Taking Enterprise Security to the Next Level

エンタープライズセキュリティを次のレベルに引き上げる

Akamai、Enterprise VP 兼 GM、John Summers へのインタビュー

ビジネスリーダーが今日のサイバーセキュリティへの脅威を理解するために最も必要な点は何でしょうか?

一般的な脅威の時代は終わったということを認識することです。脅威の格好の標的は、企業や組織であり、多くの場合、攻撃者は知的財産、個人情報、財務情報などを狙っています。あるいは、単に企業や組織の活動に潜り込み、その内容を探ることを目的としている場合もあります。

このような悪事を働く攻撃者は、極めてスキルが高く、豊富なリソースを備えています。サイバー防御の侵害を得意とする攻撃者の中には、国家を脅かすような攻撃者もいます。このような攻撃者はしつこく、辛抱強い上に、インフラストラクチャを操作し、まったく目立たないように活動します。そのため、企業やその従業員にとっては何事もなく、いつもと変わらずビジネスが行われているように見えてしまいます。これは、まったく新しい脅威と言えます。このような脅威はここ数年で巧妙化しており、実際、この新たな脅威により、セキュリティの確保がますます困難になっています。

一方、ビジネスリーダーは、組織の敏捷性を高め、お客様やビジネスパートナー、サプライチェーン、配信チェーンに新たな価値を提供していかなければなりません。企業は、より迅速に事業を運営、変更できるようにビジネスをデジタル化する必要があります。デルタル化の必要に迫られ、企業では接続や通信が増加し、クラウドインフラストラクチャの利用も増加しています。

そのため、攻撃者のテクノロジーインフラストラクチャへの侵入方法が格段に巧妙化しています。それに後れを取らないようにエンタープライズ組織もインフラストラクチャの透過性を高め、ビジネスに競争力を持たせることのできる接続を開発していく必要があります。これこそが、今日のサイバーセキュリティの主要な課題です。ビジネスをより迅速に運営しながら、ビジネスにとっての脅威を認識し、その脅威から防御する方法です。

ビジネスリーダーが、セキュリティに対する今日の一般的なアプローチについて把握しなければならないのはどのようなことでしょうか?

これまでは、セキュリティレイヤーに関わるスタッフは全員、ネットワーク・セキュリティ・レイヤーに携わっていました。ネットワーク・セキュリティ・レイヤーは堀と高い壁で囲まれた世界で、内側と外側に分かれていました。しかしながら、このような世界は消滅しつつあります。高度に相互接続されているビジネスでは、インフラストラクチャとそのユーザーが他の場所に存在します。つまり、お客様やビジネスパートナーとのやり取りを壁の内側ではなく、壁の外側で行い、場合によっては非常に遠く離れた場所からビジネスクリティカルアプリケーションに接続します。

このような浸透するコネクティビティでは、これまでのネットワークセキュリティの考え方がほとんど意味をなしません。インターネット経由でアプリケーションにアクセスするようになると、自分が制御するネットワークを経由しないため、ネットワークレイヤーを管理しても、サイバー脅威の検出や回避にはさほど効果がありません。

では、代わりに何が必要なのでしょうか?

セキュリティの考え方は、ネットワークレイヤーから、ユーザー、データ、アプリケーションレイヤーへと展開していく必要があります。ユーザー、データ、アプリケーションレイヤーは、クラウドインフラストラクチャの世界での商取引を管理する新たな制御ポイントです。ユーザーが誰であるかを把握しなければなりません。ユーザーがアクセスする必要のあるアプリケーションを把握し、そのアプリケーションへのアクセス権のみを付与します。また、ユーザーとアプリケーション間のデータ伝送のデータが適切であり、転送中のセキュリティが確保されている必要があります。私はこのことを「パケット、ポート、プロトコル」から「ユーザー、データ、アプリケーション」へのセキュリティの進化と呼んでいます。

課題は、新しいアプローチとコントロールに関してトレーニングを受けた多数のセキュリティ専門家が必要なことです。また、ベンダーは、高度に分散化および接続されている世界でのエンタープライズ組織のセキュリティについての考え方を変えなければなりません。Akamai にはこの点で大きな利点があります。なぜなら、Akamai はインターネットを介したコンテンツの安全な配信により成長を遂げた企業であり、Web のファブリック上に直接プラットフォームを構築してきたからです。Akamai は、ユーザー、データ、アプリケーションといったアセットレベルで、Akamai と通信しているデバイスを 19 年間にわたり運用してきました。このためには、使用ネットワークの種類を問わず、強力な認証、強力な暗号化、完全な可視性が必要です。

