチャは長寿命の接続向けに設計されておらず、ユーザーごとのSaaS接続の大幅な増加は、必要な接続をサポートするように拡張できないため、従来のアーキテクチャとファイアウォールをすぐに圧倒します。

クラウドへの道

これらの課題を解決するには、新しい考え方が必要です。クラウドに移行するには、支社にローカルインターネットブレイクアウトを確立し、トラフィックをインターネットに安全にルーティングする必要があります。組織は、ローカルブレイクアウトを確立し、ブランチでのトラフィックルーティングを簡素化するための論理的で費用効果の高い方法として、SD-WAN(Software-defined Wide Area Network)にますます注目しています。SD-WAN の利点には、低コスト、集中型のクラウドベースのポリシー管理、簡素化されたIT、高速で信頼性の高いインターネットアクセスが含まれます。ただし、SD-WANソリューションはネイティブのセキュリティを提供しないため、これらのローカルのブレイクアウトは引き続き保護する必要があります。

ブランチオフィスでのSD-WAN展開を保護するには、複雑さを増すことなく、すべての場所で一貫して安全なインターネット接続を提供するという課題に取り組む必要があります。主なオプションは2つあります。すべてのブランチにセキュリティアプライアンスを導入するか、セキュリティをクラウドに移行します。ブランチトランスフォーメーションを成功させるための5つの​​主要な要件を検討するにつれ、クラウドへの最善の道が明らかになるはずです。

インターネットへの直接接続の保護

クラウドの世界で分散型組織が直面している課題について説明したので、それらにうまく対処する方法を見てみましょう。 安全なローカルインターネットブレイクアウトを確立する必要があることは明らかです。これらの接続を有効にする適切なソリューションは、包括的な保護を提供し、コストを削減し、ITを簡素化し、すべてのブランチユーザーに高速なユーザーエクスペリエンスを提供するための5つの主要要件を満たす必要があると考えています。

包括的なセキュリティプラットフォーム

包括的なセキュリティとは、すべての場所で同一の保護が必要であることを意味します。これは、真のクラウドソリューションでのみ可能です。ソリューションでは、すべてのポートとプロトコルを検査し、クラウドサンドボックス、クラウドファイアウォール、高度な脅威防止などの統合セキュリティおよびアクセスサービスの完全なスタックを含める必要があります。また、セキュリティはユーザーがどこに接続しても、ユーザーを追跡する必要があります。それについて考えてください。ローカルブランチは、インターネットアプリとクラウドアプリへの新しい出口ポイントです。ブランチの従業員数に関係なく、データセンターにあるのと同じレベルのセキュリティを各ブランチで提供する必要があります。

包括的なセキュリティソリューションでは、WebEx、Box、Dropbox などのアプリが通常の80と443を超えるポートを使用するため、DNSとビデオトラフィックを含むすべてのポートとプロトコルのトラフィックを分割する必要もあります。

レガシーテクノロジーが不十分な理由

従来のファイアウォールは、彼らがない意味ないプロキシHTTPまたはFTPトラフィック、缶タイプの完全なコンテキストはありませRであるセキュリティのequiredを。彼らは既知のシグネチャに基づいてトラフィックを検査することしかできません。これはすべての脆弱性のわずか3〜8 %をキャッチするため、組織はDNSトンネリングなどの攻撃にさらされます。さらに、DNSトラフィックを分割しないと、通常、ユーザーが最も近いインスタンスに接続されなくなり、アプリケーションのパフォーマンスとユーザーエクスペリエンスに悪影響を及ぼします。

角を切ることはオプションではありません

ローカルブレイクアウトを保護するために、一部の組織はセキュリティアプライアンスを各場所に展開しますが、このような複雑なブランチ展開の購入、構成、管理、および維持のコストのために、すべての場所でインターネットゲートウェイセキュリティスタックを複製する組織はほとんどありません。

