セキュリティ展望: 2021年におけるエンタープライズセキュリティの優先事項

2021年3月26日

セキュリティ展望: 2021年におけるエンタープライズセキュリティの優先事項

2020年の急激な変化に適応できたCISOであれば、今後も組織をセキュアな状態に維持できるはずです。

あらゆるデータが示すとおり2020年は激動の1年となりました。コロナウイルスへの対策として、多くの企業がすでに推進していたデジタルトランスフォーメーションをより一層加速させました。クラウドサービスを実装する企業も増加し、ITチームやセキュリティチームは広く分散した従業員のセキュリティ対策に追われることとなりました。セキュリティ脅威そのものも変化を遂げ、ランサムウェア、およびクラウドやモバイルに対する攻撃が増加しました。

こうした動向が、2021年における最高情報セキュリティ責任者 (CISO) の優先事項にどのような影響を及ぼすのか、詳しく見ていきましょう。

リモートワーカーのための長期的なセキュリティ対策を確立

2020年には多くの企業でリモートワークの導入が急速に進みましたが、2021年はこうしたリモートワーカーのための長期的なセキュリティ対策の確立が焦点になると思われます。新たな作業環境の構築が急がれるなか、多くの企業は安全性をスタッフのエンドポイントのセキュリティ対策や仮想プライベートネットワークに頼っており、その他の対策はほとんど講じられていません。2021年はこうしたセキュリティギャップの解消が焦点になると予想されます。

現在多くの企業が、リモートワーカーのセキュリティ状況を見直し、改善すべき点の洗い出しを行っています。そのため今後は、クラウドインフラストラクチャ、ソフトウェアデファインドアーキテクチャー、モバイルデバイス管理などへの投資が増加すると見込まれます。また侵害が発生したリモートワーカーへの対処をリモートで行うための投資も必要になると予想されます。

Spiceworks Ziff Davisが1,073人のビジネステクノロジーバイヤーを対象に行った調査によると、パンデミックによる売上減少にもかかわらず、回答者の76%が現在および今後の課題への対策として長期的なテクノロジー変革に投資することを計画しています。こうした投資に大きく影響しているのが、ITプロジェクトの優先度の上昇 (45%)、パンデミック下でのビジネスオペレーションの変化 (38%)、およびリモートワーカー向けサポートの強化の必要性 (36%) です。

IoTリスクをロックダウン

人々が自宅で過ごす時間が増えるのに伴い、セキュリティ監視、コネクテッド型の照明、スピーカー、家庭用冷暖房、モニター付きインターホンといったコンシューマーIoTデバイスへの投資が増加しています。

コンシューマーIoTデバイスが、企業のセキュリティ計画と何の関係があるのかと思われた方もあるかもしれませんが、実のところ大いに関係があります。在宅勤務へのシフトにより、現在では多くの人がホームネットワークから企業リソースに接続しています。そうしたなかで、これらのホームIoTデバイスがホームネットワークに対する脅威、さらには接続先の企業リソースに対する間接的な脅威として認識されつつあります。

攻撃者がリモートワーカーのネットワーク上のコンシューマーIoTデバイスに侵入することに成功したとします。攻撃者はそのデバイスを足掛かりに認証情報を手に入れ、その認証情報を使用して従業員のエンドポイントにアクセスし、そこから企業リソースにアクセスすることが可能です。Miraiボットネットの事例が示すとおり、コンシューマーIoTの脆弱性は、あらゆる潜在的ターゲットに対するサービス拒否攻撃につながる恐れがあります。Miraiボットネットは多くのインターネットベースの巨大企業を混乱に陥れました。
Pulse Secure社の委託によりCybersecurity Insidersが実施した調査によると、回答者の41%がオンプレミスデバイスのセキュリティ強化に取り組んでいます。また35%がリモートアクセスデバイスのセキュリティ状況チェックの強化を、22%がIoTデバイスの識別/監視機能の向上を目指しています。Pulse Secure社によると「エンドポイントやIoTのセキュリティ問題により組織が被った最も深刻な影響は、ユーザー (55%) とIT (45%) の生産性低下、次いでシステムのダウンタイム (42%)」です。

また調査対象者の72%が、この1年間でエンドポイントとIoTのセキュリティインシデントが増加したと回答しています。

スキルギャップの解消に向けて

2020年はデジタルトランスフォーメーションへの投資が増加した1年となり、それに伴ってテクノロジーへの依存の高まり、開発スケジュールの短縮、攻撃面の拡大といった変化も見られました。こうした状況下で今後も多くの企業において、攻撃を防ぐために必要なセキュリティスキルの不足が課題になると予想されます。

Cybraryの2020年調査報告書によると、セキュリティ/IT専門家の72%が自身のチームにセキュリティスキルギャップが存在すると回答しており、またITマネージャーの65%がスキルギャップがチームの足かせになっていると考えています。このようなスキルギャップの解消に関して2021年にはどのような取り組みが進められるでしょうか。

多くの企業で、ITチーム内でのセキュリティに関するクロストレーニングが優先事項となり、組織内のトレーニングスタッフとの連携が強化され、セキュリティスタッフの新規雇用が増えると予想されます。サイバーセキュリティに関するスキルギャップの解消を望んでいる企業は、サイバーセキュリティに関心のある従業員を見出し、その育成に力を入れることで、従業員が燃え尽き症候群に陥るのも防止できます。

ID管理とゼロトラスト

ID認証情報は攻撃者が侵入口として最も欲している情報の1つであり、この点のセキュリティ強化が、ゼロトラストイニシアチブの大きな推進要因となっています。ゼロトラスト環境では、ネットワーク上のユーザーやデバイスを信頼できないものと考えることが基本となります。そのためユーザー、デバイス、およびアプリケーションは身元の証明を継続的に求められます。

