Securing Your Digital Business

デジタルビジネスのセキュリティの確保

ウェブセキュリティ製品担当 VP、Josh Shaul へのインタビュー

現在、CIO およびその他のシニア・ビジネス・エグゼクティブが情報セキュリティについて認識しておく必要のある最重要事項とは何でしょうか?

私たちは、情報セキュリティの新しい時代にいます。エンタープライズデータ、アプリケーション、ネットワークの「城」が、セキュリティが確保された防御線とファイアウォールの「堀」で囲まれている従来の「堀と城」のモデルを企業は数十年にわたり頼ってきましたが、これは時代遅れになり、ますます意味のないものになっています。アプリケーション、データ、およびユーザーは、ファイアウォールの外側とクラウド内に場所を移し、パブリックインターネット上で送受信されています。アプリケーション、データ、およびユーザーは堀を越えて出ていってしまったにもかかわらず、従来のセキュリティシステムは、ほとんど空になった城を守り続けています。

何が、このようなクラウドへのすべての移行を推進しているのでしょうか?

今日、すべてのビジネスはデジタルビジネスとなっており、インターネットは情報インフラストラクチャの最重要部分です。インターネットは、クラウドベースのワークロードとオンプレミスのデータおよびアプリケーションとの間の主要なコネクターです。また、IoT(Internet of Things)を構成する数百万または数十億の接続されたデバイスのコネクターです。

エンタープライズ組織は、次のようなさまざまな理由からクラウドを使用しなければなりません。
  • 1 番目の理由は、迅速かつ魅力的なデジタル体験をお客様に提供するためです。ウェブ体験とモバイル体験のスピード、信頼性、カスタマイズに対する期待は高まるばかりです。そのため、Akamai では、「遅いということは、新たなダウンである。」と言っています。このデジタル経済では、常に代わりになるものがあり、せっかちなお客様はすぐに他へ行ってしまいます。
  • 2 番目の理由は、従業員の生産性を向上させるためです。今日の従業員は、自宅をはじめ、移動中やお客様の拠点からも作業する必要があり、世界のあらゆる場所から、そして移動しながらシステムやアプリケーションにアクセスしなければなりません。
  • 3 番目の理由は、ビジネスパートナーと連携するためです。サプライヤー、パートナー、請負業者はグローバルなデジタルコミュニティであり、三者とも、エンタープライズ組織のアプリケーションやデータの一部にセキュリティが確保された高速で信頼性の高いアクセスを必要としています。
  • そして、4 番目の理由は、デジタルビジネス変革を推進するためです。ビジネスプロセスをデジタル化して加速し、テクノロジーで製品とサービスを強化し、お客様のための新しいデジタルアプリケーションを発売し、新しい市場を開拓してブランドをグローバル化するために、エンタープライズ組織はクラウド内のリソースを活用する必要があります。

ビジネスリスクにはどのような影響があるでしょうか?

デジタルビジネスはインターネットを利用することを前提として、インターネットを活用することで、最高の条件が揃った場合でも、これまでは設計されることはなかったミッションクリティカルなレベルのスピード、信頼性、セキュリティを実現しています。その一方で、収益、事業運営、ブランドの評判に対するサイバー攻撃の結果が極めて大きくなる可能性があります。

デジタルビジネスのバックボーンである、ウェブサイトやクラウドベースのアプリケーションは、攻撃者から攻撃される脅威に絶えず晒されています。アプリケーションやデジタル体験の結合組織としての役割を果たす API により、セキュリティ防御線にたくさん穴が開いた状態になり、攻撃者が悪用できる数百から数千の新たなエンドポイントが作り出されます。VPN、ユーザーアクセス制御、資格情報保管、認証システムといったすべての従来のセキュリティメカニズムは、実際には、攻撃および悪用される可能性のあるポイントを提供しています。

また、インフラストラクチャの分散やクラウドへのデータの流入だけでなく、それらによって新たなリスクも生じます。これは、これらのアプリケーションおよびデジタル体験自体を作成するプロセスに他なりません。ビジネスのデジタル戦略を推進するアプリケーションを開発、管理するためにソフトウェア、ネットワーク、およびシステムにアクセスする必要がある人のネットワークが絶えず拡大しているためです。

しかしながら、エンタープライズ組織はクラウドを利用しているため、セキュリティ、機密データの保護、コンプライアンスの要件はこれまでと変わりません。これらは変わりませんが、現在、攻撃対象領域とリスクプロファイルは急激に拡大しています。そのため、それらの要件を新たな方法で満たされなくてはなりません。デジタル時代の CIO の課題は、ビジネスで日常的に依存している、さらに分散化が進むクラウドベースのネットワークでセキュリティとコンプライアンスを確保する方法を見出すことです。ビジネスはクラウドで運営する必要があるため、クラウド内でのセキュリティを確保しなければなりません。