手を抜くために、組織はブランチの場所に最適なセキュリティ制御を備えていない、より小さなファイアウォールとUTMアプライアンスを展開することにより、セキュリティに妥協します。このアプローチでは、組織全体のさまざまな容量と機能を管理する必要があり、ポリシー制御が複雑になり、ポリシーの一貫性が失われ、監査証跡が断片化することがよくあります。これらのセキュリティの侵害により、ブランチ、つまりネットワーク全体が脆弱になります。

または、アプライアンスベンダーは、ハブを確立し、これらの地域のデータセンターへのトラフィックをバックホールすることを推奨します。このアプローチは、各ブランチロケーションにアプライアンスを展開するコストと複雑さを軽減する可能性がありますが、修正されたハブアンドスポークネットワークを作成するだけで、対処するために設定した課題を解決せず、必要な直接的インターネット接続を確立しません。トラフィックをインターネットに効率的かつ安全にルーティングするには、クラウドセキュリティプラットフォームが必要です。

すべてのcloudが平等に作成されるわけではありません

自家発電機を使って発電所を建設するのは非効率的で規模を欠いていて、意味がありません。また、シングルテナントアプライアンスでセキュリティクラウドを構築することも意味がありません。次世代ファイアウォールやUTM などのレガシーテクノロジーは、クラウドソリューションに必要なアーキテクチャを欠いており、クラウドに転用することはできません。

仮想化ファイアウォールの使用は、ゼロからクラウド用に設計されたマルチテナントクラウドセキュリティプラットフォームと同じではありません。仮想化されたファイアウォールには依然として容量の問題があり、SSLトラフィックを検査したり、新しいセキュリティ機能を追加したりすると、パフォーマンスが影響を受けます。それはまだ箱であり、単なる物理的な箱ではありません。進化する要求を満たすために拡張することはできません。

マルチテナントプラットフォームでは、アプライアンスや仮想化アプライアンスで発生するサービスチェーンとは異なり、遅延を増加させる追加のホップを必要とせずに、すべてのセキュリティサービスを1つのパスで提供できます。また、プラットフォームはクラウドベースであるため、ブランチにいても本社にいても、セキュリティスタックが役立ちます。クラウドアプリケーションを安全に有効にするには、ニーズに合わせて柔軟に拡張できるマルチテナントプラットフォームが必要です。

プロキシベースのアーキテクチャ

SSL暗号化トラフィックが増加しているため、そのトラフィック内に隠れている脅威も増加しています。Googleの報告によると、プロパティを通過するトラフィックの90%以上が暗号化されているため2、SSLインスペクションはオプションではなくなりました。ただし、SSLインスペクションにはプロキシが必要です。最高のセキュリティを実現するには、パフォーマンスを低下させることなく、SSL暗号化トラフィックを大規模にネイティブに検査するプロキシが必要です。

レガシーテクノロジーが不十分な理由

従来のアプライアンスベースのファイアウォールとUTMは、SSL 暗号化トラフィックをネイティブに検査できないため、ソフトウェアベースのボルトオンソリューションが必要です。ただし、SSL インスペクションを有効にすると、アプライアンスのパフォーマンスに大きな影響があります。仕様を確認してください。アプライアンスのライフサイクルは状況を悪化させます。通常、組織は3〜5年のアプライアンス更新サイクルを計画しているため、SSL検査とパフォーマンスのニーズが5年後にどのようになるかを推測する必要があります。

将来のSSLインスペクション要件を予測することはせいぜい困難であり、通常は3つの潜在的な結果の1つになります。パフォーマンスが問題になると、計画外の高額なセキュリティアプライアンスのアップグレードが必要になる場合があります。または、SSLインスペクションをバイパスするように強制される場合があります。SSLトラフィックの将来の増加を見越して、今日購入するアプライアンスとそれに関連する脅威の量を過大に支出し、過剰にプロビジョニングする可能性が高くなります。

