次世代アクセスとZTSの未来を予測する、ペリメータの先にあるもの

ボトムライン

2019年にデジタルビジネスが成長を続けるためにすべてのデジタルビジネスが必要とする最も価値のある触媒は、アイデンティティが新しいセキュリティ境界線であることを認識し、企業データへのすべてのアクセスポイントを保護するために拡張可能な次世代アクセス(NGA)に基づくゼロトラストセキュリティ(ZTS)戦略です。

どのようなデジタルビジネスも、成長のスピードが速まれば速まるほど、アイデンティティ、デバイス、ネットワークのエンドポイントが増殖していきます。2019年以降に最も成功したビジネスは、今日、全く新しいデジタルビジネスモデルを積極的に生み出しています。彼らは積極的に採用し、地理的な場所から独立して必要とされる専門家をオンボーディングし、グローバルなR&Dパートナーとの新しいソーシングや特許アイデアを模索しています。企業は、これまでにない速さでデジタル・トランスフォーメーションを行っています。 Statistaは、企業がデジタルトランスフォーメーションに2019年に1,900億ドルを費やし、2025年には4,900億ドルに急増し、6年後には14.4%の年間複利成長率(CAGR)を達成すると予測しています。

セキュリティ・ペリメーターは成長するビジネスを左右する

Forrester社の最近の調査によると、ITセキュリティ侵害の80%には特権的なクレデンシャルアクセスが関与しています。 Verizon Mobile Security Index 2018 Reportによると、89%の組織がモバイルネットワークの安全性を保つために、単一のセキュリティ戦略だけに頼っていることがわかりました。IBM Securityの最新の「2018 Cost of a Data Breach Study」によると、典型的なデータ侵害は2018年に平均的な企業に386万ドルのコストをかけており、2017年の362万ドルから6.4%増加しています。

あらゆるデジタルビジネスにとっての厳しい現実は、自社の最大の成長資産は、絶えず拡大するビジネスの境界線をどれだけうまく保護しているかということに気づくことです。信頼されたドメインと信頼されていないドメインに依存するインフラストラクチャのセキュリティを確保するためのレガシーなアプローチでは、急速に変化する企業の新しいセキュリティ境界を構成するすべてのアイデンティティとデバイスを保護するために拡張することはできません。これらすべての要因が、次世代アクセス(NGA)によるゼロトラスト・セキュリティ(ZTS)が、デジタルビジネスの成長にとって、製品ロードマップ、価格戦略、サービスと同様に不可欠である理由であります。

次世代アクセスとゼロトラストセキュリティの未来を予測する

ZTS(ゼロトラストセキュリティ)が提供する次世代アクセス(NGA)が2019年にどのように進化していくのかを予測してみました。

行動ベースのスコアリングアルゴリズムは2019年に大幅に改善され、これまでよりも精度の高いリスクスコアを計算することでユーザー体験を向上

攻撃の阻止は、過去のアクセス試行、デバイスのセキュリティ姿勢、オペレーティングシステム、場所、時間帯、その他多くの測定可能な要因など、さまざまな変数に基づいてリスクスコアを計算する一連の行動ベースのアルゴリズムから始まります。2019年には、これらのアルゴリズムと機械学習技術を使用して生成されるリスクスコアが、精度と文脈に基づいたインテリジェンスの観点から向上していることが期待されます。この分野のリーディングカンパニーは、今日、これを達成するために機械学習技術に積極的に投資しています。

多要素認証(MFA)の採用は、デジタルビジネスが新しい研究開発プロジェクト、進行中の特許、ロードマップ、製品計画を保護のために急増

国がスポンサーとなっているハッキング組織や組織犯罪は、急成長しているデジタルビジネスの知的財産を、ダークウェブ上に流出させて販売することができる最も価値のある資産の一つと見ています。漏洩したパスワードに対する最も効果的な単一の防御手段である MFA は、AI、航空宇宙・防衛、携帯電話や IoT デバイス用のチップ設計、電子商取引、企業向けソフトウェアなどの分野で最も成功している企業に採用されるでしょう。

十分なセキュリティを持たないIot製品は増殖し、デジタルビジネスのセキュリティ境界線にさらに挑戦する

スマートでコネクテッドな製品の時代が到来しており、Capgeminiは2020年までにコネクテッド製品の市場規模が519Bドルから685Bドルになると予測しています。CapgeminiのDigital Engineeringによると、メーカーは2020年までに製品の50%近くがスマートでコネクテッドな製品になると予想している。ディスクリートメーカーの新たな成長エンジン この調査はこちらからダウンロードできます(PDF、40ページ、オプトインなし)。スマートで接続されたデバイスが企業に新たな脅威を生み出すたびに、少なくとも1つのデバイスメーカーが役員レベルまでのゼロトラストセキュリティ(ZTS)サポートを設計し、自社のデバイスから始まる侵害の脅威を軽減することで、企業への販売を拡大していることを期待しています。

より高い追跡性とトレーサビリティを求めて、ヘルスケアと医療品のサプライチェーンはゼロトラストセキュリティ(ZTS)を採用することになる

これをヘルスケアおよび医療製品の喫緊の課題としているのは、規制当局への報告とコンプライアンスの強化と、新製品の市場投入までの時間と既存の顧客への配送精度の向上を求める圧力が複合的に作用していることです。ZTS の柱は、ヘルスケアと医療のサプライチェーンが必要とする追跡とトレーサビリティに最適です。これらの柱は、リアルタイムのユーザー検証、デバイスの検証、インテリジェントなアクセス制限であり、検証されたユーザーの行動を学習して適応させることもできます。

デジタル企業があらゆる脅威の表面にわたってZTS戦略を微調整する方法についての洞察を求め、機械学習アルゴリズムが向上する中で、リアルタイムセキュリティアナリティクスサービス

多くの企業は、シングルサインオン(SSO)多要素認証(MFA)などのセキュリティ戦略を組み合わせて利用することを止めていた潜在的な侵害の数を目の当たりにしたとき、2019年には多くの企業が啓示を受けることになるでしょう。機械学習アルゴリズムは、行動ベースのスコアリングを使用して改善を続け、ユーザーエクスペリエンスをさらに向上させます。

結論

今日、セキュリティは変曲点にあります。IT システムと企業の資産を保護する長年の方法では、新しい ID、デバイス、または脅威の表面をすべて保護することはできません。すべての ID が新しいセキュリティ境界線である場合、あらゆるデジタルビジネスのセキュリティを確保するためには、新しいアプローチが必要となります。リアルタイムのユーザー検証、デバイスの検証、インテリジェントなアクセス制限を含む ZTS の柱は、検証されたユーザーの行動を学習して適応させると同時に、違反を阻止し、あらゆる種類の企業のデジタル資産を保護する上で効果的であることが証明されています。今こそ、より多くのデジタルビジネスがセキュリティを成長の起爆剤と捉え、業務の継続的な発展を確実にするために、今すぐ行動を起こすべき時です。

デジタルワークフローは機械と 労働者の安全性を新たなレベルへ

モノのインターネット(IoT)が革命を起こしている分野の一つに安全性があります。スマートで接続されたデバイスの台頭により、メーカーは機械の稼働状況、労働者の健康状態、工場の状態をこれまでにないレベルで可視化できるようになりました。作業員の生体情報を取得するウェアラブルデバイスから、施設の一酸化炭素レベルを検出するセンサーまで、IoT対応の安全装置やシステムからは、これまで以上に多くのデータがストリーミングされています。

しかし、IoTのメリットを真に享受するためには、安全資産からできる限り多くのデータを収集するだけでは十分ではないことを念頭に置いてください。この情報を行動に移すことができるインテリジェントなプラットフォームが必要です。この課題に対処するために、新しいストリーム処理IoTは、ユーザー定義のルールに照らし合わせて安全装置のデータを評価し、この情報をSaaSを用いたデジタルワークフローの形でアクションに変換します。先を見越したメンテナンスのスケジューリングから機械の電源遮断まで、これらのワークフローは、機械の安全性とインシデント対応の処理方法に大きな影響を与えます。

このIoT技術が、機械や作業員の安全性を新たなレベルに引き上げるのにどのように役立つかを詳しく見てみましょう。

安全装置を管理するスケーラブルなIoTエンジン

現在、特に石油・ガス、製造業、その他の産業環境では、安全性の傘に該当するIoTデバイスには事欠かないものがあります。温度やその他の環境センサーは、安全または危険な作業条件に関する情報を記録します。ウェアラブルは、心拍数、動き、位置情報など、作業者の身体測定値を記録します。安全装置は、機械の動作状態をリアルタイムで継続的に監視し、装置が摩耗や故障の兆候なく安全に動作し続けることを保証します。

しかし、IoTはプロセスを理解するための新たな機会を生み出したことは間違いありませんが、データを実行可能なものにするための新たな課題も生み出しています。

ここにIoT Bridge型製品の出番です。この水平方向に拡張可能なストリーム処理プラットフォームは、様々な安全装置をデジタルワークフローに接続し、安全装置からの大量の利用可能なデータの収集、表示、および対応を可能にします。標準プロトコルを使用して、デバイスを認証して通信し、ルール処理エンジンを使用して、ユーザー定義のルールに照らしてデータを評価します。

これらのルールは、受信データストリームを既存のワークフローベンダーの提供する機能と橋渡しするデジタルワークフローを自動的にトリガーし、安全関連のインシデントに迅速に優先順位を付けて対応することを可能にします。

安全性(Safety)as a Service

IoT Bridgeのようなデジタル・ワークフロー・プラットフォームは、安全なリアルタイム・データとインテリジェンス・ソフトウェアを使用して、安全装置の健全性を監視します。IoTを活用することで、様々な人やシステム間のマルチステッププロセスを自動化し、オペレーションの効率性と顧客サービスの質を向上させます。

これらの機能により、IoT Bridgeは、製品を中心としたサービスサポートシステム全体の販売に焦点を当てたサービス化されたビジネスモデルへのシームレスな切り替えを支援します。これまで以上に簡単に安全性を機械に組み込むことができるようになることで、安全性をサービスとして提供し始めることができ、競争力を高めることができます。

職場の安全性を変革する

デジタルワークフローは、貴重な安全装置のデータを行動に移すことで、お客様の業務に多くのメリットをもたらし、以下のことを可能にします。

  • 機器の機能安全性を高めるIoTの利点は明らかですが、相互接続されたデバイスが豊富にあり、それぞれのデバイスはますます複雑な電子機器やソフトウェアを搭載しているため、システム安全機能の実装がますます困難になる可能性があります。
  • 労働者の健康、安全、福利厚生の向上:デジタルワークフローは、環境センサーからのデータをより効率的に管理することができ、作業環境の可視性を高め、放射線、熱、湿度などの過酷な条件への作業員の曝露を減らすことができます。これらの理由から、デジタルワークフローは、労働者の負傷、事故、欠勤の割合を減らし、ダウンタイムを最小限に抑え、生産性を向上させることができます。
  • インシデント対応の迅速化と改善: 作業員が重大なイベントや事故を報告すると、あらかじめ設定された自動化されたワークフローが開始され、医療チームの派遣などの安全プロトコルが加速されます。逆に、環境センサーが危険な作業状態を検出した場合、例えばガスの高レベルが検出された場合、ワークフローは自動的に人員にそのエリアから避難するように通知します。
  • 真の予知保全を実現:デジタルワークフローは、単に反応的な対応を提供するだけでなく、危険な機械の故障を事前に予測して未然に防ぐことができます。現場の安全装置からのデータを集約し、その情報を機械学習予測アルゴリズムに利用可能にすることで、IoT Bridgeは、潜在的に危険な装置の故障を回避するワークフローを積極的にトリガーすることができます。

IoT Bridgeは、常時状態を監視し、予測分析を行うことで、潜在的に危険な状態を検出し、自動的に修正作業を開始して、危険を未然に防ぎ、機器の全体的な機能安全性を向上させます。これらの理由から、IoT Bridgeは、安全性完全性レベル(SIL)やその他の基準を維持するのに役立ちます。

デジタルワークフローとサイバーセキュリティ

IoTの多くの利点にもかかわらず、スマートで接続されたデバイスの爆発的な増加により、サイバー攻撃の数が増加しており、労働者の安全性に対する脅威が増大しています。幸いなことに、いくつかのベンダーが、これらのゼロトラストセキュリティによるサイバーセキュリティの脅威に対処するためのソリューションを提供しています。

セキュリティのオーケストレーション、自動化、応答エンジンは、セキュリティインシデント応答、脆弱性応答、脅威インテリジェンス機能とともに、インテリジェントなワークフローを活用しています。該当製品が既存のセキュリティ製品からアラートを受信すると、イベントを重複排除してセキュリティインシデントを作成し、影響を受けた資産を構成管理データベースと照合して優先順位を決定し、様々な処理の自動化を助けてくれます。

LAN、WAN、VPN、ファイアウォールを切り裂く10年

企業のワークプレイスの壁は、この10年の間に企業にとって流動的になるでしょう。 これは、あなたの働き方と、完全にインターネット主導のワークプレイスの誕生によって推進される動きとなるでしょう。言い換えれば、従来の企業ネットワークの死であり、従来のネットワークセキュリティの死を意味します。これは劇的な改善であり、私たち全員が接続する方法を再構築し、ITリーダーが仕事へのアクセスを支援する方法を書き換え、レガシーなインフラストラクチャ企業が苦戦するテクノロジー市場全体を再構築することになるでしょう。

