画像をタップして拡大する

2021年4月9日

自社のセキュリティをゼロトラストで確保する企業

ユーザーの教育とハイブリッドITへの適応は、従来のエンタープライズセキュリティの概念が廃れていく中で組織がセキュリティに取り組む際の鍵となります。

ご存じかと思いますが、次のことは繰り返し伝える価値があります。COVID-19の流行ですべてが一変し、オフィスから在宅勤務への急速な移行によって、パンデミックに乗じて広まる新しいタイプのセキュリティ脅威が生じました。

私たちの互いのつながりは、かつてないほど強まっています。このような状況では、ゼロトラスト、つまり、ユーザーやソフトウェアをデフォルトで信頼しないことを前提としたID管理とアクセス管理に取り組む必要があります。このメッセージを発したのは、ヒューレット・パッカード エンタープライズの後援の下で開催された最近のオンラインセミナー「The Element of Protection」の講演者であるサイバーセキュリティの専門家たちでした。

攻撃手法として選ばれているのは、ソーシャルエンジニアリングです。米国国防総省の元上級諜報部員であるTyler Cohen Wood氏によれば、その一例として、従業員の子供たちを標的とし、リモートで授業に参加する子供に悪質なファイルを送りつけてダウンロードさせるという手法があります。

このような攻撃に対抗するには、組織や両親がサイバーセキュリティの意識を高めるトレーニングに力を入れて、「個人、家族、ビジネス、会社、そして国の各レベルで自分を守るための対策を講じる」必要があります。その多くでは、職場と自宅の環境を切り離すことが求められます。

本質的に、家庭は、ビジネスで保護する必要がある境界線上にあるもう1つのエンドポイントになっているとモデレーターのClint Watts氏は言います。彼は米国にある外交政策研究所の著名な特別研究員であり、元FBI特別捜査官でもあります。

国際的なサイバー犯罪

コロンビア大学のコンピューターサイエンスの教授であるSalvatore Stolfo氏は、これらの脅威が企業に与える日常的な影響は非常に大きいと指摘しています。電子メールクライアントを使っている人なら誰でも、スパムフォルダを見るだけで、仕掛けられたソーシャルエンジニアリング攻撃の数を目にすることができます。

大企業はフィッシング攻撃から従業員を守ることに力を入れているとStolfo氏は言いますが、それでも、ブランド、Webページ、Webサイトといった自社のプレゼンスがフィッシング攻撃者によって複製され、有名ブランドが一般大衆を騙すために悪用されていることにこれらの企業は気付いていないかもしれません。

Stolfo氏は、有名なサイトやドメインを使用したソーシャルエンジニアリング手法を挙げて、「この種のサイバー犯罪の規模は、今や国際的な麻薬取引を凌駕しています」と説明します。「フィッシング攻撃者は、会社のクローンWebサイトをほぼ瞬時に立ち上げることができるインフラを構築しているのです」。この偽のWebサイトは訪問者の認証情報を集めてデジタルIDを盗むために使用されます。

彼は、官庁や製薬会社がCOVIDワクチンについて発表すると、「ワクチンを安く買えたり、オンラインで先に入手できたりすると人々を騙して詐欺行為をする膨大な数のWebサイト」が生まれることを確信していると言います。

ゼロトラストの手法を用いた戦略の実践

ランサムウェア攻撃や知的財産の盗用が増えていることからわかるとおり、攻撃者は常に私たちのテクノロジー依存を利用しようとしているため、企業はこの問題に真剣に取り組む必要があります。HPEのバイスプレジデント兼情報セキュリティ部門副部長のDrew Simonisは、企業は自社の資産と攻撃者の能力について把握し、重要な資産を中心として予防的な保護対策を講じなければならないと助言しています。

彼は、セキュリティを高めるような企業文化を従業員が支える必要があることを認めていますが、それには時間と労力がかかります。

人、システム、ソフトウェアは今や世界中に分散しており、相互につながっています。エッジからクラウドへの移行が進んでおり、その動きはパンデミックによって加速しました。このような状況では、人や場所、システムの周りに境界線を定めるという考え方は「まったく役に立たなくなりました」と、HPEのシニアディレクターであるSunil Jamesは指摘します。

