サプライチェーンから従業員の携帯電話に至るまで、実際のセキュリティは、善意のみに基づくのではなく、攻撃者がもたらす可能性がある損害を抑えるように配置および統合され、鋭敏でなければいけません。

業者が中古の住宅を目にして修復するに値するかを判断する際は、「骨組みがしっかりしている」かどうかを必ず確認します。つまり、構造の基盤が安定しているかどうかという点です。自社のエンタープライズインフラストラクチャのセキュリティに目を向けたときに同じ事を言えるでしょうか?

エンタープライズセキュリティを確保できれば、新しい世界が開けます。データセンターの周囲にファイアウォールを配置しさえすれば会社の重要な資産が保護されているという確信が得られていたのは過去の話です。現在の高度に接続されたモバイルの世界では、データセンターから個人のモバイルデバイス、クラウドからエッジのセンサーに至るまで、データはあらゆる場所に存在します。組織を保護するには、より全体的で実用的なアプローチが求められます。これにより、絶えず進化する脅威の全体像という新たなレンズを通して、人員やプロセス、テクノロジーを確認できるようになります。

一言で言えば、セキュリティを後から追加するのではなく、最初から組み込むことが必要です。

私たちはこの主張を長年にわたって耳にしてきましたが、実際にはどのような意味があるのでしょう? エキスパートの意見に耳を傾けてみましょう。

 

問題となる範囲

最初に、問題となる範囲を見てみましょう。「私が20年前にサイバーセキュリティに関わり始めたとき、家にモデムがあった人はほんのわずかで、ノートパソコンはかなりまれな存在でした」とBen Banks氏は言います。彼はハイブリッドITサービスおよびガバナンスのプロバイダーであるEnsono社のヨーロッパ地域におけるセキュリティ責任者です。「今や、ほとんどの人が非常にパワフルなコンピューターをポケットに入れているか、ノートパソコンを持ち歩いており、世界中と簡単に通信できるようになっています。不幸なことに、このような状況にある企業の環境には、外部の脅威エージェントにとっての標的が数多く存在します。

極めて重要なデータやリソースが、企業の周囲だけでなく、クラウド上、モバイルデバイスやIoTデバイスに存在するようになり、セキュリティの弱点が増加しています。ランサムウェア、サプライチェーン攻撃、ソーシャルエンジニアリングの悪用など、新しいタイプの攻撃が次々と生み出されています。脅威は日々発生しており、攻撃を仕掛ける国家やサイバー犯罪者などの洗練された敵は増え続けています。

実際のサイバー犯罪の損害額については意見の相違があるかもしれません。あるレポートでは2017年におよそ6億ドルもの損害があったと評価しており、他のレポートでは、将来に数十億ドルもの損害を被る可能性があると予測しています。しかし、損害が甚大であり、その影響が企業にとって有害であるという主張はわずかです。「財務上のリスクや風評被害と同様に、サイバーセキュリティのリスクは企業の決算に影響します。そのリスクはコストを押し上げ、収益に影響する恐れがあります。さらには、組織のイノベーションを成し遂げる力や顧客を獲得してつなぎ止める能力を損なう可能性があります」と米国の国立標準技術研究所はホワイトペーパー『Framework for Improving Critical Infrastructure Cybersecurity (重要なインフラストラクチャのサイバーセキュリティを高めるフレームワーク)』で警告しています。

 

企業の中核にセキュリティを組み込む

これまでの内容からわかるのは、セキュリティに対して真に効果的なアプローチは、セキュリティが後からの思いつきや付け足しであってはならないということです。セキュリティは企業の中核に直接組み込むべきだとSeth Robinson氏は言います。彼は非営利のテクノロジー同業者団体であるCompTIAのテクノロジー分析の統括部長です。

「今日のセキュリティへのアプローチは、セキュリティを単なるテクノロジーの問題として考えるだけにとどまりません」とRobinson氏は言います。セキュリティをエンタープライズコンピューティングの中核に組み込むには、3方向からのアプローチ、つまり、企業のテクノロジーの保護、そのプロセスの保護、従業員のサイバーセキュリティ教育が必要だと彼は説明します。

Robinson氏によれば、テクノロジーを保護するには、「その手段をファイアウォールやアンチウイルスから、データ損失予防、IDアクセス管理、セキュリティインシデントイベントの監視といったものに拡張しなければなりません」。