この動きは、コネクティビティ、モビリティ、クラウド、そして私たち全員が望む働き方についての記念碑的な見直しの一環として、仕事をワーカーの生活に近づけていくことになるだろう。モビリティ、BYOD、あるいは何と呼んでもいいかもしれませんが、シリコンバレーや大規模な国際都市、そしてハイテクのようないくつかの業種では当たり前のように行われていますが、これらのかなり初期の採用者以外では主流ではありません。しかし、これらのかなり初期の採用企業以外では主流ではありません。実際、Zscalerが成功しているのは、ユーザーが好きな場所で好きな時に安全に仕事ができるように支援している先進的なビジネスリーダーのおかげです。しかし、5G時代はこの新しい働き方の採用を劇的に加速させ、その結果、従来の企業ネットワークの終焉を加速させるでしょう。

この働き方の変化による影響は極端なものになるでしょう。ここでは、2020年の10年間の私の予測を4つご紹介します。

企業はついにインターネットの攻撃面を排除する

あなたがインターネットに接続するときはいつでも、多くの場合、ファイアウォールを介して、あなたを接続するためのIPアドレスがあります。ファイアウォールは、家や城を守るドアのようなものです。インターネットに面したIPアドレスを持つすべてのファイアウォールは、重大なビジネスリスクを生み出す攻撃対象となります。このリスクを軽減するために、新しいアプローチや技術がこの10年で進化していくでしょう。

パブリック・クラウドに置かれるアプリケーションが増え、インターネットを利用してクラウドやSaaSアプリケーションに接続するオフィスが増えるにつれ、攻撃対象は激増しています。インターネットに接続するアプリケーション、データ、デバイス、人の数が100倍になると、攻撃対象はどうなるのでしょうか?100倍に増加します。

このように考えてみてください。100人の友達に連絡が取れるようにしたいと思ったら、自分の電話番号をウェブサイトで公開することができます。これで彼らはあなたに電話をかけることができるようになりましたが、ロボコーラーも同様にあなたに電話をかけることができます。これはまさに、アプリケーションをパブリッククラウド上に公開し、インターネットを使ってアプリケーションにアクセスできるようにしたときに起こることです。ユーザーはそれらにアクセスできますが、脆弱性を発見したり、DDoS攻撃を仕掛けたりする可能性のある100万人のハッカーにもアクセスされてしまいます。

どうやって解決するの?あなたが電話オペレーターを雇って、100人の友達の名前を教えたとします。友人はオペレーターに電話をかけるとすぐにあなたに連絡を取ることができますが、あなたに接続しようとするロボコーラーはオペレーターによって拒否され、あなたに迷惑をかけることはできません。同様のアプローチは、企業を保護するために機能し、企業のユーザー/支店のトラフィックやアプリケーション/サーバーがインターネットにさらされるのを防ぐことから始めます。このアプローチでは従来の境界型モデルを、高度な電話交換機のようなデジタル交換機に置き換えます。アプリケーションは交換機の後ろに隠れて見えないようになっています。ユーザーは交換機に接続し、交換機からアプリケーションに接続します。このモデルでは、ユーザー、オフィス、およびアプリケーションはインターネットにさらされることはありません。アプリケーションへの安全なアクセスのためのこのアプローチは、今後10年間で広く使われるようになるでしょう。

5Gはあなたのローカルエリアネットワークになるでしょう

過去10年間でインターネット接続性が非常に向上したため、企業は、さまざまなオフィスとデータセンターを接続していた高価なWAN(プライベート・ワイド・エリア・ネットワーク)を捨て始めました。シーメンスのグローバル・インフラストラクチャの責任者であるフレデリック・ヤンセン氏は、数年前に「インターネットは新しい企業ネットワーク」という言葉を生み出した先駆者であり、思想的リーダーです。彼が言いたかったのは、シーメンスのビジネスは、オフィス、コーヒーショップ、空港、ホテルなど、あらゆる場所で行われており、インターネットがすべてのトラフィックのデファクト・トランスポートになっているということでした。

2020年代の5Gの普及に伴い、ローカル・エリア・ネットワーク(LAN)も消滅します。今日、私たちはオフィスに座っている間、インターネットにアクセスするためにWi-Fiを探し、会社の外周に設置されたルーターやファイアウォールを介して安全に接続しています。しかし、すべてのPCや携帯電話に超高速5Gが搭載されている今、オフィスでWi-Fiに接続することはありますか?そんなことはありません。5Gの直接接続を使用し、従来のルーターやファイアウォールを迂回することになります。また、WANやLANを管理していない場合は、ファイアウォールを使用する必要はありません。5Gデバイスからのトラフィックは、デジタル・サービス交換を通じて、適切な人々を適切なアプリケーションに接続し、アプリやサービスへのより速く、より安全で、より信頼性の高いアクセスを実現します。

VPNやファイアウォールはついに無くなります

VPNが壊滅的なマルウェア・ランサムウェア攻撃の発射台になっているという話は数え切れないほどありますが、今週も注目度の高いVPN攻撃がニュースになりました。これは、ファイアウォールやVPNが、アプリケーションがデータセンターにのみ存在し、「城」の周りのセキュリティ境界線が必要なネットワーク中心の世界のために構築されたために起こっているのです。多くの組織が「境界線のない」モデルに移行しているため、ファイアウォールが基本的に保護する方法である「城と城砦」アプローチに基づく従来のネットワークセキュリティは、もはや意味をなさなくなっています。これらのアプローチは、企業に誤ったセキュリティの感覚を与えてしまいます。ビジネス・ポリシー・エンジンを使用して、前述のデジタル・サービス・エクスチェンジのように動作し、セキュリティを強化し、より優れた企業セキュリティを提供する新しいアプローチが開発されています。

ゼロトラスト・ネットワーク・アクセスは、企業セキュリティの新常識となるでしょう

今日、ユーザーにアプリケーションへのアクセスを提供するために、彼女はいわゆる信頼された企業ネットワークに接続されています。ネットワークに接続されると、ユーザーは必要以上に見ることができます。これは、ネットワークをコントロールしているときには許容されていましたが、インターネットが企業のネットワークとなっている現在、ユーザーをネットワーク上に置いてアプリケーションにアクセスさせることは危険です。ユーザーのマシンが感染すると、マルウェアはネットワークを横断し、ネットワーク上のすべてのサーバーに感染する可能性があります。巨大な海運会社であるMaersk社は、約1年半前にこの問題に直面し、ユーザーとアプリケーションを同じネットワーク上に置くことの危険性を強調しました。この問題に対するより良いアプローチが切実に必要とされています。

CISOの多くは物理的なセキュリティも管理しているので、オフィスの例え話を使って信頼性ゼロを表現するのが好きです。私がオフィスを訪れた場合、受付で止められ、IDを確認し、予約を確認し、バッジを発行してくれます。彼らは私をエレベーターに案内して、予約のために6階に行くように言うことができます。しかし、今ではそのようなことはほとんどありません。対照的に、信頼関係ゼロのアプローチでは、誰かが会議室まで直接エスコートしてくれて、会議の後にフロントデスクまで連れて行ってくれます。

ガートナーが発表したゼロトラスト・ネットワーク・アクセス(ZTNA)に関する画期的なリサーチ・ノートでは、企業がユーザーに必要な特定のアプリケーションへのアクセスを提供する方法が述べられています。このアプローチは、アプリケーションのセグメンテーションを作成するために多くのネットワーク・セグメントを作成しようとするよりも、クラウドの世界にセキュリティを提供します。

高レベルでは、ZTNAを次のように考えてください。認証、デバイスの姿勢、その他の要因に基づいて信頼のレベルを確立することはできますが、ユーザーが使用することを特別に許可されたアプリケーションのみを信頼することになります。それ以外の活動は非常に疑わしいものです。

これらのメガシフトは、ビジネスに多くの機会と課題をもたらすでしょう。クラウド、モビリティ、IoT、機械学習などのテクノロジーは、多くの大規模なグローバルブランドを変革する一方で、これまでにないペースで新しいビジネスを生み出しています。また、これらのテクノロジーは、既存の大規模なテクノロジー・プロバイダーを混乱させる一方で、新たな巨人を生み出しています。Google、Amazon、Salesforce、ServiceNow、WorkdayのようなIT業界のビッグネームの多くは、ほとんどがここ10~2年の間に誕生した企業です。

私の考えや、これからの10年についての考えが下記のリンク先のブログに掲載されている私のチームの考えについて、皆さんの見解をお聞きしたいと思います。この10年間、私たちは思慮深い議論をしてきましたが、本当にありがとうございました。新しい10年に向けて、これからも議論を続けていきたいと思います。

 

ランサムウェアに備えるサイバーセキュリティの経済学

要約

ランサムウェアに人質にされてしまうと、さらにコストがかかります。ランサムウェアの人質になると、さらにコストがかかります。悪意のある行為者や犯罪組織の戦術、技術、手順は、高度な侵害を防止し、阻止する能力を上回っています。

企業は、サイバーセキュリティにどれだけのコストがかかるのかを理解し、コストを抑えて業務の中断を軽減するために組織をどのように準備するかを理解しておくことが重要です。

サイバー犯罪は、規模の大小を問わず、世界中の企業に影響を与えています。この記事では、自社の環境への侵入が発生した場合に備えて、サイバーセキュリティにかかるコストを特定しています。対応や修復にかかるコストは、ほんの一面に過ぎないことを覚えておいてください。また、ブランドや評判を落とすためのコストも考慮しなければなりません。

序論

高度なサイバーセキュリティの進化、消費、提供は、混乱と興奮の両方であり、テクノロジーがいかに早く進化しているかを見てください。準備が不十分な企業の多くは、厳しい結果を被ることになります。

サイバーセキュリティは世界中の企業に影響を与えており、大企業から中小企業まで攻撃は拡大しています。敵対者はより迅速なROIを求めており、大げさな言い方をすれば、私たちは皆ターゲットにされていることを意味しています。

本記事では、サイバーセキュリティのコストと最も重要なITインフラストラクチャの概要を説明し、特定することで、誰かがあなたのビジネスを標的にした場合に備えて積極的に準備することができるようにするための重要なポイントを提供します。

サイバー攻撃の進化

90年代後半から2000年代初頭にかけて、マルウェアの最初の反復版が普及し始めました。これらのマルウェアは、今日の基準では基本的で技術的には洗練されていませんでしたが、それにもかかわらず蔓延しており、根絶するのは困難でした。「I Love You」ウイルスはその好例で、電子メールを介して瞬く間に拡散し、ホストマシン上のファイルを上書きしたり破損させたりすることができました。

世界は、ウイルスを検出して阻止する方法を知ることから、死後のホストベースのフォレンジックによってオペレーティングシステム内で何をしているのかを理解することまで、この流行に対処するための設備が整っていませんでした。

悪意のある活動を理解するようになると、私たちは死後のフォレンジックが格段に上手になりました。悪者がどのようにして悪意のあるコードを作成してシステムに侵入しているのかを理解するようになりました。しかし、これはまだ反応的なものでした。より積極的になるために、ファイアウォールや侵入検知システムのような境界線の保護に投資し始めました。しばらくの間、私たちの投資は報われていましたが、少なくとも私たちはそのように感じていました。

しかし、我々が進化するにつれ、悪者も進化していきました。彼らはより創造的になって 境界線のセキュリティを回避するようになった 今日、私たちはエンドポイントに戻って、回避と能力の両面でより洗練されたマルウェアの早期発見に力を注いでいます。

最近のマルウェアの進化の一つにランサムウェアがありますが、これは消え去ることはありません。

今日のランサムウェア

ランサムウェアや他の類似の攻撃を駆除するのが難しい理由はたくさんありますが、それが脅威行為者の最も人気のあるツールの1つである理由ではありません。人気があるのは、他の多くの犯罪行為よりも簡単で安全だからです。

脅威行為者は、あなたのデータを人質にしているときに手を汚す必要はありません。ランサムウェアは、誘拐や身代金の支払いがある国の犯罪企業に似ています。どちらの場合も、お金を稼ぐことができますが、一方のルートの方が明らかに論理的に安全で、潜在的な変数が少ないのです。

あらゆる規模や部門の組織がデジタル化を進めており、データが新しい通貨になりつつあります。脅威者は、企業や個人が人質のデータを公開するためにお金を払うことを知っていますが、その方が簡単で安価なためです。

脅威行為者顧客サービス

ITの専門家は、脅威行為者の顧客サービスがいかに高度なものであるか、そしてそのプロセスを促進する犯罪基盤がいかにうまく組織化されているかに衝撃を受けることが多い。

犯罪プラットフォームは、支払い後にデータの解読に問題を抱えた被害者が利用できるように、リーダーシップ、マーケティング、直接サポート、さらにはITサポートまでを備えた完全に機能した組織です。

このレベルの組織とプロセスは、初めての被害者にとっては非常に驚くことが多い。敵対者は、多くの合法的なビジネスよりも、彼らの不本意な顧客にサービスを提供する方法を知っています。

脅威行為者の発見

ほとんどのランサムウェアのプラットフォームは、ダークウェブを介してホストされています。これにより、法執行機関やその他のサイバーセキュリティ事業者がその活動を阻止しようとする世界からは十分に隔離されています。一般の人がダークウェブにアクセスするのは難しく、一度アクセスすると専門家の助けなしには非常に困難です。映画に描かれていることとは裏腹に、ポータルに出くわしただけでダークウェブにたどり着くことはできません。