脅威の状況がどのように変化しているかについて詳しくお聞かせください。

もはや極めて高度なリソースとツールで暗躍するサイバー犯罪者だけが現代の攻撃者ではありません。ごく普通のユーザーが、複雑で高度に分散した攻撃を行うことができるのです。無料で利用できる高度に洗練されたツールセットや「攻撃請負」サービスを利用すれば、経験や知識に関係なく、従来の数分の 1 のコスト、労力、および複雑さで、誰もが世界各地のウェブサイトを DDoS 攻撃で停止させたり、悪用したりすることができます。

これらの攻撃は、仕掛けるのが単に容易になっただけではなく、はるかに高度で危険な攻撃を行えるようになりました。以前は、最も高いリスクは、機密性の高い製品ファイルを盗まれたり、ネットワークのパスワードが漏洩したりすることでした。しかし、今やデジタルビジネスは数年前には SF の世界の出来事と考えられていた新たなセキュリティ上の弱点に直面しています。新たなセキュリティ上の弱点とは、ファイルを「盗み出し」、そのファイルを人質にして身代金を要求するマルウェア、メモリ内の暗号化されていない脆弱なクレジットカードデータをマイクロ秒単位で取得できるスクレイピングボット、サイトをシャットダウンさせることのできる一連の接続された IoT デバイス(サーモスタット、電球、WiFi ルーター)を使用した組織的攻撃といったものです。どの場合も、従来のセキュリティアプローチでは、このクラウドベースの世界では効果的に対処することができません。

必要な新しいアプローチとはどのようなものでしょうか?

エンタープライズ組織は、セキュリティを提供するだけでなく、最初にセキュリティのニーズを設計するための新しいアプローチを必要としています。

プロビジョニング側では、セキュリティをクラウドが機能するように構築し、かつ、インターネットの形態を拒否するのではなく、利用するように構築する必要があります。ビジネスアセットの場所を問わず、保護を分散させる必要があります。セキュリティに対する従来の集約型のアプローチでは、これを簡単に行うことはできません。セキュリティアーキテクチャ全体をクラウドに移行しようとすることは不可能ではないものの、実用的ではありません。

Akamai では、まず、次の 2 つのことを前提としています。1 つ目は、エンタープライズ組織はもはや防御線ではなく、むしろ、クラウド全体が新しい防御線であるということですあるいは、防御線全体が消えてしまったと言ってもよいでしょう。2 つ目は、Forrester が「ゼロ・トラストネットワーク」と呼んでいる概念に基づいて活動するということです。これは、すべてのネットワークトラフィックは疑わしいものであるという考え方です。このような状況では、セキュリティはパーベイシブである必要があり、ユーザー、データ、およびアプリケーションがどこにあるかを問わず、セキュリティを割り当てる必要があります。

セキュリティ、ポリシー、およびコントロールは、エンタープライズ組織の「城」から離れ、クラウドの「エッジ」に移動する必要があります。これにより、セキュリティはより完全でよりポータブルになります。たとえば、セキュリティが特定のインフラストラクチャ設定に関連付けられていない場合、インターネット・サービス・プロバイダーがダウンしても、単純かつシームレスに他のプロバイダーに移行して、新しい環境でユーザー、アプリケーション、およびデータのセキュリティが確保された状態であることを確信することができます。

では、セキュリティ設計の側面はどうでしょうか?

組織では、通常、アセットの価値と機密性に基づいて保護レベルを策定しようと試みます。たとえば、顧客データには特別な保護手段が設定されます。ただし、これは初歩的なものであり、きめ細かなアプローチではない傾向があります。きめ細かなアプローチは特別に設定する保護であり、設けるか、設けないか二者択一となっています。また、これは、この説明の半分に過ぎません。残りの半分は、アプリケーションや送信によりアセットが暴露されるレベルです。ビジネスは具体的にはどのような危険に晒されているでしょうか?また、その危険を緩和するにはどうすればよいでしょうか?攻撃とアセット損失のシナリオを最後まで実行します。アセットの価値と発生する可能性のあるエクスポージャーの組み合わせにより、保護戦術を決定する必要があります。

よりマクロなレベルでは、組織は社内標準、業界標準、および企業コンプライアンスで規定されている手順やベストプラクティスに従うことができます。ただし、その場合でも、サイバー攻撃から十分に保護されているとは言えません。これは、すでにお話ししたように、脅威とセキュリティの状況が絶えず変化しているためです。目標は、新たな脅威に迅速に対処できる十分な俊敏性を持つことです。このためには、現在のポイントソリューションの集合だけでなく、柔軟なセキュリティ・テクノロジー・プラットフォームが必要です。したがって、将来の柔軟性と迅速な保護を考慮して、セキュリティに対するアプローチを設計してください。

さらに分散化されたセキュリティはどのように機能しますか?

