米国本部ブログ: 4 Pieces of a Zero Trust Approach to Cybersecurity
私が、CompTIAで最初に取り組んだ調査の一つに、第9年次の情報セキュリティ動向調査があります。2012年2月に発表されたものですが、だいぶ昔のことのようです。時間を経て非常に多くの変化がありましたが、当時でさえ不朽の動向がありました。当時、71%の企業がサイバーセキュリティを次年度の最優先事項とし、テクノロジー優先リストのトップに位置づけていました。ヒューマンエラー(人為エラー)は、すべてのセキュリティインシデントの半数以上の根本原因として挙げられ、テクノロジー主導のワークフォースに伴う課題が浮き彫りとなりました。また、74%の企業が、IT機能とビジネス機能の両方が協力して新しいセキュリティポリシーを形成し、セキュリティは孤立したIT活動から、より広範なビジネス的要素に移行すると述べていました。
この調査には、過去10年間のCompTIAのセキュリティ分析のメインテーマとなる「種」も含まれていました。それは、テクノロジー、プロセス、教育といった今日のセキュリティの取り組みにつながっています。このセキュリティアプローチの変化は、戦術的ITから戦略的ITへの変化に一致します。企業がデジタル化するにつれ、テクノロジーは組織全体に広がり、サイバーセキュリティはより複雑になります。テクノロジー、プロセス、教育の3つの主要な要素は、出発点に過ぎません。それぞれの領域下はより詳細で、それゆえ、企業は専用のセキュリティチームを構成したり、セキュリティパートナーと協業したりすることができるのです。
最近、今日のセキュリティに適切な定義を提供する新しいフレームワークが登場しました。ゼロトラストアプローチは、その名の通り、既知の場所から発信されたという理由だけで個々のユーザーやネットワークアクティビティを信頼するのではなく、すべてを検証するべきというものです。この検証の必要性は、さまざまなアクティビティを推進し、最終的にはセキュアペリメーターに関する古いマインドセットへの最後の一撃となるものでしょう。CompTIAの最新のセキュリティ調査では、現在ゼロトラストアプローチを採用していると答えた企業はわずか22%でしたが、その数字は今後数年間で急速に増加するでしょう。ここでは、ゼロトラストフレームワークの4つの主要な原則を見てみましょう。
リスク分析
セキュアペリメーターがあれば、リスク分析の必要性はほとんどありませんでした。企業アクティビティのすべては、ファイアウォール内です。今では、ほとんどのアクティビティは、クラウドインフラであろうとモバイルアクセスであろうと、企業が管理するエリア外で行われています。企業は、モノリシック(一枚岩的)なセキュリティ構造に投資する代わりに、コンポーネントを個別に保護する必要があり、そのための高度なセキュリティのコストは法外に高くなる可能性があります。その解決策は、最もクリティカルなものを判断するため詳細なリスク分析であり、非常に厳しいセキュリティが必要となります。この分析は、ITの外部にまで適用することができるため、外部とのリレーションや日常業務を見ることができます。リスク分析はセキュリティ戦略を作るための出発点ですが、これまでのやり方から大きく逸脱するため、多くの企業はISACAで概説されているような方法論の手順を確認するといったことが必要となります。
データ保護
リスク分析が実行された後、次のステップは企業データを直接保護することです。ファイアウォールはオンプレミスのセキュリティ構造の一部として残りますが、移動し得るすべての場所においてデータを保護することはできません。データ損失防止(Data Loss Prevention)ツールは、ファイアウォールに相当します。これらツールは、データセットに直接関連付けられ、データが停止中、移動中、使用中の疑わしいビヘイビアを監視します。データ自体に重点が置かれますが、個々のアプリケーションがクラウドに移行する場合は、それらも保護される必要があります。独自のアプリケーションを構築およびカスタマイズしている企業は、DevSecOpsのプラクティスを実施することで、セキュリティをあらゆる開発活動に確実に組み込むことができます。
ID管理
ファイアウォールだけでは全データを保護するのに十分ではないのと同様に、ユーザーアクセスの制御も十分ではありません。ユーザーに関しては、余分な欠点もあります。ヒューマンエラーが大きな問題であるため、セキュア領域に入れる可能性のある人々を信頼することが難しくなります。アイデンティティアクセス管理(Identity Access Management)ソフトウェアは、マルチクラウド環境全体でユーザーアクティビティを微調整するために必要な制御と監視を提供します。もちろん、テクノロジーはすべての見落としを拾えるわけではありません。セキュリティ意識向上トレーニングの目標は、従業員に教育が行き渡ること、最終的にはテクノロジーを使うすべての人たち(昨今ではほぼすべての人ですが)のベストプラクティスを構築することなのです。
継続的な監視
強固な戦略があっても、企業はそれに満足していてはいけません。サイバーセキュリティの古い基準は、侵害発生の有無であったかと思いますが、今日の環境では、悪いことが絶えず起こっていると想定する必要があります。防衛戦略の新しい要素は、異常なビヘイビアを探すためにネットワーク分析を行うことです。また、脆弱性をテストするための新しい攻撃戦略もあります。このすべての情報をまとめるのは大変な作業です。セキュリティ情報イベント管理(Security Information Event Management)ツールは、セキュリティアクティビティのダッシュボードを提供します。また、AIアルゴリズムを使用し、複雑性をふるいにかけ、疑わしいアクティビティを見つけることができます。
ゼロトラストフレームワークはより形式化されており、NISTなどの組織が詳細な方法論を説明しています。特定の方法論に従うか否かにかかわらず、ゼロトラストの考え方は今日のデジタルオペレーションを保護するために必要な決定を形作る上で有効です。この新しい考え方は劇的であると感じるかもしれませんが、企業は万全の準備をするため、引き続き内部および外部リソースの融合を追求するでしょう。2012年以来、サイバーセキュリティは長い道のりを歩んできましたが、まだ先に長い道のりがあります。
CompTIAの最新の調査 State of Cybersecurity 2020(サイバーセキュリティの現状)では、企業におけるサイバーセキュリティへの取り組みを知ることができます。リサーチ(英語)のダウンロードはこちらから。