窃盗の進化

私たちは、コモディティでターゲットを絞っていないマルウェアから、よく研究された、よく計画された、実行された攻撃へと、業界で進化を遂げてきました。コモディティマルウェアは、脅威となる行為者に広く利用されており、比較的簡単にダウンロードでき、クレデンシャル、クレジットカード番号、データを盗むために使用され、盗みの副産物として金銭を生成するために使用されます。過去には、世界最大の銀行に対するハッキングが行われ、クレジットカードが何万枚も盗まれ、ATMのサイフォン操作に使用されたことがあります。

ここ3~5年でターゲットが変わってきました。犯罪組織が大手銀行から5万枚のクレジットカードやデビットカードを盗み出し、データを盗み出して運用するにはコストがかかります。大規模な金融機関のセキュリティと不正行為のインフラはより強固で、不正行為を早期に捕捉するためのより高度なツールを利用できるようになっています。

敵は、これらの「大物」をターゲットにしても、以前ほどの利益は得られないと判断しています。彼らは、リソースに制約のある500社の小規模企業をターゲットにする方が簡単であることに気付いたのです。小さな会社からの1ドルは、大きな会社からの1ドルと同じです。

今日のターゲット

サイバー犯罪に関する世界的な統計であるVerizon Breach Reportによると、90%以上の脅威者が、商品型攻撃からランサムウェアのような不吉なものまで、組織への第一の侵入経路としてスピアフィッシングを利用していると推定されています。ソーシャルエンジニアリングとスピアフィッシングは、一般的な犯罪者、組織的なサイバー犯罪、国家によって利用されていることに注意することが重要です。

脅威者は、歴史的にITの進歩に投資してこなかった組織が格好の標的になることを知っています。このような組織には、中小規模の銀行、公益事業、医療機関などが含まれ、地域の医院から地域の医療施設に至るまで、様々な組織が含まれます。最大手の医療機関はデータ保護の面でより良い仕事をしていますが、小規模な組織は、リスクを適切に軽減するための適切なツール、適切な技術、適切な能力を得るのに苦労しています。

最近では、地方自治体が好ましい標的になっています。データを永遠に失った組織もあれば、非常に古いバックアップからデータを復元した組織もあります。いずれの場合も、業務運営に支障が出ています。全体的に見て、あらゆる分野で中小企業に対する攻撃がエスカレートしています。

スモールビジネスに注力する

一匹狼の脅威の行為者や犯罪組織は、通常はあまり守られていない小規模な企業をより多く標的にすることが、よりよく守られているかもしれない数社の大企業を標的にするよりもはるかに効果的であることに気づいています。もっと簡単なターゲットがあるのに、時間外にフルタイムの警備員が「見回り」をしている会社から、なぜわざわざハッキングや窃盗をするのでしょうか?

攻めの代償

攻撃を受けた際には、具体的な復旧費用、法的費用、ブランドレピュテーション管理費用などがあります。しかし、生産性や通常の収益に関わる業務中断コストもあります。データが人質になる前に、従業員が実際にできる仕事がない場合にどのように対処するかを決めておく必要があります。

これはビジネス上の大きな決断であり、ブランドの評判や組織の士気に影響を与えます。

ランサムウェア攻撃に対する複雑な侵害対応の際に、ある組織の上級メンバーが私に尋ねてきました。明日は出社しないように言うべきか?

業務中断コスト

攻撃を受けた後の後始末には何百万もの費用がかかることは誰もが知っています。多くの企業は、修復だけが唯一のコストだと誤って考えています。このような企業は、業務の中断に伴うコストを考慮することを忘れています。

データが漏洩したり、押収されたりするような事態が発生すると、従業員は自分のコンピュータを必要とする仕事ができなくなります。従来のコモディティ攻撃では、企業内のマルウェアとモグラ叩きをしながら業務を継続する可能性があったのに対し、データ盗難ではすべてを阻止することができます。

例として、私は大規模な組織が被害を受けたマルウェア攻撃への対応を指揮していました。このマルウェアは、感染したコンピュータのユーザが30の特定の銀行のウェブサイトのいずれかを訪問した場合に、ユーザの認証情報を収集するように設計されていました。ユーザーがユーザー名とパスワードを入力すると、マルウェアはデータをキャプチャして脅威の行為者に送信します。マルウェアがどのようにして侵入し、その機能を理解し、コマンド&コントロールに接続する機能を停止させた後、私たちはクライアントに通常の業務を継続するようにアドバイスしました。

マルウェアとその根底にある永続性を根絶するためのプロセスを開発しながら、全従業員に銀行のウェブサイトを訪問しないように指示しました。

データ盗難の費用と対応

攻撃を受けた後の後始末には何百万もの費用がかかることは誰もが知っています。多くの企業は、修復だけが唯一のコストだと誤って考えています。このような企業は、業務の中断に伴うコストを考慮することを忘れています。

データが漏洩したり、押収されたりするような事態が発生すると、従業員は自分のコンピュータを必要とする仕事ができなくなります。従来のコモディティ攻撃では、企業内のマルウェアとモグラ叩きをしながら業務を継続する可能性があったのに対し、データ盗難ではすべてを阻止することができます。

例として、私は大規模な組織が被害を受けたマルウェア攻撃への対応を指揮していました。このマルウェアは、感染したコンピュータのユーザが30の特定の銀行のウェブサイトのいずれかを訪問した場合に、ユーザの認証情報を収集するように設計されていました。ユーザーがユーザー名とパスワードを入力すると、マルウェアはデータをキャプチャして脅威の行為者に送信します。マルウェアがどのようにして侵入し、その機能を理解し、コマンド&コントロールに接続する機能を停止させた後、私たちはクライアントに通常の業務を継続するようにアドバイスしました。

私たちは、全従業員に銀行のウェブサイトを訪問しないように指示し、マルウェアとその根底にある永続性を根絶するためのプロセスを開発しました。

データ盗難費用と対応

従来のサイバー侵害への対応と修復は簡単ではありませんが、一般的には理解されています。すべての攻撃への対応には、インシデント対応者がフォレンジックを行うこと、攻撃への対応方法に関する法的アドバイス、全国の違反通知法のパッチワークの解読、規制要件などがあります。

これに対し、ランサムウェアは、コモディティマルウェアとは異なり、データがどのようにバックアップされているのか、どこにあるのか、身代金を支払わなかった場合、どれだけ早くマシンを再構築できるのか、といったIT運用上の既存のギャップをさらに突くことができます。身代金を支払ってファイルを解読した後、ファイルが破損していたことが判明した場合、ファイルは永遠に失われてしまうのでしょうか?

これらの質問は、ネットワークの構築方法やデータの管理方法に大きな問題があることをしばしば明らかにします。

マルウェア駆除

ネットワークからマルウェアを除去することは、非常に困難でコストのかかる作業です。次世代のツールによってマルウェアの検出と停止ができるようになってきていますが、敵対者はマルウェアを非常に迅速に拡散させ、永続性を維持するためのメカニズムを作り出しています。

変化したのは、マルウェアの進化に伴い、従来のAVや次世代のAVでは、マルウェアが実際のペイロードを実行するのを防ぐことができるかもしれませんが、マルウェアを配信したメカニズムは、ネットワーク全体にフックを設置することができるということです。これにより、マルウェアは拡散を続け、境界線をテストし、脅威行為者に報告し続けることができます。

敵対者は、自分たちのマルウェアがどのようにして停止されるかを観察します。永続性メカニズムにより、マルウェアの複数のバージョンをテストするために戻ってくることが可能になり、最終的にはウイルス対策プラットフォームやセキュリティサービス、さらにはセキュリティアナリストの手に渡ることができるようになります。

今日、私たちはエンドポイントにマルウェアを侵入させるための高度なアプローチを扱っていますが、そのマルウェア自体が高度なものとなっています。進化する課題に対応するためには、防御的アプローチを強化する必要があります。

ランサムウェア対応コストの計算

多くの組織では、ランサムウェアの発生に対応するために数百万ドルの費用がかかることはないだろうという印象を持たれています。しかし、彼らはネットワークからマルウェアを除去するための関連コストを過小評価しているか、あるいは認識していません。関連コストには、収益の損失、ビジネスの混乱、ブランド認知度、評判などが含まれます。これらの各分野はランサムウェアの影響を受けており、クリーンアップ作業におけるコストの一部として計算する必要があります。

データサイエンス、取引の事実、政府の記録、業界調査、そしてパートナー企業と共同で行った当社独自の調査によると、組織の規模に関わらず、ランサムウェアの発生は数百万ドル規模の損失につながる可能性があることが示されています。

ここ数年、データを失ったり、データを盗まれたり、何らかの形でプライバシーに影響を与えたりした組織に対する大規模な訴訟がメディアで報道されています。この訴訟は、銀行からヘルスケアまで業界を横断しています。訴訟を起こされた場合、巧妙な攻撃に直面した際には、可能な限り最善の防御態勢を整えなければなりません。現実には、悪者の方が善者よりも早く動くことが多いのです。繰り返しになりますが、問題は時期の問題であって、「もしも」の問題ではありません。

組織は、攻撃を受ける前、攻撃を受けている間、そして攻撃を受けた後に、自分たちが正しいことをしたかどうかを知る必要があります。攻撃を受ける前に、データのバックアップ頻度とバックアップ先を知る必要があります。

巧妙なマルウェアは、マシンを暗号化するだけでなく、ネットワーク共有やバックアップドライブを探し出して暗号化します。これらの攻撃は、大規模な組織を非常に公然と襲っています。

ある大企業は、世界最大のアルミニウム生産国の一つであるノルウェーのノルスク・ハイドロ社で、ランサムウェアの攻撃を受け、世界中のネットワークを停止させ、工場を混乱させ、ITスタッフを残業に追い込みました。ランサムウェアは月曜日の夜に米国内のコンピュータを攻撃し、翌朝には40カ国で事業を展開する同社の大部分に広がっていました。

それに伴うネットワークのシャットダウンにより、工場は顧客からの将来の注文を受けられなくなり、株式にも影響を与え、感染の報告を受けて約0.7%の下落となりました。

平均検出・対応・脅威駆除時間の短縮

すべての組織の目標は、侵害の拡大と影響を食い止めるために、可能な限り迅速に対応し、根絶することでなければなりません。対応時間を正確に評価するためには、チームのトレーニングを評価することで、チームの準備態勢を評価する必要があります。また、適切なツール、プロセス、リソースがあるかどうかを調べ、インシデントを迅速に検出、トリアージ、調査、修復する準備ができているかどうかを判断する必要があります。すべてが整っていると思っているのであれば、それをテストする必要があります。あなたの新しい目標は、対応時間と修復時間を短縮することです。

道具を増やせば守備力が上がる

次世代技術を購入してインストールするのは簡単です。実際、私たちの中小企業のお客様のほとんどは、さまざまな目的のために6~12の異なるセキュリティツールを稼働させています。

しかし、ツールが統合されておらず、互いに通信していないため、一連のツールを通して脅威が実際に追跡されているかどうかをテストすることはできません。インシデントが関連しているかどうかを判断するためには、各ツールを個別に検証する必要があります。

サイバーセキュリティへの投資のコストを分解することは、「独自に構築する」、「アウトソーシングする」、またはその両方を組み合わせた場合のコストを表にするだけではありません。ベストケースとワーストケースのコストを評価するのです。また、カバレッジも重要です。

今日の市場では、組織を無防備なままにしておくことはできません。組織の内外を問わず、有資格者のチームによる24時間365日のカバレッジを確保する必要があります。より多くのツールは、24時間体制の必要性を解決することはできません。

大企業と中小企業の違いは、統合されていないツールのそれぞれが提供する評価を実行するためにオンサイトチームを必要とするかどうかです。大規模な組織は、複雑なグローバルネットワークと大規模な設置面積のため、一般的に現場での人材が必要であると結論づけています。

大企業であっても、一部の分析は専門家に任せた方が良いことを知っているため、例えば、脅威インテリジェンスや複雑なフォレンジック業務を外部に委託しています。このような企業がアウトソーシングを選択するのは、社内の専門知識を獲得し、維持し、維持することが非常に困難だからです。

必要とされる人材の種類と量、インフラとその維持管理、さらにはサイバーセキュリティ態勢の高度化を考慮すると、「コスト」は予想以上に高くなる可能性があります。

チームとそれをサポートするテクノロジーが初日に100%の状態になることはないと予想しなければなりません。

防御手立て

堅実で効率的なサイバーセキュリティチームを構築するには、セキュリティに関する幅広い知識を持った 1 人や 2 人だけでは十分ではないかもしれません。SOCとITセキュリティチームは、ネットワーク脅威インテリジェンス、ネットワークトラフィック分析、エンドポイント検出対応、フォレンジック、一般的な脅威インテリジェンスの分野の専門家で構成されている必要があります。

組織は、どの程度のリスクを許容できるか、また、インソーシングやアウトソーシングにどの程度の費用をかけることができるかを判断する必要があります。

道具と人を選ぶ

サイバーセキュリティのベンダー会社が販売しているものをすべて購入する必要はありません。どのツールがあなたに余裕のある最高の保護を提供してくれるかを理解しているベンダーに依頼すべきです。これは、リーダーシップに特定の費用を正当化し、特定のリスク(例えば、24時間365日誰もいないというリスクなど)を受け入れる必要があることを意味する場合があります。

どの程度のリスクを許容するかは、組織や利用可能な金銭的リソースによって異なります。組織によっては、特定の技術を導入したり、従業員が5時以降に特定の行動を取らないようにする追加のコントロールを導入したりすることで、リスクをダウングレードしたり、軽減したりしているところもあります。また、プライベート・クラウドの使用を許可しないことで、組織のフットプリントを減らし、ネットワークにハッキングした場合に敵対者が見るものを減らすこともある。その他の組織では、上記のような対策を行い、社内または外部で管理されている高度なセキュリティ・オペレーション・センターを利用してリスクを軽減している。