クラウドでは、大きなものほど確実に良いと言えます。クラウド配信プラットフォームのパフォーマンスおよびセキュリティ要件を達成するには、莫大な規模や配信であることが必要です。そのため、Akamai はインターネット経由で 130 か国に 200,000 台以上のサーバーを展開しており、随時グローバルなウェブトラフィックの 30% を配信しています。

莫大な規模と配信により、大規模な可視性が実現します。この可視性とは、ユーザー、エンドポイントのパフォーマンス、ネットワークのパフォーマンス、インターネットのパフォーマンス全体に関する膨大な量のリアルタイム情報です。この情報は、クラウドの防御線ベースのセキュリティ機能のバックボーンです。これには、Akamai がサポートするすべてのエンタープライズ組織に対するすべての攻撃を含む、インターネットセキュリティ攻撃の優れたリアルタイムビューがあります。

このリアルタイムのセキュリティインテリジェンスは、脅威の進化とともに、脅威を停止させる機能が進化し、妨害ウェブアプリケーションや DDoS 攻撃を阻止できることを意味します。ほとんどのケースで、Akamai は攻撃者から 1 ネットワークホップ以内で攻撃をブロックできます。つまり、悪意あるトラフィックはお客様のエンタープライズ・データ・センターから遠く離れた場所までしか来ないことになります。

すべての場所で、可能性のあるあらゆる経路を測定、比較しない限り、インターネットよりも迅速にトラフィックをルーティングすることはできません。セキュリティに対する脅威が出現したときに認識することは、世界のどこかにあるその脅威が発生したネットワーク上にいない限り不可能です。そして、攻撃されている以上の容量を備えていないと、DDoS 攻撃から確実に防御することはできません。繰り返しますが、容量は大きいほど良いのです。

エンタープライズ組織がクラウドベースのセキュリティを活用して保護を再構成して、向上させることができる具体的な方法とはどのようなものでしょうか?

基本的な課題はアクセスに関するものです。アプリケーションやデータへのアクセスを提供することは、それらがクラウドにあるか、従来のデータセンターにあるかにかかわらず、アクセス方法を見せざるを得ないことを意味し、これは攻撃者にとって巨大な潜在的攻撃対象領域となり得ます。そのため、エンタープライズ組織ではどのようにすれば、ビジネスの速度を低下させたり、ダウンさせたりすることなく、「攻撃者を寄せ付けない」迅速かつシンプルでセキュリティが確保されたリモートアクセスを提供することができるでしょうか?ここで、2 つの例をお話しします。

従来のファイアウォールベースのセキュリティモデルでは、通常、外部ユーザーに企業ネットワークへの VPN アクセスを提供し、アクセス用にあらかじめ設定された企業所有のラップトップを外部ユーザーに発送することもありました。残念ながら、その VPN アクセスは極めて大きな攻撃ベクトルとなる可能性があり、多くの重大なセキュリティ侵害がまさにその経路で発生しました。より適切な代替手段は、ファイアウォールで保護されているアプリケーションを、パブリックインターネットに公開されている小さなウェブアプリにのみ接続させることです。ファイアウォールのコネクターは、目的のアプリケーションとのみ通信し、ネットワーク上の他のものとは通信できないため、ネットワーク全体を VPN ユーザーに開放することはできません。

もう 1 つの一般的なシナリオは、エンタープライズアプリケーションへの支店からのアクセスをサポートすることです。従来の設定では、支店のネットワークをプライベート WAN に接続して、次に企業のデータセンターに接続することで、トラフィックが「エンタープライズ組織の防御線」内にあり、従来のファイアウォールで保護されていました。しかし、支店の従業員が直接接続によってパブリックインターネットにアクセスするとどうなるでしょうか?突然、すべてが無駄になります。その接続は、マルウェア、フィッシング詐欺、およびその他の脅威によって簡単に悪用される可能性があり、企業のセキュリティの保護の範囲外にあります。

この場合、Akamai のアプローチでは、インターネット上のドメイン・ネーム・サービス要求をリアルタイムに監視し、脅威のリスクに関して、ドメインをインテリジェントにスコア付けします。ユーザーは、悪意のあるドメインやサービスに誤って、または意図的にアクセスしようとすると、自動的かつ即座に阻止されます。この認証は、IP 接続が確立される前であってもミリ秒単位で行われるため、エンタープライズ組織の防御線から遠く離れた「セキュリティ・キル・チェーン」において早い段階で脅威が阻止されます。

CIO やその他のビジネスおよびテクノロジー幹部役員にとっての要点とは何でしょうか?

ビジネスのデジタル化がまだである場合は、デジタル化を行うことです。また、クラウドを利用していない場合は、クラウドを利用することになります。お客様、従業員、ビジネスパートナーがどこにいても、使用デバイスにかかわらず、最善かつ最高のセキュリティが確保されているデジタル体験を提供する必要があります。

今日のデジタルビジネスはクラウド内にあり、運営されています。情報セキュリティもクラウド内に存在し、運用される必要があります。クラウドベースのパフォーマンスとセキュリティにとって重要なのは、膨大な規模、配信、可視性です。場所にかかわらず発生した問題を認識し、リアルタイムで脅威に対処する必要があります。

デジタルアセットはすでに「堀を飛び越え」、従来のセキュリティ手法の制御の範囲を超えているのです。そのため、クラウドベースのセキュリティは必要不可欠です。クラウドベースのセキュリティにより、エンタープライズ組織のセキュリティの姿勢を大幅に改善し、ビジネスリスクを低減することができます。また、エンタープライズ組織は自信と意欲を持ってデジタルビジネスを運営、拡大することができます。

関連する CIO のコンテンツ