プロセスに関しては、従業員と会社のワークフローや、従業員とサプライヤーや契約業者との関係を調査して、さらにリスク分析やコンプライアンス管理も行う必要があるとRobinson氏は言います。

HPEインフラストラクチャセキュリティのソリューションを活用すれば、ハイブリッドITシステムを管理、監視、保護できるようになります。このソリューションにはファームウェア攻撃に対する世界初にして唯一の防御機能があります。

このような取り組みには、異なる部門の間での連携が欠かせません。「この段階でよく目にするのは、IT部門と各種の事業部門で相互の対話をさらに深めていくという動きです」とRobinson氏は言います。「セキュリティチームはさまざまな事業部門と議論を重ねて、各部門が行っている内容、その理由、業務上の根拠について理解する必要があります。その後、IT部門はセキュリティの専門知識を活用して、「これらの場所にセキュリティリスクや脆弱性があります」と話を進めていきます。必要なのは、組織のさまざまな部門で共同の意思決定が下されることです。そうすれば、組織全体でセキュリティに対する需要を明らかにして、利便性、セキュリティ、プライバシーの間のバランスを見極めることができます」。

また、この取り組みでは、会社のサプライヤーがセキュリティ施策に従っていることを確認し、さらに、セキュリティ要件を契約書に記述することも重要です。サプライチェーンのセキュリティはしばしば軽視されますが、大きなリスクとなる場合があります。会社のバイヤーは、自らが選んだベンダーのセキュリティと、そのベンダーによって届けられる製品に依存しているためです。

企業の中核にセキュリティを組み込むための3つ目のアプローチ、つまり従業員の教育は不可欠だとRobinson氏は言います。従業員は誰でもセキュリティリスクとなる可能性があるため、アンチウイルスソフトウェアの基本を教えるだけでは不十分で、スピアフィッシングに対する防御など、最新のさまざまなリスクを網羅的に説明する必要があります。

「一部の会社は、継続的な教育を試しています」とRobinson氏は付け加えます。「具体的には、最新のソーシャルメディアハックに対する防御方法などの警告や情報を常に発信したり、最近の主なデータ侵害について取り上げたり、従業員がそのような問題を防ぐのに役立つ方法をアドバイスしたりします」。

 

開発プロセスとIoTにセキュリティを組み込む

セキュリティが最初からほとんど組み込まれていない領域の1つは、ソフトウェア開発プロセスです。通常、会社がセキュリティを検討するのは、開発サイクルの最終段階のみで、基本的に後から付け加えることになります。しかし、Grant Kirkwood氏は、それは重大な問題であり変化が必要だと述べています。彼はエンタープライズ向けクラウドソリューションのプロバイダーであるUnitas Global社のCTOです。

「ソフトウェアは、ソフトウェア階層のすべてのレイヤーでセキュリティを意識して構築すべきです」とKirkwood氏は言います。「しかし、このようなやり方は今のところ一般的ではありません。以前は、構築したアプリケーションと、バックエンド、データベース、ミドルウェアのすべてを保護された堀の中に配置するようになっていました。ユーザーに面している部分は、信頼できないと見なされた領域で、これはファイアウォールの用語ではDMZと呼ばれます」。

「しかし今や、アプリケーションスタックのすべてのレイヤーは、その場所に関係なく、本質的にセキュアであるように構築されるべきです。なぜなら、各レイヤーはもはや壁に囲まれて保護されたような環境内にないからです」と彼は言います。「セキュリティはすべてのレイヤーに直接構築する必要があります。ものの見方はすべて変わりました。同意できない人は、保護された堀を作ることができるといまだに考えています。しかし、そのような考えは深刻なデータ侵害につながります」。

Kirkwood氏が指摘するもう1つの大きな穴はIoTです。そのセキュリティは多くの場合、企業の資産にゼロから組み込まれていません。「現在IoTと呼ばれるものは、かつては組み込みシステムと呼ばれていました」と彼は言います。「組み込みシステムやコントローラー、センサーなどは、そもそもインターネットだけでなくネットワークに接続されていなかったので、セキュリティの懸念事項もありませんでした。しかし、無線で更新を実行できる携帯電話のような機器ではそうはいきません」。