ほとんどの中堅中小企業は、複数の変数の処理を支援するために、マネージド・セキュリティ・サービス・プロバイダ(MSSP)に移行しています。これらの企業は、ネットワークトラフィック、エンドポイントトラフィック、検出と応答、フォレンジック、マルウェア分析の専門家を求める傾向があります。また、これらすべてをリーズナブルな価格で提供することも求めています。

最近、業界は小規模な組織に対して、大規模な組織が利用できるのと同じタイプの防御オプションを提供し始めています。小規模組織は、さまざまなNext Genツールを購入したり、プロセスを実装したり、機能を強化したりするのではないことに気付いています。内部でセキュリティを構築して運用するためにお金をかけるつもりはないのです。企業はむしろ、妥当な価格ですべてを外注したいと考えているのです。良いニュースは、一般的にサイバーセキュリティサービスは、中堅企業向けに以前よりも手頃な価格で提供されるようになったということです。悪いニュースは、ほとんどのMSSPがパズルの最後のピースである真の脅威の撲滅を解決していないことです。

セキュリティインフラのカスタマイズ

長い間、すべてをIT担当者がやっていました。その後、業界ではITとITセキュリティの考え方が変わり始めました。ITは電気をつけておくこと、ITセキュリティはファイアウォールの更新、コンピュータの脆弱性の監視とパッチの適用など、他のすべてを行うことと定義されるようになりました。今日では、ITセキュリティはさらに分割され、「サイバーセキュリティ」とは切り離されています。

サイバーセキュリティの専門家は一般的に、コンピュータにパッチを当てるのではなく、攻撃者がいないかコンピュータを監視しています。彼らの主な機能は、攻撃者を検知して阻止することです。

サイバーセキュリティチームの個人は、ネットワークを守るためのユニークなスキルセットを持っています。彼らは、ネットワーク全体の攻撃をほぼリアルタイムで検知する能力と、大きな問題になる前にそれを阻止する知識とスキルを持っていなければなりません。サイバースセキュリティの専門家の求人市場は信じられないほど競争が激しいため、中小企業にとって、このチームを構築することは非常に困難なことが多いです。このようなオペレータを惹きつけたり、訓練したり、維持したりすることができないのです。

コストは人だけではありません。ツールとインフラストラクチャで構成されるインフラストラクチャのコストもあります。サイバーセキュリティソリューションには、市場には数十種類のカテゴリーが存在します。それぞれのカテゴリーには数十種類のツールがあり、すべての機能が重複しています。バズワードだけでは、圧倒されて混乱してしまうこともあります。慎重に選びたいものです。

セキュリティオペレーションセンター資源

独自のSOCを構築する場合は、これらのツールを理解して、どのツールがニーズに最も適しているかを判断する必要があります。最低限必要なのは、エンドポイントセキュリティ、境界セキュリティ、データ損失防止、メールセキュリティなどの基本的なものです。

例えば、データ損失防止を利用すると、従業員や願わくば脅威行為者が特定のタイプのデータをネットワークから持ち出したり、特定の場所にデータを移動させたりできないように、組織は実施ポリシーを構築することができます。これらのツールのすべてがすべてを検出できるわけではありませんが、DLP(データ損失防止)のようなツールを他のデータと一緒に導入することで、企業全体の可視性と知識を高めることができることを理解してください。

企業全体の可視性を統一し、インシデントを迅速に調査できるようにするには、特定のタイプのテクノロジーが必要です。これらの技術は、セキュリティインシデントおよびイベント管理(SIEM)とセキュリティオーケストレーション、自動化、および応答(SOAR)プラットフォームに分類されます。

SIEMは、ユーザーが複数の形態のデータを一箇所で確認できるようにし、ビジネスからセキュリティに至るまで、特定のユースケースのためのカスタムクエリと可視性を構築することを可能にします。SOARプラットフォームでは、インシデント調査中にセキュリティ専門家が行う様々なステップを支援したり、代替したりするために自動化できるプレイブックを構築することができます。この2つの技術は、サイバーセキュリティと高性能なセキュリティオペレーションセンターの運営に不可欠なものとなっています。

上記のように、SIEMとSOARの技術は重要ではありますが、使いやすいものではなく、「ターンキー」ではありません。これらは、社内または外注の専門家によるセットアップと継続的な管理にしっかりとしたコミットメントを必要とします。

インフラ整備費

インフラを構築する際には、考慮すべき多くのコストがあります。これらのコストには以下のようなものがあります。

  • ハードウェア(仮想/アプライアンス):データ収集をどのように実装するか?
  • ストレージ:データをどのくらいの期間、どこに保存しますか?
  • データソース:どのようなデータソースをどのような目的やユースケースで取り込むか?

エキスパートを追加する前に、上記のすべてに関連するハードコストがあることを覚えておいてください。一般的に、小規模な企業の場合は10万ドル以上の費用がかかることが予想されます。

システムの精錬

初期セットアップ後、データソースとユースケースを継続的にレビューするプロセスを構築することが重要です。組織がSIEMやSOARを実装する際に目にする最も大きな痛みは、MSSPと仕事をする前にSIEMを調達していたお客様の一人が次のように語っています。

当初はすべてが完璧でした。データを見ることができ、インサイトを得ることができたので、実際に良い影響を与えることができました。しかし、1年経った今、ログソースの変更やクエリの更新など、新たな変化についていけなくなりました。

チームの成熟度

最後に、チームが成熟していく過程で発生する可能性のあるコストを考慮してください。セキュリティチームを成熟させるには、12~18ヶ月かかることもあります。また、人員やインフラストラクチャに関する決定は、現在必要なものであっても、ネットワークの変化や成長に伴って大きく変わる可能性があることを覚えておいてください。

セキュリティチームを成熟させるためのコストは、組織の規模、リスクプロファイル、資産の価値、危殆化した場合に資産を復元できるかどうかによって異なります。

結論

サイバーセキュリティの基本的なコストは、中小企業のあらゆる業種にまたがっています。ランサムウェアやマルウェアの攻撃がなくなるわけではなく、私たちはこれをチームでの戦いと考えています。この問題はますます悪化していくでしょう。これは恐怖の戦術としてではなく、観察として述べています。

犯罪者は、儲かるお金があるので、より巧妙になってきています。内部のリスクを評価し、そのリスクを軽減するためにリソースを投入するという良い仕事をしなければ、私たちは本当に自分たちを防御できる立場に置くことができません。強力な防御可能な立場になるには、問題を考え、月曜日の朝のクォーターバックに耐えうる合理的なプロセスが文書化されていることを確認する必要があります。

データの評価と分類を行い、「王冠の宝石」を特定する。 ネットワーク内には多くのデータがあり、すべてのデータとサービスが同じではない。事業運営や評判にとってミッションクリティカルなデータと、価値があるが損失や破壊があってもビジネスに支障をきたさないその他のデータを見極めましょう。昨今はクラウドの変化のみならず、私物の端末を業務で扱うBYODなども増えてきています。これにより、機密データを保護するために必要なツールやプロセスを決定し、それらのデータ・ソースのいずれかが破損したり盗まれたりした場合に重要な意思決定を行うことができます。

実用的なセキュリティ対応のガイド:アジャイルな体制を構築する

情報セキュリティの重要な課題

データ侵害は今日、企業を常に脅かしています。そして、そのリスクは増大し続けています。侵害にかかるコストは362万ドルから386万ドルに増加し、昨年より6.4%増加しました。侵害に至るまでの時間は現在では数分単位で計測され、データの流出は数日単位で発生します。

迅速に対応できない場合、組織は貴重なデータや機密情報を漏洩させるリスクがあります。 復旧プロセスには信じられないほどの費用がかかり、ビジネスの評判へのダメージは計り知れません。

脅威の特定と対応に時間がかかるのはなぜ?セキュリティとITの専門家は、主な原因の1つを指摘しています。従来のアプローチでは、組織間の効率的なインシデント対応の調整が妨げられています。

  • 多数のバラバラなツール:優先順位のない数千のアラートを累積的に発生させます。
  • 自動化の欠如:手作業で時間を無駄にしてしまう
  • 組織の不透明性:適切な連絡先の追跡が困難
  • 複数のセキュアでないデータセットと手順書:全員が同じページにいることを確認することが不可能になる

非効率性に加えて、従来のセキュリティ対応に関連した手動プロセスは、他の問題を引き起こします。スプレッドシートはすぐに古くなってしまい、電子メールは間違った受信箱に入ってしまうことがよくあります。どちらのシナリオにおいても、パフォーマンス指標を定義して追跡することは非常に困難です。また、このような手作業のプロセスでは、高度な訓練を受けた従業員が低レベルのタスクに集中してしまうことが多く、結果として高い離職率につながってしまいます。

組織全体のインシデント対応を調整することは、ほとんどの企業にとって最大の課題です。

必須のセキュリティ運用ソリューションチェックリスト

セキュリティの脅威や脆弱性に対応する能力をどのように評価しますか?
この短いチェックリストを使用して、適切なセキュリティ運用ソリューションが企業をどのようにサポートできるかを評価してください。

  • セキュリティとITにまたがる単一の真実の情報源を頼りにしていますか?
    • すべての回答者が最新のデータにアクセスする必要があります。共有システムにより、セキュリティチームとITチームが対応を調整することができます。
  • 構成管理データベース (CMDB) との統合?
    • CMDBを統合することで、アナリストは、影響を受けるシステム、その場所、複数の攻撃に対する脆弱性を迅速に特定することができます。
  • すべてのセキュリティインシデントと脆弱性に優先順位をつける?
    • 過剰なアラートを処理する最善の方法は、組織への影響の可能性に基づいて、アラートに自動的に優先順位を付けることです。アナリストは、どのシステムが影響を受けるのか、関連するシステムへの影響を正確に把握する必要があります。
  • 基本的なセキュリティ作業の自動化?
    • アナリストは、セキュリティ脅威に対応するために重要な情報を数秒で必要としています。脅威の濃縮などの手動タスクを自動化することで、対応プロセスを迅速に統合することができます。
  • セキュリティ手順書が守られていることを確認してください。
    • ワークフローは、セキュリティランブックを確実に遵守するために非常に重要です。経験豊富なセキュリティの専門家は複雑な脅威を軽減し、セキュリティのプレイブックにより、Tier1の担当者が実際のセキュリティ作業を行うことが可能になります。
  • 認可された承認者と主題の専門家を迅速に特定することができます。
  • オーケストレーションでより迅速な対応が可能に?
    • 単一のコンソールからアクションを実行し、他のセキュリティツールと相互作用することで、修復を迅速化します。
  • 詳細なメトリクスを収集してパフォーマンスを追跡し、インシデント後のレビューを推進し、プロセスの改善を可能にします。
    • チームのパフォーマンスを追跡し、レビューのためのデータを収集できる必要があります。ダッシュボード、レポート、または事故後のレビューで収集されたメトリクスは、改善をサポートするためのトレンドデータを提供します。

つまり、適切なソリューションがあれば、インシデントへの効率的な対応が可能になり、セキュリティチームとITチームを結びつけることができます。また、セキュリティ姿勢を明確に可視化することができます。CISOとセキュリティチームにとっては、セキュリティオーケストレーション、自動化、および対応を統合したプラットフォームであり、私たちは安全ですか?

セキュリティ対応のアプローチの比較:伝統的なものと新しいもの

注目度の高い脆弱性が発生した場合、企業が対応できる方法はいくつかあります。従来のバラバラなアプローチを使用している組織の対応と、統合された対応プラットフォームを使用している組織の対応を比較する。

伝統的なアプローチ

脅威が発覚すると、セキュリティチームはそれに対処するために奔走します。CISO はそれを聞いて、組織が影響を受けているかどうかを知りたがります。チームはシステムを評価し、誰が緊急パッチを承認する必要があるかを決定するためにレースをします。
多くのプロセスはマニュアル化されているため、アナリストはCISOに影響の正確な評価を提供するために必要な情報を迅速に収集するのに苦労します。
チーム間の手動の調整には数日を要し、重要なシステムが脆弱なままになり、ビジネスをデータ漏洩のリスクにさらすことになります。

新しいアプローチ

それに比べて、セキュリティオーケストレーション、自動化、および対応プラットフォームを使用している組織は、脆弱性に即座に対応することができます。それはすぐに次のステップを開始します。

評価

まず、スキャンデータは、脆弱性管理システムから自動的にセキュリティ対応システムに引き込まれる。これを全米脆弱性データベースやそれらの内部資産データベースなどの外部ソースと相関させ、脆弱性そのものの潜在的なリスクと組織のビジネスサービスへの影響の両方から脆弱性の優先順位を決定します。

通知

その後、事前に構築されたワークフローにより、優先度の高い資産に影響を与える重要な脆弱性がセキュリティチームに通知されます。アナリストは、単一のコンソールで脆弱性とリスクに関する情報を確認することができます。

対応

並行して、ワークフローが応答プロセスを開始します。システムは、重要な脆弱性のある項目に対する緊急パッチを承認するための要求を自動的にトリガーします。パッチが実装されると、脆弱性がクローズとマークされる前に、追加スキャンで修正内容を確認します。

緩和

重要な項目のパッチが適用されたことで、セキュリティとITは、残りの脆弱な項目に対処するための計画を作成することができます。
単一の応答プラットフォームを使用しています。変更要求は自動的にIT内の適切な担当者にルーティングされるため、組織構造を覚える必要がありません。共通のプラットフォームにより、安全な「知る必要がある」ベースで情報を共有することができます。

報告

これで、CISOはブリーフィングを受け、セキュリティ運用ソリューションは、正確なメトリクスを含むインシデント後のレビューを自動的に生成します。CISOは満足し、組織は安全が維持されます。

次は何をするの?