インターネットは、約 15,000 もの異なるネットワークで構成されています。インターネットを介してビジネスを運営する場合、アセットレイヤーのセキュリティは欠かせません。Akamai が強く願っているのは、必要な次のレベルにセキュリティを引き上げる方法について、19 年間にわたり Akamai が培った知識をお客様と共有することです。

そのようなアセットを保護するために具体的に何が必要なのか、詳しく説明してください。

アセットをどのくらい信頼できるか、またアセットを信頼する上でどのくらいのビジネスリスクが伴うかについて判断するためには、アセットとその動作を把握する必要があります。

従来の企業のセキュリティモデルでは、企業はユーザー ID を常に保持していましたが、現在では、このような ID は、主要な SaaS アプリケーションなどのアプリケーションにアクセスするために使用しなければならないため、企業のデータセンターではなくクラウド内にあります。

ユーザーの延長として、Akamai では、使用されているデバイスについて把握する必要があります。デバイスは企業によって管理されていますか?そうでない場合、ユーザーが選択するデバイスはほとんど管理されていないのではないでしょうか?セキュリティポリシーとセキュリティプラクティスは、ユーザーにとって役立つものにするために、BYOD を考慮しなければなりません。

クラウド内のどのアプリケーションに関しても、私たちはユーザーが適切なアプリケーションにアクセスしていることや、アプリケーションが完全に信頼できるか、完全には信頼できないか、またはまったく未知のものであるかを把握する必要があります。これは、極めて重要です。たとえば、既知のソースや通常の取引の一部であるように見える電子メールのリンクをクリックして、スピアフィッシング攻撃に遭うことがあります。発生する可能性のある攻撃を検出するには、伝達されている内容と宛先の信頼性の両方を把握しなければなりません。

次に、データです。データのセキュリティを確保するためには、まず、データの重要性を理解しなければなりません。ユーザーとアプリケーションの間で送信されるデータは、ビジネスにとって重要でしょうか?それほど重要ではないでしょうか?あるいは、盗まれたとしても問題ないものでしょうか?ほとんどのエンタープライズ組織では、データ分類は本当の意味でまだ始まったばかりです。データ分類について、必要に応じて検討がなされています。そのような中でも、一部の組織では適切にデータを分類しています。ある金融サービスの役員は、基本的に 2 種類のデータに分類したと述べています。「トラブルになる可能性のあるデータと、それ以外のデータです。」

これらのアセットすべてのセキュリティを確保するには、セキュリティに関する意思決定や対処が、以前ほど型にはまったものではないことを認識する必要があります。セキュリティに関する意思決定や対処は、IP アドレスへのアクセスを承認またはブロックすることではありません。白か黒かのはっきりとした区別ではないのです。セキュリティに関する意思決定においてはさらに微妙な違いがあり、何が起こっているのかをより詳細に把握する必要があります。また、セキュリティポリシーの適用ではこれまで以上にビジネスリスクを基準にする必要があります。

よりリスクに基づいたサイバー・セキュリティ・モデルのビジネス上のメリットとは何でしょうか?

このモデルの目的は、ビジネスへのリスク、ブランドへのリスクを軽減すると同時に、イノベーション、迅速化、および変化を妨げないようにすることです。理想的には、セキュリティプラクティスによってビジネスの敏捷性を実現することです。つまり、新しいリリースのたびにビジネスがさらなるリスクに晒されることがないような方法で企業が新しいアプリケーションを継続的に展開できるようにする、ということです。

これは大きな変化です。これまでは、セキュリティはビジネス目標を達成するために切り抜けなければならない障壁であると考えられてきました。多くの場合、セキュリティ担当者は自分自身を、ユーザーができることと、できないことを指定するゲートキーパー(門番)であると考えてきました。

このような考え方ではなく、セキュリティとは、最も低いリスクで、最も大きなチャンスをもたらすようなやり方で目的を達成できる方法について、企業に助言することでなければなりません。セキュリティ担当者は、企業がチャンスを追求するために納得できるレベルにリスクを低下させる方法についてのリスク評価とガイダンスを提供する情報源として認識される必要があります。CSO は、企業が負う可能性のある変化するリスクの量を、従業員が選択できるようにしなければなりません。リスクをまったく負わないセキュリティ組織はありません。

ビジネスの敏捷性を実現しているセキュリティプラクティスの実例を挙げてください。

Akamai では、大手金融サービス会社のデジタルチームと連携しました。このチームは、新しいアプリケーション、迅速なイノベーション、迅速な試験、および新しいビジネス価値を担当していました。このデジタルチームは、セキュリティに自信を持って新しいアプリケーションを迅速に展開できるようにしたいと考えていました。Akamai はこのデジタルチームと連携して、セキュリティレイヤーが組み込まれているアプリケーション・デプロイメント・フレームワークを開発しました。そのため、すべてのアプリケーションが、根本からスケーラブルでセキュリティが確保されるように設計されています。