また、証明書の管理についても忘れないでください。アプライアンスまたはVNFソリューションでは、証明書をすべてのデバイスに手動でインストールする必要があります。ブランチやリモートロケーションが多数ある場合に、このプロセスを管理して証明書を最新の状態に保つことができると期待するのは現実的ではありません。SSL暗号化トラフィックを効果的に処理するには、ソリューションでネイティブSSLインスペクションを大規模に有効にし、証明書の集中管理を提供する必要があります。

グローバルクラウド

ネットワーク境界の概念は劇的に変化しました。あらゆる場所で作業し接続するユーザーにセキュリティとアクセス制御を提供する必要があります。また、どこにいても一貫したセキュリティレベル(セキュリティスタック全体のレベル)が必要です。マルチテナントアーキテクチャのグローバルクラウドは、ユーザーの移動先に関係なく、一貫したセキュリティを提供します。複数の支店や場所を持つ組織が必要とする信頼性と可用性を提供します。

レガシーテクノロジーが不十分な理由

MPLSを介してリージョナルハブにトラフィックをバックホールするか、トラフィックを少数のデータセンターにルーティングすることにより、出力ポイントを制限すると、地理的なギャップ、遅延、およびユーザーエクスペリエンスの低下を引き起こします。また、規制は地域によって異なるため、データプライバシーのコンプライアンスも複雑になります。ユーザーエクスペリエンスを向上させ、コンプライアンスを簡素化するには、グローバルフットプリントを真に提供するベンダーを選択してください。データセンターと出力ポイントは、すべての地域のブランチユーザーの近くにある、キャリアに中立な交換である必要があります。重要なアプリケーション4 とのピアリングと組み合わせることにより、近接性は最速の接続、優れたアプリケーションパフォーマンスを提供し、データプライバシー要件へのコンプライアンスを容易にします。私たちの言葉を信じないでください。 2017年、マイクロソフトは、Office 365などのより多くのアプリケーションがクラウド5に移行するにつれ、ローカル出力と直接インターネット接続の重要性を強調しました。

エンタープライズグレードの可視性と管理

ユーザー、アプリケーション、および場所によるリアルタイムの可視性は、特に広く分散している組織にとって、セキュリティの展開に不可欠です。ログの欠落を心配したり、断片化したログをつなぎ合わせたり、複数の管理プラットフォームを使用してインターネットログを表示したりする必要はありません。

レガシーテクノロジーが不十分な理由

さまざまなアプライアンス間でアクティビティを関連付け、タイムリーな方法で可視性とレポートを提供することは、アプライアンスがすべてのブランチに分散しているため、ほとんど不可能です。1日に何百万ものトランザクションが存在する場合、そのようなタスクを実行することは非現実的です。従来のセキュリティアプライアンスを使用してネットワーク全体にネットワークとポリシーの変更を実装するには、通常、個別の管理インターフェイスを使用するか、専門のITスタッフが各サイトで構成を手動で展開する必要があるため、どこでも一貫したポリシーを維持することが困難です。場所が20か、それとも200以上あるかにかかわらず、場所固有の構成を作成してプッシュする時間やリソースがない可能性があります。ポリシー管理を簡素化する必要があります。

さらに悪いことに、NGFWおよびUTMソリューションでは、アプライアンスのサイジング時にログのサイズとボリュームを見積もる必要があります。ログスペースがいっぱいになると、アプライアンスはログを上書きします。一部のアプライアンスは7日間のログしか記録せず、それらのメーカーは、独自のログリポジトリを構築するために(追加のコストとサイズで)中央マネージャーを購入することを提案しています。これは、ビジネスの成長にうまく対応できないソリューションです。

ソリューションはIT運用を簡素化する必要があり、複雑にする必要はありません。理想的なソリューションでは、ライセンスを追加したり、スクリプトを追加したりせずに、ポリシーを一元的に作成して複数のブランチにプッシュすることができます。ポリシーを作成し、場所を選択し、ボタンを押してポリシーを適用および適用するだけの簡単なものでなければなりません。