セキュリティインシデントや脆弱性への効率的な対応は、情報セキュリティリーダーにとって最大の課題の一つです。そのため、セキュリティオーケストレーション、自動化、および応答応答プラットフォームを選択することが非常に重要です。

優秀なセキュリティ対策ソリューションは、セキュリティチームがインシデントや脆弱性に迅速かつ効率的に対応できるように設計されています。優秀なセキュリティ対策ソリューションは、インテリジェントなワークフロー、自動化、および IT との深いつながりを利用して、セキュリティ対応を合理化します。

優れたセキュリティオーケストレーション、自動化、および応答ソリューションを導入することで、脅威と脆弱性の特定、修復、および調整作業をより効率的に行うことができます。 自動化により、対応担当者は、手作業での作業ではなく、より複雑な問題に集中することができます。また、組織のセキュリティ態勢を継続的に評価するための正確なデータを自由に利用できるようになります。

ゼロトラストモデルの強みと弱みを徹底的に解説

米国の法廷では、被告人は有罪と証明されるまで無罪とみなされます。ゼロトラスト・セキュリティモデルでは、その逆が当てはまります。すべてのもの、すべての人が疑われているとみなされ、質問され、調査され、クロスチェックされ、それが許可されても安全であることが絶対的に確認できるまでは、すべてのものが許可されていなければなりません。

ゼロトラストは、ジョン・キンダーバーグ氏がフォレスター・リサーチの副社長兼主席アナリストを務めていた2010年に考案した概念です。Kindervag氏は、サイバー攻撃、特にネットワーク内での脅威の横移動を阻止するための組織内部の失敗を見ていたとき、従来のセキュリティモデルは、組織のネットワーク内のすべてのものが信頼できるという時代遅れの仮定の上で運用されていることに気づきました。その代わりに、ゼロトラストはそのモデルを逆転させ、「絶対に信頼しない、常に検証する」という指導原則に従ってITチームを指導し、ネットワーク内部のユーザーとデータを含む境界線を再定義しました。

過去10年の間に、多くの企業がゼロトラストモデルに移行し、古い城と砦の考え方を壊し、インサイダーの脅威の現実を受け入れるようになりました。ここでは、ゼロトラストの強みと弱みを含めたゼロトラストの内部を見ていき、組織が自社の壁の中でゼロトラストの哲学を受け入れるべきか、それとも別の方法を検討すべきかを評価するのに役立ちます。

ゼロトラストの定義

ゼロトラストは情報セキュリティのフレームワークであり、組織はネットワークの境界線の内外を問わず、いかなるエンティティも信用してはならないとしています。ゼロトラストは、組織やその従業員、請負業者がビジネスデータにアクセスするために使用するすべてのデバイス、ユーザー、アプリ、ネットワークを安全に保護、管理、監視するために必要な可視性とITコントロールを提供します。

ゼロトラスト構成の目標は明確でなければなりません。財務部門の従業員は会計ソフトを必要としており、それ以外の従業員はアクセスを禁止すべきである。リモートワーカーはVPNを使用すべきであり、オープンインターネットからのアクセスは禁止すべきです。データ共有は制限され、制御されるべきです。かつてインターネットの礎の一つであった情報の自由な流れは、ネットワークへの侵入からネットワークを守り、プライバシー侵害から顧客を守り、インフラストラクチャーやオペレーションへの攻撃から組織を守るために、制限される必要があります。

ゼロトラストの戦略は、入出庫トラフィックを精査することに集約されます。しかし、これが他のセキュリティモデルとの違いは、内部トラフィック、つまり組織の境界線を越えていないトラフィックであっても、潜在的な危険性として扱われなければならないということです。

これは深刻に見えるかもしれませんが、過去10年間の脅威の状況の変化を考えてみましょう。何百件もの公開データの漏洩や漏洩、都市、学校、医療機関の数千ものエンドポイントに対するランサムウェア攻撃による業務停止、ビジネスデータベースから盗まれた何百万ものユーザーの個人情報などがあります。サイバー犯罪者が2020年に向けてビジネスターゲットに焦点を当て続ける中、ゼロトラストは、増加する攻撃を阻止するためのスマートなアプローチのように思われます。

ゼロトラストの導入

組織にゼロトラスト・セキュリティモデルを導入することは、単に考え方を変えるだけではありません。会社の部門内の機能、現在導入されているソフトウェア、アクセスレベル、デバイス、そしてそれらの要件のそれぞれが将来的にどのようになるのかを明確に把握する必要があります。

ゼロトラスト・ネットワークをゼロから構築することは、既存のネットワークをゼロトラストに再編成するよりも、移行期間中も既存のネットワークの機能を維持する必要があるため、容易であることが多い。どちらのシナリオにおいても、IT チームとセキュリティチームは、理想的な最終的なインフラストラクチャと、そこに到達するためのステップバイステップの戦略を含む合意された戦略を策定する必要があります。

例えば、リソースセンターやデータセンターを設置する場合、組織はほぼゼロから始めなければならない場合があります。特にレガシーシステムがゼロトラストのフレームワークと互換性がない場合は特にそうです。しかし、企業がゼロから始める必要がない場合でも、ソフトウェアの導入方法や従業員の登用方法、使用するストレージの方法など、セキュリティポリシー内の特定の機能を再編成する必要があるかもしれません。

ゼロトラストの強み

ゼロトラストを組織のインフラストラクチャの基盤に組み込むことで、ITとセキュリティの基盤となる多くの柱を強化することができます。身分証明書やアクセスポリシーの強化やデータのセグメント化など、簡単な侵入障壁を追加し、必要に応じてアクセスを許可することで、ゼロトラストは組織のセキュリティ態勢を強化し、攻撃対象を限定するのに役立ちます。

ここでは、組織が取り入れるべきだと考える「ゼロトラスト」の4つの柱を紹介します。

  • 強力なユーザー識別とアクセスポリシー
  • データと資源のセグメンテーション
  • ストレージと転送における強力なデータセキュリティ
  • セキュリティオーケストレーション

ユーザーの識別とアクセス

多要素認証(MFA)で安全な要素の組み合わせを使用することで、チームは誰がリクエストを行っているのかを十分に把握することができ、よく考え抜かれたポリシー構造は、その識別に基づいてどのリソースにアクセスできるかを確認する必要があります。

多くの組織では、シングル・サインオン・サービスを使用した IDaaS(Identity-as-a-Service)クラウド・プラットフォームを選択することで、データやアプリケーションへのアクセスをゲートしています。ゼロトラスト・モデルでは、アクセスを許可する前に、アクセスを要求している人、要求の文脈、およびアクセス環境のリスクを検証することで、アクセスをさらに保護します。場合によっては、これはリソースの機能を制限することを意味します。他のケースでは、認証やセッションのタイムアウトを追加することになるかもしれません。

セグメンテーション

しかし、堅牢なアクセスポリシーは、データとリソースを適切にセグメント化しなければ意味をなさない。入口テストに合格した人なら誰でも好きなものに飛び込んでアクセスできるようなデータの大きなプールを作っても、機密データが共有されるのを防ぐことはできませんし、内部の人間がセキュリティツールやその他のリソースを悪用するのを防ぐこともできません。

組織のネットワークをセグメントに分割することで、ゼロトラストは不正なユーザーから重要な知的財産を保護し、脆弱なシステムを十分にガードすることで攻撃の対象を減らし、ネットワークを介した脅威の横移動を防ぎます。また、セグメント化は、従業員に物理的な危険をもたらす可能性のあるインサイダーの脅威を含む、インサイダーの脅威の影響を制限するのに役立ちます。

データセキュリティ

データへのアクセスを制限し、セグメンテーションによって攻撃の対象を減らしても、組織は保管中および輸送中のデータを安全に保護しなければ、データの侵害、データ漏洩、およびデータの傍受の危険にさらされることになります。エンドツーエンドの暗号化、ハッシュ化されたデータ、自動化されたバックアップ、および漏洩したバケットの安全性を確保することは、組織がゼロトラストをデータセキュリティ計画に導入できる方法です。

セキュリティ・オーケストレーション

最後に、これらの柱のすべてに通じるものとして、セキュリティオーケストレーションの重要性があります。セキュリティ管理システムがなくても、ゼロトラストを利用する組織は、セキュリティソリューションがうまく連携して、可能性のあるすべての攻撃ベクトルをカバーできるようにする必要があります。重複はそれ自体は問題ではありませんが、効率を最大化し、競合を最小化するための適切な設定を見つけるのは厄介なことです。

ゼロトラストの課題

ゼロトラストは、ユーザー、エンドユーザーデバイス、API、IoT、マイクロサービス、コンテナなどからのネットワーク、アプリケーション、環境全体のアクセスを確保するための包括的なアプローチとされています。ワークフォース、ワークロード、職場を保護することを目的としていますが、ゼロトラストにはいくつかの課題があります。それには以下のようなものがあります。

  • 利用者の種類が増えてきている(オフィスでもテレワークでも)
  • より多くの異なる種類のデバイス(モバイル、IoT、バイオテック)
  • より多くの異なる種類のアプリケーション(CMS、イントラネット、デザインプラットフォーム)
  • データ(ドライブ、クラウド、エッジ)にアクセスして保存する方法を増やしました

そう遠くない過去には、労働者の大多数が労働時間の大半を勤務地で過ごすことが当たり前のように行われていました。しかし、フォーブスによると、米国の人口の少なくとも50%が何らかの形でリモートワークに従事していると言われている現在はそうではありません。つまり、VPNサービスを利用しない限り、自宅のIPやルーター、公衆Wi-Fiからデータにアクセスすることになります。

しかし、ユーザーは必ずしも労働力に限定されているわけではありません。顧客は、業界によっては組織のリソースにアクセスする必要があることもあります。例えば、次の配送先の注文を選択したり、在庫を確認したり、デモやトライアルに参加したり、もちろん企業のウェブサイトにアクセスしたりする顧客の場合を考えてみましょう。サプライヤーやサードパーティのサービス会社は、オペレーション、安全性、進捗状況を確認するために、組織のインフラストラクチャの他の部分にアクセスする必要があるかもしれません。

これらの例はいずれも、ユーザー層のばらつきが大きく、カバーすべきアクセスポイントの数が多いことを示しています。これらのグループや個人ごとに具体的なポリシーを策定するのは時間のかかる作業であり、新しい従業員や顧客の流入を継続的に維持することは、今後この作業を管理する者にとって大きな負担となります。

デバイス

BYODポリシーとIoT機器、さらにはリモート従業員のための「常時接続」というメンタリティの時代にあって、組織は仕事で使用されるデバイスとそれに付属するオペレーティング・システムの多様性を許容しなければなりません。これらのデバイスにはそれぞれ独自の特性、要件、通信プロトコルがあり、ゼロトラスト・モデルの下で追跡し、保護する必要があります。繰り返しになりますが、これにはもう少し前もっての作業が必要ですが、プラスの結果が得られる可能性が高いです。

アプリケーション

ゼロトラスト戦略を採用する際に考慮しなければならないもう一つの困難な要因は、組織全体で人々やチームが共同作業やコミュニケーションを行うために使用されているアプリケーションの数です。これらのアプリケーションの中で最も汎用性の高いものは、クラウドベースのもので、複数のプラットフォームで使用することができます。しかし、この汎用性は、何を許可して何を許可しないかを決定する際に、複雑な要因となることがあります。

アプリはサードパーティのサービス、代理店、またはベンダーと共有されているか?コミュニケーションプラットフォームは外向きで、従業員だけのものではありませんか?このアプリケーションは、財務、デザイン、プログラミングなどの特定の部門にのみ必要なものなのか?やみくもに全従業員のために60のアプリケーションのスタックを採用する前に、これらの質問のすべてに答えなければなりません。

データ

旧来のセキュリティポリシーが支持されなくなってきている理由の1つは、もはや保護すべき場所が1つではなく、固定された場所になってしまったことです。組織はエンドポイントや企業ネットワークだけを保護することはできません。リソース、データ、さらにはアプリケーションまでもがクラウドベースの環境に保存されるケースが増えています。

これは、エッジ・コンピューティングへの移行の可能性があるため、IT チームは中央集権型のトップダウン・インフラストラクチャから分散型の信頼モデルへの切り替えが必要になることで、さらに複雑化しています。漏洩したクラウドリソース(AWSバケットやエラスティックサーバー)についてのシリーズで見てきたように、企業がゼロトラスト戦略の最弱のリンクとして終わることを望まないのであれば、クラウドサービスやそれ以降のデータインフラストラクチャの構成は完璧である必要があります。

信用するかしないか

ゼロトラスト・セキュリティフレームワークへのオーバーホールは簡単にはできませんが、組織全体のセキュリティ姿勢と意識を強化することができると私たちは考えています。古参の経営者を説得しようとしているITチームは、自分たちの主張をするために、絶好の機会を探しているかもしれません。例えば、すでにクラウドベースのリソースへの移行が計画されている場合は、ゼロトラストの採用を提案するのに適したタイミングです。