「状況は変わりました」とKirkwood氏は付け加えます。「あらゆるIoTデバイスやIoTセンサーはネットワーク上のエンドポイントであり、インターネットにつながるために使用できます。IoTが最初からセキュリティを考慮して作られない場合、潜在的な脆弱性の数は指数関数的に増えていきます」。

 

何よりも大切なメトリック

企業の中核にセキュリティを組み込むという概念に口先だけで同意するのは簡単ですが、実際に取り組む企業はわずかです。この状況を打破するためにCompTIAのRobinson氏が推奨するのは、会社が一連のメトリックを作成し、セキュリティ目標の進捗状況とコンプライアンスを測定することです。

たとえば、あるメトリックでは、社外の関係者とのすべての合意がセキュリティの面からレビューされているかどうかを確認します。別のメトリックでは、正式なリスク評価を受けたシステムの割合を測定し、さらに別のメトリックでは、異常な動作の分析が行われたネットワークトラフィックの割合を測定します。また、教育のトレーニングも測定できます。たとえば、従業員がフィッシング攻撃を見わけるトレーニングを受けた後に、ITチームが送信した偽のフィッシングメールをクリックしてしまった全従業員の割合を算出します。

セキュリティメトリックの使用については、会社の対応がまだ不十分だとRobinson氏は指摘します。CompTIAのレポート『2018 Trends in Cybersecurity (2018年のサイバーセキュリティのトレンド)』によれば、「セキュリティへの取り組みの一環としてメトリックを積極的に活用していると答えた会社はわずか21%」だとわかりました。大企業では、メトリックを活用している割合が高いと考えるかもしれませんが、このレポートによれば、実際に活用している大企業はわずか26%です。包括的なセキュリティ計画の一環としてセキュリティのメトリックを一番活用していると考えられるのは、中規模企業です。

 

結論

この記事でインタビューを受けた全員が、エンタープライズセキュリティの手法を変える必要があるという点に同意しています。つまり、リアクティブなアプローチからプロアクティブなアプローチへの移行です。会社はもはや、問題が起きた後に被害を軽減するような受け身の防御策を講じるわけにはいきません。真にインテリジェントかつプロアクティブな手法に移行する必要があります。これには、AIと機械学習をセキュリティに適用し、脅威をさらに効果的に検出してすばやく対処するような方法も含まれます。会社が理解する必要があるのは、堅固なセキュリティモデルとは、自社の環境の外部から開始されるものであり、手にした製品やサービスがその環境に展開された時点で開始されるものではないという点です。

この考えは、あらゆる組織のエンタープライズセキュリティモデルにあてはまります。ハードウェアとソフトウェアを含む、企業に組み込まれたすべての製品のセキュリティは、トップレベルの関心事項である必要があります。ソフトウェアやハードウェアのベンダーの1社による単一の安易なセキュリティアプローチのみでは、エンタープライズセキュリティは危険にさらされます。たとえば、企業内のIoTデバイスや企業に接続されたIoTデバイスが急速に普及することで、セキュリティ侵害の可能性が飛躍的に高まります。このような潜在的な問題を軽減するステップをまだ始めていない場合、すぐに取りかかる必要があります。

Robinson氏の見積もりによれば、およそ半分の会社が、新しい全体論的なセキュリティアプローチを取り、会社の中核にセキュリティを組み込む必要があると認識しています。このような組織は、主としてクラウドへの移行を果たしている企業であり、自社の周囲の防御だけでは最新の脅威に対抗できないことを理解していると彼は言います。しかし、ほとんどの企業は、最終的にゼロからセキュリティを組み込むアプローチを取らなければならないでしょう。

「現在、企業のセキュリティを確保するには、それが唯一の方法なのです」とRobinson氏は締めくくります。「最終的には、どの企業もそのような取り組みを行わなくてはならないでしょう。」。

 

ゼロからのセキュリティ: リーダーのためのアドバイス

• セキュリティを単に組織に追加できるものだと考えることは誤りです。
• サプライチェーンのセキュリティとは、取引のあるベンダーが、包括的なセキュリティモデルのパートナーになることを意味します。
• 分析とメトリックを活用すれば、終わりのないセキュリティの戦いで優位に立つことができます。

_{この記事/コンテンツは、記載されている個人の著者が執筆したものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。}