柔軟なスケーラビリティ

クラウドアプリケーション機能の最適化は、トラフィック量に関係なく、パフォーマンスとセキュリティ機能の一貫した配信に依存しています。 また、機能、機能、またはユーザーが追加されてもユーザーに影響が及ばないことを意味します。 簡単に言えば、弾力的に拡張してリソース集約型アプリケーションをサポートし、新しいセキュリティ機能を有効にし、コストや複雑さを増すことなくネットワークトラフィックの増加に対応できるマルチテナントセキュリティプラットフォームが必要です。

レガシーテクノロジーが不十分な理由

Office 365のようなクラウドアプリケーションはリソースを大量に消費するため、ユーザーごとに長期間の接続が生成されます。このような接続の変更は、アプライアンスが必要な接続をサポートできないため、アプライアンスがローカルに展開されている場合でも、アプライアンスを圧倒し、パフォーマンスを著しく低下させる可能性があります。これを補うために、組織はセキュリティハードウェアを頻繁に交換し、高価なアプライアンスのアップグレードを実装する必要があります。

トラフィックを効果的に管理するには、ビジネスに不可欠なアプリケーションに優先順位を付け、アプリケーションが消費する帯域幅を制限する機能が必要です。アプライアンスは、他のトラフィックよりもビジネスアプリケーションを優先するようには設計されていません。NGFWアプライアンスとUTMアプライアンスで使用される帯域幅ポリシングでは、パケットドロップと追加の遅延が発生します。複雑で高価なアプライアンスの無秩序な増加、貧弱なユーザーエクスペリエンス、ボトルネックや帯域幅の競合に対して脆弱な企業になってしまいます。これらの課題に対処するには、ソリューションに帯域幅制御を含めて、YouTube、ストリーミングスポーツイベント、または重要ではないビジネストラフィックを介して、最も重要なアプリケーションのトラフィックに優先順位を付けることができるようにする必要があります。

帯域幅の割り当てと追加サービスの有効化に焦点を移しましょう。あなたが数十の場所からトラフィックを送信しているグローバル企業であると想像してください。シングルテナントテクノロジーを選択すると、組織のセキュリティスキャンを実行するために必要なリソースが制限されます。トラフィックが急増した場合、その急増に対応するのに十分な帯域幅が割り当てられていない可能性があり、コストが高くなる可能性があります。結局のところ、トラフィックのスパイクをシームレスに処理するためにリアルタイムでスケーリングするソリューションが必要です。マルチテナントのセキュリティプラットフォームの利点の1つはスケーラビリティです。どのテナントもクラウドの任意の割合を消費できます。ニーズが拡大すると、それに応じてスケーリングできます。

セキュリティプラットフォームで追加のサービスを有効にすることも、パフォーマンスに影響を与えることなく、リアルタイムで行われる必要があります。アプライアンスでは、新しいサービスを有効にするために、新しい機能を展開する各サイトで専用ユニットまたはアプライアンスの更新が必要になることがよくあります。実装にはコストと時間がかかり、組織全体でアプライアンスの無秩序な増加と一貫性のない保護につながります。仮想化されたファイアウォールも例外ではありません。それらは容量に制限があり、SSLトラフィックを検査したり、新しいセキュリティ機能を追加したりすると、パフォーマンスが影響を受けます。けれども、それはあなたのデータセンター内の物理ボックスではなく、仮想マシンはまだボックスで数年ごとにアップグレードする必要があります。増大する需要を満たすために拡張することはできません。

ブランチ変革の実現

トラフィックをインターネットに直接ルーティングすることにより、ユーザーの近くにセキュリティを配置し、高速で安全なユーザーエクスペリエンスを実現します。クラウドサービスとして配信することで、ユーザーが本社にいるか、支店に移動しているかに関係なく、セキュリティがユーザーに追随してすべての場所に同一の保護を提供できます。すべてのユーザーが、ネットワーク上でもネットワーク外でも、同じように一貫した継続的な保護を利用できます。