VPNやCitrixの最近の脆弱性や、リモート・デスクトップ・プロトコル(RDP)を介して配信されるランサムウェアなど、脅威の状況が変化しているため、アイデンティティとアクセス管理のためだけにゼロトラスト・ソリューションを調査する組織が増えているかもしれません。これらの組織は、移行期間を設け、大きな変化に備える必要があります。

境界線内のトラフィックを自動的に許可しない適切なゼロトラストのフレームワークは、ハッカーが侵害されたネットワークを掌握するために使用する横方向の脅威の動きを確実に妨げることになります。EmotetやTrickBotのようなビジネスに焦点を当てたトップレベルの脅威は、セグメント化されたネットワークの中でサーバからサーバへと移動することができないため、拡散の妨げになります。侵入ポイントは通常、攻撃者のターゲットとなる場所ではないため、内部境界線を設定することで、攻撃が成功した場合の深刻度を制限することもできます。

これらの層に、強力なデータセキュリティの衛生管理と、脅威の種類、オペレーティングシステム、およびプラットフォームを幅広くカバーするインテリジェントなオーケストレーションを加えれば、企業は、今日のセキュリティフレームワークを打ち破るのはかなり困難になるでしょう。私たちの目には、これがゼロトラストをヒーローにしていると映っています。

ゼロトラストでリモートアクセスを安全に実現する

リモートアクセスの世界が変わった

クラウドコンピューティングが成長しているというのはほぼ決まり文句になっていますが、クラウドへの移行が急速に進んでいることを裏付ける数多くの統計データが出回っています。筆者はそれらの統計情報からいくつかの重要な事実を得る事が出来ました。1つ目はオンプレミス、オンプレミス・プライベート・クラウド、ホスト型プライベート・クラウド、SaaS、パブリッククラウド(AWSやAzure、GCPなどのIaaS/PaaS)など、ワークロードを置く場所の多様性です。

そして様々な統計情報の中で最も興味深いのは、来年までに、そして初めてワークロードを展開する方法の第一位はSaaSアプリケーションになるということです。逆に、従来のオンプレミス型のワークロードは基本的に半分に削減され、アプリケーションを展開するための主要な方法ではなくなり、わずか半分程度に減少するでしょう。

それと同時に、労働者はテレワークで仕事をしたり、複数のデバイスを使用したりするケースも増えています。その他のデータによると、従業員の4分の1強が、時間のすべてまたは大部分を自宅または別の「オフィス以外の」固定された場所(スターバックスなど)で仕事をしていることがわかります。また、3分の2近くの従業員が、週のうち少なくとも一部の時間帯にリモートワークを行っています。残念ながら、これらの傾向はCOVID-19への対応により加速する可能性が高く、VPNVDIのようなものの使用が大幅に増加すると思われますが、SaaSアプリの使用がより一層促進され、やがてAWSやMicrosoft Azure、Google Cloud Platform (GCP)のようなパブリッククラウドに移行するアプリも増えると思います。さらに、このテレワークへのシフトは、少なくともオフィスに戻ることのない一部の社員にとっては、ある程度までは恒久的なものになるのではないかという憶測が広がっています。

VPNは現代のエンタープライズ向けに設計されたものではない

しかし、既存の VPN インフラストラクチャは、この新しい世界に最適化されていません。VPN は、内部リソースへのリモート接続を提供するという点では優れていますが、UXやパフォーマンスの面では多くの欠点があります。また、VPN は、ユーザーが仕事をするために必要なアプリケーションだけではなく、フラットネットワーク全体への広範なアクセスを提供するという意味で、セキュリティ上の課題も抱えています(後述する最小特権の原則)。

ゼロトラストは新しいセキュリティの考え方

また、VPNのハードウェアとクライアント・ソフトウェアを合わせたコストは、すぐに高額になる可能性があります。また、VPNは一般的に導入が困難です。新しいハードウェアをインストールしてVPNクライアントソフトウェアを展開することも、特に請負業者やパートナー、コンサルタントが使用している非管理型のデバイスの場合には課題となります。これは、従業員の20%の従業員がリモートで仕事をしていたのが、80%以上、場合によっては98%になったと最近耳にしたことがあるような企業ではなおさらのことです。

現在、私たちが生きているこの新しい世界では、特にアプリケーションとユーザーの両方が分散化していく中で、境界線ベースのセキュリティモデルはますます重要ではなくなってきています。この1年ほどの間に、ゼロトラストと呼ばれるセキュリティの新しいアプローチが注目を集めています。ゼロ・トラストについては、他のブログ(例えば、「ゼロ・トラストの進化」)で詳しく説明してきましたが、非常に高いレベルでは、ゼロ・トラストのセキュリティは、いくつかのコアコンセプトに基づいています。

  • リソースへのアクセスを「どこにいるか」よりも「誰が」いるかに基づいて、リソースへのアクセスを提供し、継続的に承認します。言い換えれば、アクセスは自分のアイデンティティに基づいて行われるべきであり、これは、自分がどのネットワークサブネットやVLANにいるかだけではなく、MFAやデバイストラストなどの認証技術をより多く使用することを意味します。
  • 最低限の特権の原則を強制する:利用者(またはサービス)が仕事をするために特に必要なものへのアクセスを許可するだけで、それ以上は何もしない。

ゼロトラストを実現するためのNISTガイドライン

Software Defined Perimeter (SDP) は、従来のVPNの代替となり得る、より広範なゼロトラストフレームワークの中に収まる比較的新しい技術である。SDPとゼロトラストベースのアクセスには、多くの異なるアーキテクチャアプローチがあり、NISTは公式の文書で一連の正式な推奨事項を示しています。

正直言って、NISTの論文は濃密な内容で、ほとんどの人は時間がなく、目を通す気にはなれないでしょう。しかし、この記事の残りの部分では、この論文の3つの重要な提言と思われるものに焦点を当て、平均的な企業にとって本当に意味のあることを読み解いていきたいと思います。さらに重要なことは、これら3つのテーマに焦点を当てることで、企業がレガシーなVPN資産を安全なリモートアクセスのためのより近代的なアプローチに置き換えるためのゼロトラストの実装を始める準備をするのに役立つということです。

NISTの提示する要件:画一性を排除する

“企業はリモート環境において、社内ネットワークインフラを最初にトラバースする必要なく、企業リソースにアクセスできるようにしなければなりません。例えば、リモートユーザーは、企業によって利用され、パブリッククラウドプロバイダーによってホストされているサービス(電子メールなど)にアクセスするために、社内ネットワーク(仮想プライベートネットワーク/VPN)へのリンクバックを使用する必要はありません。”

意訳:1 つのサイズにすべてのアプローチを適用しても効果はありません。機密性の高い企業アプリケーションが配備されている場所に基づいて、適切なゼロトラストの実現方法を選択してください。

最新のアプリケーションは、従来のデータセンターのオンプレミス、プライベートクラウド、AWS、Azure、Google Cloud Platform (GCP) などのパブリッククラウド環境、または SaaS アプリケーションとして実行されるなど、どこでも実行することができます。しかし、後者はそれぞれ独自のセキュリティ要件を持っているため、アクセス戦略とポリシーは、各アプリケーションのシナリオに合わせて調整する必要があります。簡単に言えば、アプリケーションが実行されている場所に基づいて、適切なゼロトラストの実現方法を適用することです。そして、それがSaaSアプリケーションを意味するのであれば、アプリケーションにアクセスしてセキュリティポリシーを適用するためだけに、ユーザー・トラフィックのすべてを企業のマザーシップに持ち帰る必要はありません。

NISTの提示する要件:クラウドベース

“ゼロトラスト・アクセス決定プロセスをサポートするために使用されるインフラストラクチャは、プロセス負荷の変化を考慮して拡張可能なものにすべきである。ZTAで使用される PE、PA、および PEP は、あらゆるビジネスプロセスの重要な構成要素となる。PEP に到達するまでの遅延や不能(または PEP が PA/PE に到達できない)は、ワークフローの実行能力にマイナスの影響を与えます。ZTAを実装する企業は、予想されるワークロードに合わせてコンポーネントをプロビジョニングするか、必要に応じて使用量の増加に対応するためにインフラストラクチャを迅速にスケーリングする必要があります。”

意訳:スケーラビリティとパフォーマンスが鍵を握る。将来性のあるクラウドベースのアーキテクチャを使用しましょう。

先に述べたように、従来のVPNの欠点の 1 つはスケーラビリティです。さらに、スケーラビリティと俊敏性は、特にKubernetes、マイクロサービス、サーバーレス・コンピューティングなどの新しい開発が普及する中で、よりクラウドベースのアーキテクチャに移行することの主な利点の2つです。しかし、後者のメリットは、ゼロトラストの原則を展開するための拡張性の高いクラウドベースのアーキテクチャを構築しなければ、ほとんど意味がありません。

NISTの提示する要件:柔軟なポリシー

“企業の資産は、観察可能な要因により、特定の PEPsに到達できない場合がある。例えば、要求するアセットが企業の本国以外に位置している場合、モバイルアセットが特定のリソースに到達できない可能性があるというポリシーがあるかもしれません。これらの要因は、場所(地理的位置またはネットワーク上の位置)、デバイスの種類、またはその他の基準に基づ いている可能性がある。”

意訳:既存のエンタープライズと統合されたコンテキストベースなアクセスのための、粒度が細かく柔軟なポリシーを実装する必要があります。

先に述べたように、ゼロトラストフレームワークのセキュリティポリシーは、ネットワークの場所よりも、ユーザのコンテキストと属性に基づいているべきです。どのリソースにアクセスできるかを決定する主要な入力ではなく、ロケーション、多くの異なる文脈(時間帯、曜日、ユーザの役割、地理的速度など)と行動指標(ジョーは通常そのアプリケーションにアクセスしているか?ゼロトラストのソリューションが、ポリシーの決定に必要なすべてのシグナルをネイティブに提供できる可能性は低いでしょう。

ゼロトラストのための厳守事項

ゼロトラストへの道のりには多くの考慮事項が含まれますが、これらの3つの重要な項目を順守することは、強固なゼロトラストの基盤を確立するための長い道のりとなります。

  1. 1 つのサイズですべてのアプローチを行うことはできません。機密性の高い企業アプリケーションが配備されている場所に基づいて、適切なゼロトラストの実現方法を選択してください。
  2. スケーラビリティとパフォーマンスが鍵を握る 将来性のあるクラウドベースのアーキテクチャを使用します。
  3. 既存のエンタープライズツールと統合された、きめ細かく柔軟性のあるポリシーフレームワークを実装して、コンテキストアクセスを実現します。

【解説】仮想デスクトップ(VDI)が企業にもたらす5つのメリット

VDIの導入は生産性に直結

成功を収めるために、企業はITサービスの重要性を益々認識しています。テクノロジーは、事実上あらゆるビジネスの多くの機能において圧倒的な役割を果たしており、最高品質のITサービスを導入しなければ、その企業が成功することはほぼ不可能となりました。ITサービスの利活用で競合他社に遅れをとっている企業は、ほぼ確実にライバルへ遅れをとることになります。

おそらく、近年のIT業界で最も注目すべき重要な変化は、孤立したIT部門から、重要かつ包括的な組織全体のITプレゼンスへの移行、つまりデジタルトランスフォーメーションです。IT部門は地下室から社長室まで、そして社外のあらゆる場所へと対象領域が広まっています。現在ではあらゆる業界の組織レベルで、従業員が日常的にテクノロジーに依存している業務が増え続けています。ITはもはや、基本的なインフラとしての立ち位置を維持しながらも、業界のライバルに対して決定的な競争上の優位性を企業に提供できる戦略的イニシアチブとしての地位を確立しました。

この傾向は、あらゆる種類のビジネスに多大な影響を与えています。その中でも特に重要なのは、組織全体の一貫性を確保するという課題です。おそらく最も重要なことは、企業はデスクトップ・エクスペリエンスを標準化し、これらのリソースを管理する方法を見つけなければならないということです。これが達成できなければ、企業はさまざまな面で苦境に立たされることになります。 この標準化を実現できなければ、互換性の観点から問題が発生する可能性が高く、社内ネットワークに接続されているすべてのコンピューティング機器の整合性を確保することがはるかに困難になります。一貫性のないデスクトップの導入は、企業の全体的な生産性、効率性、セキュリティを低下させる事に直結します。

多くの企業が気づきつつあるように、仮想デスクトップ・インフラストラクチャ(VDI)は、この障害を克服するための理想的なソリューションです。企業はVDIを使用することで、ヘルスケア、金融、および製造業等様々な業種において全ての従業員に一貫したデスクトップ体験を提供すると同時に、高レベルのセキュリティを実現する事でテレワーク環境を実現しつつも、法規制に関連するコンプライアンス基準を維持することができます。VDIを採用することで、コストを削減し、従業員の労働生産性を改善しながら、企業は組織全体の生産性も大幅に向上させることができます。

VDIの定義

VDIは基本的に、デスクトップ環境と関連プログラムが、もはや従業員のパーソナルコンピュータに収容されるのではなく、むしろ組織のデータセンターに保管されるような展開をします。その結果、VDI環境ではユーザーは自分の身元を確認した後、利用可能なコンピュータを介して様々な環境から様々なシステムに対してサインオンすることができ、すぐにパーソナライズされたデスクトップにアクセスすることができるようになります。使用するコンピュータが物理的に社内にあるか、他の場所にあるかは関係ありません。

これは会社にとって様々なメリットをもたらします。その中でも特に注目すべきは、企業のデスクトップ管理が飛躍的に容易になり、効率的になること、デスクトップエクスペリエンスが統一されること、テレワーク環境での柔軟性が高まること、BYOD(Bring your own device)ポリシーがより効果的に実施できること、セキュリティが改善されることです。