確認および監視、認証、アクセス制御のために使用するセキュリティツールは、すべてフレームワークに組み込まれていました。そのため、開発者は新しいアプリを作成という自分の職務に専念できます。セキュリティは追加する必要のあるステップではなく、既に組み込み済みでした。このセキュリティ手法では、セキュリティが障壁からイネーブラーに変わったのです。

次に、このアプローチを拡張した事例についてお話しします。アプリケーションでは、API 間およびマシン間の通信が組み込まれることが多くなっています。ほとんどの組織は、マシン間、API 間、ソフトウェア間の通信のセキュリティにはそれほど注意を払っていません。API 全体をまとめてリンクし、アプリケーションが Web またはユーザーと対話する場合にのみセキュリティラッパーを追加します。

しかし、API レイヤーでセキュリティが確保された通信を構築することができれば、これらの API を使用するアプリケーションにとって大きな利点になります。セキュリティは、送受信用の API に有効なソフトウェアに組み込まれます。より徹底的にセキュリティが確保された状態で、アプリケーションをより迅速に展開できます。

この場合の基本原則は、ビジネスインフラストラクチャについて検討する際にセキュリティを設計するということです。後日セキュリティを追加(オーバーレイ)するのではなく、インフラストラクチャに統合する必要があります。新しいデータを作成するときには、後でセキュリティ分類を追加しようとするのではなく、そのビジネスの重要性について考える必要があります。アプリケーションを展開するときには、セキュリティが既に組み込まれている必要があります。これは、組織が対応しなければならないセキュリティプラクティスの次の基準です。

これまで以上にアセットベースのリスク駆動型のセキュリティへの道に一歩踏み出すには、どのようにすればよいでしょうか?

あなたは、セキュリティをビジネスのファブリックに直接統合したいと考えるでしょう。インフラストラクチャではなくビジネスプロセスの調査を始めてください。プロセスのさまざまなステップ間で交換されているデータを確認して、それぞれのステップでそのデータの一部が失われた場合のビジネス上の潜在リスクを評価します。次に、プロセスに携わる人、通信の各段階で必要な認証、そしてそれらの通信で必要な制限と制御について適切なセキュリティコントロールを設けます。ビジネス・プロセス・レイヤーのセキュリティについて考えることができれば、その下のインフラストラクチャレイヤーに移動すると、状況がよりわかりやすくなります。

また、セキュリティとアプリケーション開発のドメインをより緊密に統合したいと考えています。セキュリティは全員の仕事であるとよく言われますが、すべての開発者に、セキュリティ担当者になる方法についてトレーニングすることはできません。しかし、先ほど説明したように、セキュリティを組み込んだ新しいアプリケーションを開発しやすくするためのアプリケーションフレームワークを作成することはできます。このプロセスでは、アプリケーションレイヤーのセキュリティ、ユーザーおよびデータアクセス制御メカニズムでどのような追加の能力が必要であるかがわかります。

最後に、CIO や CSO の方に、サイバーセキュリティを次のレベルに引き上げる取り組みを推進する方法について、アドバイスをお願いします。

第一に、クラウドの導入を躊躇してはなりません。クラウドは受け入れる必要があります。実際には、クラウドによって、さらにセキュリティが確保されるだけでなく、ビジネスの俊敏性、収益性の向上や、より迅速な成長が促進されます。

第二に、ゼロ・トラストの原則に従ってください。すべてが潜在的に危険に晒されていると想定し、その想定に基づいてビジネスおよびセキュリティポリシーを導入する必要があります。何かが確実に適切である場合、または何かが確実に不適切である場合を把握できるのは、簡単なケースのみです。セキュリティの世界のほとんどは、その中間のグレーゾーンです。そのため、自分が考えているものごとの危険性を評価し、時間をかけて証拠を収集して、セキュリティに対する姿勢を更新していく必要があります。

第三に、ゲートキーパーの意思決定だけでなく、リスクに関して企業を導く責任を負っていることをご認識ください。ゲートキーパーが担う役割は、ますます大きく、付加価値の高いものになっています。セキュリティ専門家は実際にはリスク専門家です。単にセキュリティリスクについてだけではなく、セキュリティリスクによってビジネスリスクがどのように引き起こされるかということについて特に考える必要があります。そうすることで、ビジネス戦略やビジネス戦術と同様に、企業のセキュリティ戦略やセキュリティポリシーがわずかでも確実に違っていきます。

関連する CIO のコンテンツ