ゼロトラスト環境の場合、ユーザーやデバイスがいったんログインして承認された後も、そのまま信頼され続けるのではなく、認証処理が継続的に行われます。たとえばユーザーが新しいアプリケーションやリソースにアクセスしようとするとユーザー名とパスワードを要求されます。またユーザーデバイスの定期的な検証により、従業員が既知の信頼できるデバイスを使用しているかどうかもチェックされます。このようにデバイスやアプリケーションが変わる都度、ユーザーは身元の再証明を求められる可能性があります。そこでユーザーが絶え間ないログイン要求に悩まされないように、多くの企業がAIと機械学習機能を活用することで、ユーザーの異常を監視し、必要な場合にのみ追加の検証を要求できるようにしています。

注目が高まる自動化と機械学習

セキュリティは、さまざまな分野やテクノロジーの集合体としばしば形容されるとおり、暗号化、アプリケーションセキュリティ、ネットワークセキュリティ、脅威のモデリングとインテリジェンス、エンドポイントセキュリティ、クラウドセキュリティなどで構成されています。長年にわたり、このことが大規模組織のセキュリティチームに影響を及ぼし、業務のサイロ化を招いてきました。しかしながら、クラウドコンピューティング、マイクロサービスアーキテクチャー、API、機械学習などの登場を背景に、自動化やオーケストレーションが可能なものとしてセキュリティを捉える見方が広がっています。

2021年にはセキュリティチームにより、セキュリティがすでに自動化されている多くの分野 (継続的開発など) 以外にも、セキュリティの自動化が拡大されると予想されます。そうした取り組みの例として、IDとアクセスの管理、アプリケーションテスト、脆弱性管理、クラウドインフラストラクチャのセキュリティスキャンなどが挙げられます。さらにセキュリティの自動化と、Infrastructure as Codeやエラスティッククラウドの自動化との統合も進むと予想されます。

クラウドセキュリティの統合

パンデミックの発生と在宅ワークの急拡大は、ITアクセスの中核としてのエンタープライズデータセンターの終焉を加速させました。ネットワークの外部から企業リソースにアクセスするユーザー、デバイス、アプリケーションなどが増えるにつれて、ネットワークファイアウォール、アクセス制御、ネットワークアクセス制御といった従来の手法に頼ってトラフィックやデータを保護するのは難しくなっています。Gartner社のレポート「ネットワークセキュリティの未来はクラウド内に存在」によると、こうした状況下で、セキュアウェブゲートウェイ (SWG)、クラウドアクセスセキュリティブローカー (CASB)、ゼロトラストネットワークアクセス (ZTNA) など、単一ベンダーが提供するセキュリティサービスへの統合を進める企業が増えています。

「単一ベンダーが提供するSWG、CASB、ZTNA、ブランチFWaaS (FireWall-as-a-Service) 機能などを採用する企業の割合は、2019年時点の5%未満から、2023年までに20%に増加する」と同レポートは予測しています。また「セキュアアクセスサービスエッジ (SASE) の導入に向けた明確な戦略を持つ企業の割合が、2018年末時点の1%未満から大幅に増加し、2024年までに少なくとも40%に達する」とGartner社は結論づけています。

クラウドセキュリティの統合が進み、市場がSASEサービスへと移行していくなかで、エンタープライズネットワークセキュリティの変革も加速すると予想されます。2020年はITとセキュリティにとって挑戦と変化の年となりましたが、主な課題であるセキュリティスキルギャップ、クラウドへの移行、デジタルトランスフォーメーション、IoTリスク、リモートワーカーの増加などは、以前から進行中のトレンドでもありました。2020年の急激な変化に適応できたCISOであれば、今後も組織をセキュアな状態に維持できるはずです。

クラウドサービスへの依存が高まるなかで、新たなレベルのWAN制御も求められています。アプリケーションはさまざまな場所に存在しており、企業はこうしたアプリケーションへのアクセス、およびアプリケーションからのアクセスを管理する必要があります。データセンターの出入り口でのポイントコントロールを基本とするセキュリティモデルはもはや機能しません。そのため2021年のセキュリティ計画では、ソフトウェアデファインドWANが優先事項になると予想されます。

いずれは起こるはずであった変化

こうした展開や優先課題は、いずれも1年前の時点で不可避であることが明白でしたが、2020年の情勢はその進行を加速させました。2020年にクラウドサービスが好調を維持し、(少なくともこれまでのところ) 目立ったセキュリティ危機が発生していないことは、私たちが正しい道筋を歩んでいることを示しています。エッジからネットワークコアまでを包含するゼロトラストなど、クラウドのためのセキュリティに今後も力を入れることで、2021年もビジネスおよび人々を攻撃から守ることができるはずです。

リーダーへのアドバイス

ITとクラウドの重要性がかつてなく高まるなかで、そのセキュリティの重要性も増しています。
スタッフのセキュリティスキルを向上させることは、スタッフ自身と組織の双方にメリットをもたらします。
アプリケーション、データ、および従業員の分散化が進むなか、こうした変化に対応したセキュリティ計画が求められています。

^{この記事/コンテンツは、記載されている特定の著者によって書かれたものであり、必ずしもヒューレット・パッカードエンタープライズの見解を反映しているわけではありません。}

George Hulme

寄稿者 5件の記事

George V. Hulmeは受賞歴を持つジャーナリストで、情報セキュリティとビジネステクノロジー分野のライターとして世界的に知られています。Georgeは20年以上にわたり、ビジネス、テクノロジー、およびITセキュリティを専門に執筆活動を続けており、その記事はCSOOnline、ComputerWorld、InformationWeek、およびその他多数のテクノロジー誌に掲載されています。GeorgeはDevOps.comの創設者兼編集者でもあります。