管理の簡素化

簡素化された管理を実現するという目標は、紛れもなくあらゆる業界においてVDIを採用する最大の要因です。VDIが導入されると、従業員はデスクトップ環境を一元化されたデータセンターを介してアクセスできるようになるため、デスクトップ環境を監視することがはるかに容易になります。これにより、企業はデスクトップへの投資から大きな価値を得ることができます。

バージョンアップの互換性に関する問題

恐らくこのメリットは、会社全体のシステムアップグレード時に最も強力なものとなるでしょう。例えばMicrosoftが最新のオペレーティング・システムを発表すると、レガシーなデスクトップ環境を使用している企業は困難な状況に陥ります。バージョン毎の互換性が保てず、利用に苦心してしまう可能性があるのです。企業の特定部署では、最新の最先端の Microsoft OS を利用したいと考えている。しかし、このOSを従来のデプロイに頼っている場合、組織内のユーザーが利用できるようにするには、非常にコストがかかります。そのためには、すべてのデスクトップを新しいモデルに置き換えるか、組織全体のアップグレードを行わなければなりません。また、これには時間・労力・資金の大規模な投資が必要となります。本質的に情報システムの担当者は、デスクトップ環境の移行を1台ずつ行い、すべてのデバイスを個別にアップグレードしなければならないという難しい見通しに直面しています。このような状況は、何もマイクロソフト製品だけに当てはまるものではありません。新しい重要なアプリケーションが利用可能になると、それが広く利用可能なものであれ、業界特有のものであれ、往々にして発生します。

この問題を強調しているのは、最近のSpiceworksとVMwareの調査で、中小企業の情報システム担当者250人にアンケートをとって発見されたものです。その調査によるとこれらの専門家の37%が「ハードウェアとエンドポイントデバイスを更新するのに十分な予算と時間を確保する事」を組織が直面している主要な課題と考えているということです。

バージョンの互換性に対する解決策

他の唯一の選択肢は、単にアップグレードを待つことであり、これは、組織の従業員が一定期間、利用可能な最新のコンピューティングソフトウェアにアクセスできなくなることを意味します。「じっとして待つ」という方法は、その場しのぎとして短期的には有効な選択肢ですが、長期的には良い戦略とは言えません。しかし、企業がVDIを採用するとこの課題は消えてしまいます。
物理的な機器を交換したり、高価で断片的なものを追求したりせずに アップグレードを行うことができます。そのため、アップグレードのメリットとして従業員は遥かに迅速に、そして企業にとってはるかに低いコストで業務を再開することができます。

VDI は小規模なアップグレードにも強力なメリットをもたらします。VDIソリューションを導入することで、管理者はユーザのデスクトップに個別に更新プログラムをインストールするのではなく、一度の作業でアプリケーションやプログラムの更新を簡単に実装することができます。

VDIの生産性自体が競争力に

あらゆる規模の企業が、これらの利点をいち早く認識し、競争上の優位性を得るための手段の一つとしてVDIを採用しています。IT Business EdgeとPalmer Researchが2011年3月に実施した575人のIT専門家を対象とした調査によると、デスクトップ仮想化を導入する上で最も重要な要因の1つは、導入の容易さとアプリケーションのメンテナンス性の向上であることがわかりました。また、デスクトップ管理の複雑さとコストを最小限に抑え、Windows 7のアップグレードの導入プロセスを簡素化することが、回答者の企業におけるVDIの最大のメリットの1つであると考えられています。

より具体的な事例として、トレンドマイクロの事例を紹介していきます。トレンドマイクロではOS、セキュリティ、その他のアップグレードにかかるコストを最小限に抑えつつ、すべてのユーザーのために、デスクトップのプロビジョニングを簡素化するという課題に直面していました。そして、同社はVDIを導入することでデスクトップのプロビジョニング時間を平均8時間から30分に短縮すると同時に、セキュリテの改善とコスト削減にも成功したと言われています。これにより、従業員はデスクトップ周りの設定に悩まされる事なく、より早く仕事に復帰できるようになりました。その他にも、VDIを導入した結果ダウンタイムを最小限に抑えることにも成功し、全体的な生産性と効率性を大幅に向上させることができたと言います。

通常のOSアップデートではなくより複雑なアップグレードの場合、従来の導入では達成までに最大1年かかる場合があります。しかし、VDIソリューションを導入することで、同じアップデートでも最短1日で達成することができます。

統一された体験

組織全体で統一されたデスクトップ・エクスペリエンスを実現することは、VDIソリューションの最も重要な利点の1つです。多くの企業にとって、一貫性は非常に重要です。従業員は、標準的なPC機器を使用していない場合でも、いつでも必要なデスクトップ・プログラムやアプリケーションにアクセスできる必要があります。

レガシーなデスクトップ環境では、この目標を達成することは不可能ではないにしても、非常に困難です。事実上、すべての組織は多くの異なる部門で構成されており、それぞれの部門には非常に異なる仕事の機能と責任を持つワーカーがいます。これらのタスクを実行するためには、ワーカーは特定のソフトウェアプログラムを入手する必要があります。 組織内の各デスクトップにこれらのアプリケーションをインストールするのに十分なライセンスを取得するのは経済的に無理があります。しかし、特定のプログラムを利用できるデスクトップステーションが限られている場合、各従業員の働く場所の選択肢が大幅に制限されてしまいます。

特定のデスクトップの修理やアップグレードが必要なために業務ができない状況が発生している場合、会社の生産性に支障をきたす可能性があります。

VDIはこの問題を解決します。その性質上、VDIはレガシーなデスクトップ・デプロイメントでは、データとアプリケーションはすべて事実上データセンターではなく、個々のコンピューティング・ステーションを利用しています。したがって、企業は権限のある担当者が、一貫したアクセスが可能であることを確認することができます。成功するために必要なプログラムと情報は、関係なくユーザーが使用している特定のマシンのデスクトップの一貫性は、組織全体、そしてすべてのユーザーに対して達成されています。

テレワーク対応のメリット

テレワークは、あらゆる産業において、企業にとっての基本的なニーズとして急速に定着しつつあります。企業は競争の激しい市場でリーダーであり続けるために、より俊敏で適応力のある企業になる必要があり、テレワーク環境はこの目標を達成するための重要な要素となっています。従業員がオフィスの外でいつでも仕事ができるようになると、生産性が向上します。さらに、従業員がこのレベルの柔軟性を評価することで、仕事への満足度は一般的に上昇します。

しかし、テレワーカーが必要なツールを確実に利用できるようにするには、根強い問題があります。テレワーカーが彼らの仕事を行うために必要なアプリケーションや他のプログラムを利用することができない場合は、その生産に最適ではないだけでなく、実際に有効性の企業の全体的なレベルを傷つけることになります。

これは重要性が高まっている問題です。先に引用したSpiceworksとVMwareの調査によると、参加した中小企業の情報システム担当者の20%が、企業の最大のIT課題の1つとして「テレワーク環境でのユーザー管理」を挙げています。

VDIは、テレワーカーのデスクトップニーズに対応するための理想的な環境を提供します。VDIを使用することで、企業は他のどのソリューションよりも多くのアプリケーション、エンドユーザー、データセンターのトラフィックを管理することができます。VDIは設定や環境が集中化されているため、企業のリソースにアクセスするために使用するデスクトップに対して柔軟性をもたらします。更に企業のオフィス内にVDIを導入した場合に得られるメリットはすべて、従業員の自宅やサテライトオフィスにも拡大することができます。企業はテレワーカーの私物であるデスクトップにソフトウェアを購入してインストールさせる事なしに、各ワーカーが必要なアプリケーションやプログラムにアクセスできるようにすることができます。

BYODの推進役

テレワーク環境に加えて、BYOD の台頭は、現在あらゆる業界で進行中の最も重要なトレンドの 1 つです。BYOD はますます標準化されつつあります。ガートナーによると2017 年までに、全雇用者の約半数が組織内で BYODポリシーを強制的に導入し、残りの多くはオプションとして BYOD を提供しています。

BYODの導入環境では、従業員が個人のスマートフォンやタブレットを利用して業務に関連する作業を行うことが認められています。これはさまざまな面でビジネスを改善する可能性を秘めています。最も明らかなことは、移動中や自宅など、オフィスの外でも生産性を高めることができるということです。この柔軟性により、ワーカーは机に縛られることなく、より多くの総作業を行うことができます。BYODは従業員にとっても魅力的なので、その満足度は最終的に企業にとっても非常に有益です。

BYOD実現のための課題

しかし、これはテレワーク環境と同様に、企業は従業員が必要なリソースを活用することができるという大きな課題に直面しています。BYOD環境では、従業員が使用するデバイスが標準的なデスクトップを超えることになりますが、必要なツールは変わらないため、多くの点で難易度はさらに高くなります。そのため、企業はモバイル上でデスクトップレベルのユーザビリティを提供するソリューションへと投資をしなければなりません。

VDIは、企業が正確にこの目的を達成することを可能にします。ユーザーは、承認されたモバイルデバイスを介してログインし、デスクトップ上で通常利用可能なすべてのアプリケーションにすぐにアクセスすることができます。これは、リソースが一元化されているため、様々な担当者に個別にこれらのツールを提供するよりもはるかに実用的なソリューションです。

例えば、BizTech Magazineの最近の記事では、法律事務所Foley & Lardner内でのVDIとBYODの使用が取り上げられています。この組織は 4 カ国にオフィスを構え、900人の弁護士と数百人の従業員を雇用していました。このような多様な人材に BYOD の利点を見出すために、法律事務所では、弁護士が独自のニーズに最も適した特定のモバイル・デバイスを自由に利用できるようにすると同時に、関連するすべてのアプリケーションにアクセスできるようにする必要がありました。記事によると、VDI を追求することで、企業はVDI 環境の集中管理の性質のおかげでデスクトップをサービスとして提供することができました。

このような戦略は、事実上あらゆる規模の企業で活用できるため、ますます一般的になってきています。1,000 人以上のビジネス・ユーザーを対象とした最近の Cisco IBSG の調査では、モバイル・デバイス上でデスクトップ・エクスペリエンスを提供するためにVDI を活用することが、BYOD 導入による柔軟性と生産性の向上を実現するために企業が利用している最も一般的な戦略の1 つであることが明らかになりました。

セキュリティとコンプライアンスの改善

企業のデータとリソースのセキュリティを確保し、特定の業界のコンプライアンス基準を満たすことは、テレワーク環境または BYODの導入の最も困難な側面の 1 つです。従業員が使用するデバイスがオフィスの外にある場合、企業の情報システム部門がセキュリティ・ポリシーとコンプライアンス基準を実施することは非常に困難になります。これは、従来の配置では、各デバイスは独自のインストールされたプログラムを持っているという事実に起因しています。権限のないアプリケーションを使用しているにもかかわらず、義務化されたセキュリティ対策が含まれていません。

VDIで一気にコンプライアンス順守を実現

VDIはこれらの障害を排除します。VDIの導入では、すべてのデバイスがデータセンター内で動作するため、従業員が利用するデータが組織から離れることはありません。これにより、企業は各従業員の個人的なデバイスを保護しようとするのではなく、一元化された一貫したリソースにセキュリティ対策を集中させることができます。

さらに、VDIには暗号化手段が組み込まれているため、安全性が確保されています。これにより、企業データを保護するための企業のファイアウォールやその他の戦略を補完し、新たな防御力を追加します。実際これによりある企業の意思決定者は、セキュリティの向上が VDI導入の最も重要な利点の 1 つであったと述べています。また彼曰く、VDIのおかげで深刻度の高いセキュリティリスクを防ぐことに集中することができるようになったとも述べています。小規模なセキュリティイベントはVDIに任せる事で、組織全体のセキュリティだけでなく、セキュリティ担当部署の効率性も向上したという事です。

不可逆な流れにVDIで対応する

上記のようなメリットを考えると、VDIがあらゆる業界で急速に支持者を増やしているのは当然のことです。BYODテレワーク環境サイバーセキュリティなど、テクノロジーの進化と拡大が続く中、企業は効率性の最適化、柔軟性の向上、コストの削減、アップグレードの迅速な実装、従業員の要求を満たすための迅速なソリューションを必要としています。

VDIは、これらすべての目標を達成するための重要なリソースです。企業は、すべてのデスクトップリソースの管理と監督を簡素化しながら、IT投資を最大限に活用することができます。あらゆる規模やセクターの組織がVDI戦略を追求することで、すぐに利益を得ることができます。そして、先に引用した研究で明らかになったように、この傾向はますます強まっています。近い将来、VDIは企業にとって事実上の標準的なデスクトップソリューションになる可能性が高いです。

Desktop as a Service(DaaS)のコスト削減

DaaS(Desktop as a Service)とは、VDI(デスクトップ仮想化)の一種である仮想デスクトップ基盤を第三者が扱うサービスです。DaaSプロバイダは、インフラの設定、クラウドサービスとしてのデータの保存・バックアップ、セキュリティ対応、アプリケーションのインストール、アップグレードなどのサービスを提供します。このようなDaaSソリューションの利便性は明らかですが、DaaSの提供する隠れたメリットとして存在するのが、ビジネス上のコスト削減の効能です。適切な洞察と計画があれば、DaaSを導入する事によってコスト削減に伴うROIを迅速に得ることができます。本記事では、優れたDaaSソリューションが企業の収益に貢献する方法をいくつか紹介します。