100%クラウド対応アーキテクチャ上に構築されたソリューションは、市場の他のセキュリティソリューションとの関係で独自に位置付けられる5つの主要要件を具体化します。

完全なセキュリティプラットフォーム

セキュリティスタック全体をクラウドサービスとして提供します。これには、クラウドファイアウォール、クラウドサンドボックス、帯域幅制御、脅威防止、データ損失防止が含まれ、すべてのブランチでセキュリティアプライアンスをバックホールまたは展開する必要はありません。このサービスは、HTTP、HTTPS、DNS、SSL暗号化トラフィックを含むすべてのポートとプロトコルを検査し、一貫した永続的なセキュリティを確保します。セキュリティの妥協はもうありません。

プロキシベースのアーキテクチャ

大規模なネイティブSSLインスペクションは、SSL暗号化トラフィックを、アプライアンスやボルトオンソリューションなしで、パフォーマンスに影響を与えることなく処理できることを意味します。また、証明書の集中管理により、ブランチからのSSLトラフィックを簡単に検査できます。ブランチトラフィックのSSLインスペクションをバイパスする必要はありません。

グローバルクラウド

ゼロからクラウド用に設計されたマルチテナントセキュリティアーキテクチャ上に構築されています。本社、支社、または外出先など、どこに接続するかに関係なく、ユーザーに同じ保護を提供します。5つの大陸にある100を超えるデータセンター、および重要なアプリケーションとの直接ピアリングにより、インターネットをユーザーに近づけ、高速接続、アプリケーションパフォーマンスの向上を実現し、ビジネスニーズに生産的なユーザーエクスペリエンスを提供します。

可視性と管理

すべての場所のアプリケーション、ユーザー、脅威をリアルタイムで可視化します。Nanolog ™ストリーミングサービス(NSS)を使用して、カスタマイズされたトランザクションログをSIEMにストリーミングし、脅威を検出して対応し、ネットワークをさらに可視化するのに役立つ洞察を提供できます。ITチームは、単一の集中型クラウドベースコンソールから、新しいサービスをアクティブ化し、ポリシーを定義してすぐに適用し、すべてのブランチロケーションを管理できます。

柔軟なスケーラビリティ

マルチテナントセキュリティプラットフォームを使用すると、トラフィックをローカルにインターネットにルーティングし、トラフィック量に関係なく一貫したセキュリティとパフォーマンスを提供し、帯域幅管理ポリシーを適用して、重要なビジネスアプリケーションを他のトラフィックよりも優先させることができます。クラウドアプリケーション、ネットワークトラフィックの増加、予期しないトラフィックスパイクをサポートするために、柔軟にスケーリングします。

ブランチを変換し、安全なローカルブレイクアウトを確立する準備ができていますか?

アプリケーションがクラウドにあり、ユーザーが世界中のブランチにいる場合、従来のハブアンドスポークネットワークを介してブランチトラフィックを強制することは効果的ではありません。トラフィックをインターネットに直接ルーティングすることで、ネットワークとセキュリティを変革する時が来ました。次のステップを検討するときは、5つの重要な要件に留意してください。クラウドファーストエンタープライズをサポートするように設計および構築されたソリューション、つまり、コストを削減し、より優れたユーザーエクスペリエンスを実現し、本社またはブランチオフィスですべての場所に同じエンタープライズ保護を提供するソリューションから、ブランチの変革の旅を始めます。

アプリをOffice 365に移行する際の主な課題

Office 365の移行の最中のほとんどのITおよびネットワークリーダーのようであれば、完全に準備されたさまざまな変更や状況に遭遇した可能性があります。移行を始めたばかりか、順調に進んでいるかに関係なく、Office 365はその機能の点で、そしてネットワークへの影響の点で大きな問題です。

続きを読む