「私たちは、人もシステムも移動するのだと認める必要があります」と彼は続けます。

Jamesによれば、COVIDの流行によって、各要素が決まった場所にあるかどうかが定かではなくなった世界で、それらをまとめるシステムの構築方法を考え直す時期にきています。組織がこの大きな変化に対応するには、ゼロトラストモデルの採用を検討する必要があります。

バズワードの枠に収まらないゼロトラスト

CTO Advisor社の社長であるKeith Townsend氏によると、パンデミックが発生したとき、企業は従業員にオフィスにあるデスクトップPCを自宅に持ち帰らせていました。なぜなら「従来のやり方が通用しない新しい現実に備えていなかったからです」

しかし、企業ネットワークに接続している人物やマシンが自社に属しているかどうか、組織は見分けることができなかったとTownsend氏は言います。

ゼロトラストという言葉は、マーケティングのバズワードとして気軽に使われることもありますが、HPEの子会社であるAruba社でバイスプレジデント兼最高セキュリティ技術者を務めるJon Green氏は、会社がゼロトラストについて説明する場合、正確な意味が伝わるように注意しなければならないと言います。

ゼロトラストの考え方では、「参加しているネットワークやネットワークセグメント上での自分の居場所によって、データやアプリ、サービスの一部に対する特別なアクセス権が付与されるべきではありません」と彼は説明します。かつては、外部の脅威からデータを保護するには、境界防御やファイアウォールで十分だと考えられていました。しかし今は、ネットワークの内側にも悪者がいます。

ネットワークはすでに侵害されているという姿勢で臨むべきだとGreen氏はアドバイスします。つまり、人やデバイスがネットワークにすでに接続されている場合でも、アプリケーションやサービスのレベルで強力な認証が求められます。

ただし、同氏はモノのインターネット (IoT) デバイスの数や特徴を引き合いに出して、ネットワーク上のすべてのものにゼロトラストの仕組みが適用されるわけではないと言います。一例として、Green氏は「自動販売機がネットワークにつながっている場合もあります」と指摘しています。

HPEのセキュリティ・リスクマネジメントのシニアアドバイザーであるSimon Leechは、ゼロトラストは単なる技術ソリューションではなく、セキュリティアーキテクチャーに取り組む際の新しい手法だと付け加えます。うまくいけば、「ゼロトラストはビジネス成功の鍵にもなります」

ゼロトラストの戦略を導入する際は、まず、今後数年間のビジネス目標について考え、その取り組みのセキュリティをゼロトラスト戦略でどのように確保できるかを検討することをLeechは勧めています。そうすれば、いくつかの分野では短期間で目に見える成果を達成できることがわかるだろうと彼は言います。

カスタマー・エクスペリエンスにゼロトラストを組み込む

オンラインセミナーで、HPEのサーバーソフトウェアおよびセキュリティ製品担当ディレクターであるBob MooreとHPEの顧客が話し合ったテーマは、従業員の継続的な教育、信頼できるパートナーとの共同作業、組織が最新のセキュリティ製品を確実に使用することの重要性です。

「クラウド環境における資産管理の課題は、これまでとは違い、資産がまったく静的ではないということです」と、Dropbox社のセキュリティスタッフエンジニアであるToby Kohlenberg氏は指摘します。

ただし、パンデミック中にソーシャルエンジニアリングの手法が増えているとは言え、「根本的な脅威は変わっていません」と同氏は付け加えます。職場にいる従業員が攻撃対象になることは減ったかもしれませんが、現在でも、彼らはテレワークが基本の「バーチャルファースト環境」で攻撃対象になっています。

Kohlenberg氏は、Dropbox社のリードコーポレートエンジニアである同僚の講演者Andrew Bleil氏と自分は「アクセスを排除することを意味するゼロトラストよりも、きめ細やかなトラストダイナミックトラストという表現を好んでいます」と述べています。

