リモートワークへ移行したことでのIAMの難しさ
リモートワークへ移行したことでのIAM(IDおよびアクセス管理)の難しさについて書きます。
新型コロナウイルス感染拡大の影響で、企業がリモートワーク、もしくはテレワークを導入しました。リモートワークへ移行したことで、企業においては、仕事で労働者(従業員や会社員等)が、個人用デバイスを使用することを禁止しているところもありましたが、新型コロナウイルス感染拡大の影響で、これが減少。企業のファイアウォールの外側で仕事をする労働者の増加、不要なデータにアクセスできる労働者の数が多すぎるなどにより、新たな管理とセキュリティの課題が追加されることになりました。
新たな管理とセキュリティの課題が追加されたことで、企業のITチームとセキュリティチームは、IAM(IDおよびアクセス管理)の問題解決に重点を置くようになりました。しかし、企業においてIAMは難しい。そして、IAMは、ITチームとセキュリティチームの作業負荷の増加をもたらしています。
企業は、在宅勤務の増加により、生産性を犠牲にすることなく労働者(従業員や会社員等)をオフィスの外で安全に保つための解決方法を探す必要がある。
2021年以降のサイバーセキュリティにおいて最も影響力のあるテクノロジー
2021年以降、サイバーセキュリティにおいて最も影響力のあるテクノロジーについて書きます。
・パスワードレス認証
ユーザーがパスワードなどを入力せずに、コンピューターシステムにログインできる認証方法。一般的な実装では、ユーザーが公開識別子(ユーザー名、電話番号、電子メールアドレスなど)を入力し、安全な証明を提供して認証プロセスを完了するように求められるもの。
・クラウド・ワークロード・プロテクション・プラットフォーム(クラウドワークロード保護プラットフォーム)
クラウドワークロードとは、クラウド上のアプリケーションが必要とするコンピューティング、ストレージ、ネットワークの機能。
クラウド・ワークロード・プロテクション・プラットフォーム(Cloud Workload Protection Platform (CWPP))は、IT分野を中心とした調査・助言を行う企業であるガートナー(https://www.gartner.com/en)が作った造語で、パブリック(公共)、プライベート(個人的)、またはハイブリッド・クラウド環境に展開されるワークロード(機能等の原子単位と、それを実行するために必要なもの)のニーズに合わせたセキュリティを提供するように設計されているものです。クラウドネイティブに保護するために設計されたセキュリティ戦略。
クラウド・ワークロード・プロテクション・プラットフォーム・ツールは、クラウドベンダーの防御を迂回する攻撃からクラウド内の資産を保護することで、責任の共有を支援します。また、自社運用とクラウドのワークロード(機能等の原子単位と、それを実行するために必要なもの)を包括的かつ統合的に可視化し、全体的なリスクを低減し、脅威の検知と対応を強化することができます。
・クラウド・セキュリティ・ポスチャー・マネジメント(クラウドセキュリティ姿勢管理)
クラウド・セキュリティ・ポスチャー・マネジメント(Cloud Security Posture Management,CSPM)(クラウドセキュリティ姿勢管理)とは、"サイバー攻撃が成功する可能性を減らすための、クラウド・セキュリティの改善と適応の継続的なプロセス(過程)"といった定義がある。
コンプライアンスの監視、リスク評価、リスクの可視化などをツールを使用し、構成が安全でコンプライアンスに適合しているかどうかを判断する。
なぜ判断するのかという理由のいちばんは、「可視性の欠如」です。一般的な企業が利用している複雑で流動的なクラウド環境では、何十万ものインスタンスやアカウントが存在し、誰がどこで何を実行しているかを把握することは、高度な自動化によってのみ可能で、自動化をしていない場合は、設定ミスによる脆弱性が数日から数週間、あるいは侵害が発生するまで検出されることはない。このことから、クラウド・セキュリティ・ポスチャー・マネジメント(クラウドセキュリティ姿勢管理)で、クラウドにおけるリスクを継続的に監視することで、これらの問題に対処します。
■最後に
これらは、今後3年以内にサイバーセキュリティにおいて最も影響力のあるテクノロジーになると予想されているものです。クラウドというものが企業において、無視できないものになっているし、クラウド・セキュリティの重要度が増している。
データ侵害を阻止するCloud WAF(クラウドWAF)
データ侵害を阻止するCloud WAF(クラウドWAF)について書きます。