DaaSのメリット:オフィス機器のメンテナンスが楽に

アップデート

DaaSソリューションを利用する上で最大の魅力の一つは、導入企業の情報システム担当者の負担を軽減することです。従来の機器のセットアップでは、情報システム担当者は特定の修正やアップデートを個別に適用するために、各支店や支社を訪問する必要があるかもしれません。対してDaaSソリューションでは、クラウド型のDaaSサービスで保持するイメージにアップデートを適用し、その変更をすべての仮想デスクトップへと反映させることで大幅な時間を節約することができます。

例えば情報システム部の担当者の時給が2000円とします。そのような状況下で、情報システム部の従業員が月に30分ほどかけて各マシンのアップデートを行うとすると、各支社の合計で年間合計20万円近くになります(機器は多数存在するため)。またアップデートに30分以上かかる場合や、より経験の無いスタッフがこのタスクを処理する場合は、それ以上の隠れたコストが発生しています。DaaSでは、すべての支社にある全ての端末の更新を、1台数分程度の時間で行うことができます。

セキュリティ

多くのクラウド型ソリューションと同様に、DaaSベンダーはソリューションがクラウドサーバ上にあるので、エンドポイントのセキュリティも担保します。このセキュリティ対策には、セキュリティソフトウェアや、サイバー攻撃の可能性を回避するためのさまざまなベストプラクティスが含まれています。またセキュリティ対策自体はパッケージの一部であるため、クライアントのセキュリティを最新の状態に保つための追加コストは不要です。

昨今の現代社会においては、データを保護することが最も重要になっています。テクノロジーを利用した企業はサイバー犯罪に対してどうしても脆弱です。実際、米国の「平均的な」企業は、そのせいで年間1540万ドルの損失を出していると報告されています。DaaSを導入していれば、すべての金銭的損失は避けられたかもしれません。DaaSの導入により、良いデータ保護を事前に設定することで、より安全な労務環境を実現します。

DaaSのメリット:新しい端末の導入時間を削減

新しい仮想デスクトップやワークステーションの導入は、一般的に非常に簡単です。従来のセットアップでは、新しい従業員のために新しい従来の業務端末を準備するために、ITスタッフが30分から1日以上の作業時間を費やす必要があるケースもあります。

なぜなら、DaaSを利用することで、情報システム担当者はクラウドサーバー上のイメージから、新しい環境のセットアップができるからです。このようなDaaSの利用はわずか数分で完了し、従来のデスクトップ へのセットアップでで数時間かかっていたのに比べれば、大幅に改善されています。

永続性と非永続性

ほとんどの DaaS ソリューションはデフォルトで永続化されており、各ユーザのデータやインストールしたアプリケーションを含む個々の仮想マシンは、ユーザがログオフしたときにプロバイダのサーバに保存されるようになっています。しかし非永続的なDaaSソリューションを持つことも可能だ。

逆に非永続的なDaaSソリューションでは、サーバ側には個別の設定やデータが保持されません。その代わり、クラウドのイメージはユーザーがログオンするたびに新しいデスクトップイメージとして適応されます。このようなソリューションが存在することは、すべての企業のニーズに対応できない場合でも、DaaS を利用して新たなデスクトップ・インスタンスを簡単に作成できることを物語っているといえます。

ソフトウェアライセンス

デスクトップのデプロイは簡単ですが、ソフトウェアやOSのライセンスは通常それぞれの会社に任されています。つまり各仮想マシンには、WindowsやMicrosoft Offi ceなどのプログラムのライセンスが必要になるということです。DaaSプロバイダーの中にはこのライセンスをパッケージの一部として提供しているところもありますが、パッケージに含まれていないプロバイダーの場合は、競合他社に比べてコストが低く見えます。しかし実態としては各種ソフトウェア・ライセンスが加算され、見かけ上の割引を相殺してしまう可能性もあります。

DaaSのメリット:コンプライアンス遵守が容易に

機密性の高い顧客を扱う組織は、データの取り扱いに関する政府の規制に準拠するために必要な情報を保存し、処理しています。例えば、医療機関はHIPAAガイドラインを遵守する必要があり、クレジットカードデータを保存する企業はPCI-DSSを遵守しなければなりません。これらの基準に違反した場合高額な罰金が科せられる可能性があります。単一の HIPAA 違反に対する罰金は、100 ドルから 50,000 ドルに及ぶことがあります。

企業の情報システム部門がこれらの標準に準拠するために必要な時間は、どの標準に準拠しなければならないか、また組織の規模によっても異なります。DaaS プロバイダは、これらの標準の多くを熟知しており、それぞれの標準をどのように遵守するかを熟知している傾向があります。優れたDaaSソリューションであれば、すでに業界標準に準拠した環境を即座にクライアントへ反映させることができ、時間と労力を節約できるだけでなく、コストのかかる違反料金を回避することもできます。

DaaSのメリット:サーバー容量の削減が可能

サーバー容量は、特に組織が成長するにつれて、大きなコストになることがあります。ご存知のように、サーバー1台に3000ドル以上の費用がかかることもあります。大抵サーバーの寿命は約4~5年で、サーバー1台あたり月50~60ドルの価値があります。

そのようにサーバーを自社運用していく大体手段として、企業はDaaSやVDIプロバイダーを通じてデータをクラウドに持っていくことができます。
このようにDaaSソリューションへサーバー容量をアウトソーシングすることで、サーバーの設置やメンテナンス、交換時期の監視にかかる費用を削減することができます。また、サーバーを保管するために必要な物理的なスペースを節約することができ、レンタルコストを削減できる可能性があります。

DaaSのメリット:従業員の自由と責任を拡大

DaaSを利用することで、ユーザーはモバイルデバイス、ラップトップ、オフィスのデスクトップコンピュータなど、あらゆるデバイスからまったく同じデスクトップ(すべてのデータを含む)にアクセスすることができるというメリットがあります。これは頻繁に出張したりするようなリモートで業務を行えるようになるというテレワーク対応としてもメリットがあり、特に特定の業界や職種では便利です。

従業員が完全にリモートで(テレワーク環境で)仕事をする可能性がある場合、企業は家具に関連するすべてのコストと一緒に、オフィススペースのレンタルコストを節約することができます。また、従業員が自分のデバイスを職場に持ち込むこと(BYODの実施)ができるため、機器の供給コストを削減することができるというメリットもあります。

デバイスの障害

従来のデスクトップ環境では、デバイスの故障は壊滅的な問題になることがあります。デバイスの故障によって重要なデータや進捗状況が失われた場合、失われた作業を復旧させるなどの再構築には多大な時間と労力が必要になります。DaaSの場合、情報はDaaSプロバイダーのクラウドサーバー(外部サーバー)に保存・バックアップされるため、データを失うことはほぼありえません。また一度故障したデバイスが発生しても、端末自体を交換してしまえば、ユーザーはその端末の設定にかかる時間を気にすることなく元の作業を続けることができます。

DaaSのメリット:エンドクライアント機器の管理が容易に

従来のデスクトップ環境では、すべての労務環境に独自のハードドライブと技術的な仕様が必要でした。それに対してDaaSソリューションの特徴は、アプリケーションやOSがすべて仮想化されていることで、クライアントデバイスが特定のハードウェアを持つ必要性を減らすことができる、あるいはなくすことができるというメリットがあります。そのため、DaaSに取り組む企業にとって、シッククライアントはリーズナブルな(しかも非常に安価な)選択肢となりえます。

シッククライアント

この文脈では、従来のデスクトップコンピュータはシッククライアントとして知られています。対照的にシンクライアントは、仮想デスクトップにアクセスするためのソフトウェアを搭載しており、それ以外の機能はほとんどありません。まれにシンクライアントにもメンテナンスが必要なソフトウェアがインストールされている場合もあります。しかし、基本的にはシンクライアントはデバイス自体では処理をしない形になっており、それによる低消費電力が実現し、コストを抑えることもメリットとしては存在します。通常これらのデバイスは300ドル、200ドル程度の価格で提供されています。

シンクライアントは、シッククライアントに比べて作業負荷が軽いため、一般的に長持ちします。メンテナンスが必要な場合もありますが、故障する可能性のある部品が少なく、交換する部品も安価です。比較のために言及すると、ファットクライアントのコストが600ドルで4年持続する、対してシッククライアントは300ドルのコストと6年を持続させる事ができる場合、ファットクライアントは12.50ドル/月の費用がかかりますが、シッククライアントは約4.17ドル/月の費用がかかります。これは確かに魅力的な価格だと言えるでしょう。

ゼロクライアント

シンクライアントに代わるものとして、ゼロクライアントがあります。これらのデバイスは、シンクライアントと同じ方法で仮想デスクトップ空間にアクセスしますが、他のソフトウェアは一切インストールされていません。これらのデバイスの中には、ハードドライブが付いていないものもあります。ゼロクライアントの価格は通常、シンクライアントと比べても対して安くなっている訳ではありません。その代わり、企業はデバイス自体に必要なメンテナンスの量が少なくて済むため、そういった管理コスト削減の効果は期待できます。

シンクライアントとしてのシッククライアント

シッククライアントは、シンクライアントソフトウェアを使用することができます。しかし、このオプションはコスト削減にはならないので、ほとんどの企業にはアピールできません。ただし、現代の標準的なパワーに達していない作業用コンピュータをシンクライアントとして再利用することができることも意味します。その意味ではメリットになりうるでしょう。

新品で軽量機を購入した方が、古いパソコンを安く買うよりも投資になる可能性は高いですが、すでに所有している古い機械は無駄にする必要はありません。また、デバイス(古いPC、新しいPC、Mac、タブレットなど)に関係なく、全従業員が標準的なデスクトップを使用することで、ITサポートの問題やそれに伴うコストを削減できることも注目に値します。

DaaSのメリット:拡張が容易

仮想デスクトップはオンデマンドで簡単に作成・破棄できるため、DaaSプロバイダーは必要に応じてクライアントにスケールアップ・ダウン機能を提供しています。一般的には、システム上で許可されているデスクトップ数やユーザー数に応じて価格を上下させることができるような仕様が多いです。これは、迅速にスタッフを追加雇用したい企業や、人員が多すぎて少人数にスケールバックしたい企業にとっては有用だと言えるでしょう。

また、スケールアップやスケールダウンが可能なため、企業は低コストでセットアップを試すことができます。企業は少数の課金サイクルでマシンの数を増やすことができ、また、既存の仮想マシンに影響を与えることなく、新しいセットアップやプログラムの新しいスイートをテストするために新しい仮想スペースを使用することができます。最適なセットアップが決定されれば、追加の仮想マシンは(変更が標準マシンに適用されているかどうかに関わらず)リリースされ、価格は元のニーズのセットに戻ることができます。

DaaSのメリット:課金形式によるコストメリット

DaaSソリューションは、一般的に月額課金で運営されているサービスが多いです。また、DaaSは他の光熱費と同様に事業費とみなすことができ、サーバ・スペースやセキュリティ・ソフトウェアなどの費用をカバーすることができるため、これらの必要経費の多くを税金控除として計上することができる可能性があります。

また、ほとんどのDaaSソリューションのサブスクリプション課金方式は、企業に予測可能な定期的な費用を提供します。値上がりする場合は、DaaSプロバイダーがサービスレベルを上げる必要があるケースでのみ上昇します。

DaaSのメリット:ダウンタイムに対するリスク低減

DaaSプロバイダーの中には、ダウンタイムゼロのサービスを提供している(SLAなどで保証)ところもあり、通常は、ハードウェア障害が発生した場合に切り替えられるバックアップサーバーのようなコンポーネントの冗長性によって、ダウンタイムをゼロにすることができます。提供する製品やサービスによっては、過剰なダウンタイムは企業にとって致命的な影響を与える可能性があるため、潜在的な中断を回避できることは、リスクを軽減する上で非常に有効な手段であると言えるでしょう。

仮想デスクトップの展開は、すべてのユーザーに対して一貫したものになります。各ユーザーは自分の環境に変更を加えることができますが、すべて同じイメージをベースにしているため、特定のユーザーに固有の問題が発生する可能性は低いと考えられます。逆に万が一大きな問題が発生した場合にはすべてのユーザーに影響を与えうるという懸念もありますが、コアとなるイメージは一つなので、コアイメージさえ修正すれば一斉に修正を反映する事ができるので安心です。このようなDaaSの特徴により、ユーザー間での突然の未知の問題や矛盾のリスクを排除することができます。もう一つの追加で存在するDaaSのメリットは、発生する可能性のある技術的な問題はすべてプロバイダが処理する事になっているため、何かしらのインシデントに対応する必要があったりするケースでも、情報システム部の人間がそれらへの対処に作業時間を必要とするケースはありません。

DaaSのメリットまとめ

DaaSソリューションは、企業の情報システム部門の時間を大幅に削減し、定期的なメンテナンスだけではなく、より意味のあるタスクに集中できるようにします。

企業はDaaSを導入することによって、ユーザー固有の技術的な問題や外部からの攻撃、ハードウェアの障害が従業員の生産性に影響を与えるリスクを減らすことができます。また、ハードウェアと従業員自身をオフサイトに置くことで、クライアントは家賃の支払い(およびその他の間接費)を大幅に削減することができます。さらに、DaaSの導入を最終的に決定する前に、当面のニーズに合わせてスケールアップしたり、実験をしたりすることもできるでしょう。DaaSプロバイダーは、企業の多くの負担を軽減することができ、同時に企業は多くの金銭的負担から身を守ることを助けてくれます。

このようにDaaSソリューションを有効活用できる企業は、企業成功のために大きな時間及び金銭面でメリットを得られるでしょう。