オンラインセミナーに出席した顧客は、セキュリティのベストプラクティスについて従業員を教育する方法についても話しました。「Dropbox社では、信頼に値することが最優先です」とKohlenberg氏は言います。同社ではトレーニングや研修が随時行われており、特に「Trustober」 (毎年10月に開催される全社的なセキュリティ啓蒙イベント) の期間中には集中して実施されています。

テキサス小児科病院のCISOであるTeresa Tonthat氏は、毎月の模擬訓練を通じて、悪意のある電子メール、業務に関する電子メールの漏洩、フィッシングに対処できるようにスタッフを教育していると言います。この訓練は年次トレーニングの必須要件にもなっています。

セキュリティバイデザインという考え方

今では多くの人が在宅勤務をしているため、ID管理が問題になっているとTownsend氏は言いますが、良いニュースもあります。ユーザーは、パスワードやセキュリティの重要性について以前よりはるかに理解しています。最終目標はゼロトラストですが、組織はID管理ツールの運用に苦労しているので、「業界全体で最大の課題はユーザー教育です」と彼は主張します。

Jamesによれば、HPEは、データが作成されて処理されるまで、その保存場所に関係なく対応できる継続的なプラットフォームを提供し、すべての過程でデータのセキュリティを確保できるソリューションに取り組んでいます。

人が関わる部分については、セキュリティが組織の文化の一部になっていることが成功には不可欠であり、セキュリティの一般的な原則に関するトレーニングだけでなく、職種別のトレーニングも必要になるとTownsend氏は言います。

さらに、組織はセキュリティバイデザインの考え方を導入すべきだと彼は付け加えます。つまり、プロジェクトを始めるときは必ずセキュリティチームに加わってもらい、セキュリティは必須だという姿勢で臨むのです。

セキュリティはできるだけ簡単に実装できるようにすべきで、セキュリティの重要性はトップダウンで強調する必要があるとTownsend氏は言います。従業員を関与させることで、彼らもセキュリティに気を使うようになります。

SASEへの期待

Green氏によれば、SASE (Secure Access Service Edge) は技術的な発展が期待できる分野です。SASEの概念は、ユーザーはあらゆる場所にいて、サービスもあらゆる場所に配置できるというものです。そのために、会社のデータセンターで運用するという古いサービスモデルを捨ててハイブリッドクラウドを採用することになると彼は説明します。

現在、そのようなサービスはどこからでも提供できるようになっているため、SASEの目標は、クラウド内のサービスをユーザーがどこにいても使えるようにすることです。

HPEとGartner社では、SASEの定義について意見が分かれているとGreen氏は指摘します。彼によると、Gartner社は「ネットワーキングとセキュリティが1つのサービスに組み込まれることを望んでいる」のに対し、HPEはネットワーキングベンダーは自分たちの仕事に専念して、セキュリティはセキュリティベンダーに任せるべきだという立場を取っています。

Keith氏も、ネットワークとセキュリティは2つの別々の戦略であるべきだという考えを信じていると述べており、SASEの世界では、アプリケーションを記述するための現代的な手法であるラムダ関数が使われるようになるだろうと考えています。

Jamesは最後に、このようなインフラストラクチャはすべて、大量の情報を生成しているエンドユーザーと連携して動作するように設計されていることを重ねて強調しました。目標は、それらの情報から有益な情報を引き出せるようになることです。

「私たちは、データを中心とした制御という概念が発展していくと考えています」と彼は述べています。データをきめ細かく制御できる機能は、ハッカーによって悪用される恐れのある新たな領域になるでしょうが、彼らの攻撃を防御するためにも役立つでしょう。

この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカード エンタープライズの見解を反映しているわけではありません。

enterprise.nxt

ITプロフェッショナルの皆様へ価値あるインサイトをご提供する Enterprise.nxt へようこそ。

ハイブリッド IT、エッジコンピューティング、データセンター変革、新しいコンピューティングパラダイムに関する分析、リサーチ、実践的アドバイスを業界の第一人者からご提供します。

enterprise.nxt
ニュースレターのご登録

enterprise.nxtから最新のニュースをメールで配信します。