WAFとは「Website Application Firewalls(ウェブサイト・アプリケーション・ファイアウォール)」の略語です。サイバー攻撃者(犯罪者)、ハッカーや悪意のあるユーザーをブロックし、ウェブサイトのトラフィックを傍受・監視するソフトウェアのことです。
サイバー攻撃者(犯罪者)、ハッカーや悪意のあるユーザーによるデータ侵害は、すべて企業において懸念事項です。データ侵害が発生すると、顧客の信頼の低下、ビジネスの損失、およびブランドの評判の低下に繋がります。
そのため、世界の「Website Application Firewalls(ウェブサイト・アプリケーション・ファイアウォール)」市場は成長しており、特に大企業向けソリューションが増加すると予想されている。
Cloud WAF(クラウドWAF)を利用する場合は、保護するアプリケーションの種類によって異なり、求める運用や機能の種類によって様々なCloud WAF(クラウドWAF)が存在するので、それぞれのCloud WAF(クラウドWAF)を個別に検討し、予算内で要件に最も適したソリューションを選択するのが良い。
ホームオフィスのサイバーセキュリティ
ホームオフィスのサイバーセキュリティについて書きます。
ホームオフィスとは、自宅を仕事場にすること(自宅のオフィス化)。
新型コロナウイルスの感染・流行により、自宅とオフィスの境界が曖昧になっています。サイバー犯罪者(攻撃者)たちは、ホームオフィスが格好の標的であることに気付き、また、企業ネットワークへのアクセス可能なゲートウェイ(中継する役割)であることを知っています。
注意したいのは、新型コロナウイルスの流行の終息はまだ先であり、今後も自宅のインターネット接続を利用して業務を行うことが予想され、インターネット接続を行う際に使用する、家庭用ルーターの多くは、高度なセキュリティ機能が搭載されておらず、パッチも当てられず、旧式のままとなっていることがあります。このことにより、ホーム(自宅)ネットワークへの攻撃が増加する恐れがあります。結果として、データ漏洩などが起こる可能性がある。
また、サイバー犯罪者(攻撃者)は、自宅のネットワーク機器を介して、他のより高い目標(企業・組織)へのアクセスを試みる。他にも、家庭用ルーターや接続されたIoT(Internet of Things)スマートデバイスへの悪用も試みることが可能となっています。
さらに、自宅で仕事をする従業員・会社員が増加することで、サイバー犯罪者(攻撃者)はパソコンの脆弱性、特にソフトウェアとオペレーティングシステムに注目し、そこを狙ってくる可能性はじゅうぶんに考えられる。
しかしながら、企業が適切なセキュリティ設定、企業向けのマルウェア対策をじゅうぶんに行っているかといえば疑問である。ましてや、在宅勤務のスケジュールに従う人が増加すると、従業員は利便性のためにサイバーセキュリティのショートカットを使用する傾向がある。また、個人の生活(私生活)と職業的な生活の間が曖昧な境界線となることで、機密情報がサイバー犯罪者(攻撃者)、悪意のある人の手に渡るリスクを高めるので注意したい。
そのため、セキュリティ対策を含む強固なガバナンス(管理体制)とアクセス制御ポリシーの作成は重要である。
クラウドストレージサービスはどのように機密データを守るか
クラウドストレージサービスはどのように機密データを守る(保護)するかについて書きます。
・プライベート暗号化,ゼロ知識暗号化(ゼロ知識証明)
プライベート暗号化というのは、あなた以外の人がデータを読むことができないようにするものです。あなただけがその鍵(キー)を持っているので、あなたが利用するサービスはあなたのデータにアクセスすることは不可能。
プライベート暗号を使用するプロバイダーの場合は、顧客のパスワードのコピーをどこにも保存していない。技術的には複雑であるが、パスワードを渡しサービス側がそれを確認するのではなく、パスワードを知っているという証拠を渡す。
セキュリティを重視するのであれば、「ゼロ知識暗号化」が最適であるが、クラウド・ストレージ・サービスがゼロ知識暗号化を提供している場合に、それだけで自動的に安全なクラウド・ストレージ・プロバイダーになるわけではない。クラウドセキュリティには、単にパスワードを隠すだけではなく、サーバーの暗号化が必要となる。怠れば、サイバー犯罪者(攻撃者)が無理やり侵入することも可能。
・保管中および転送中の暗号化
保管中および転送中のデータを暗号化するために用いる暗号化アルゴリズムには、古いものではDES、新しいものではBlowfishやAESなどがある。最新のAESが最も安全といえる。
AESの256ビットは最も安全ですが、誰もその実装を解読できていません。これらは通常、静止状態で使用される。
クラウドストレージサービスでは、転送時にTLSプロトコルを使用して、ファイルを盗むことから保護する傾向がある。TLSは、暗号、認証、鍵交換を用いて2台のマシン間でハンドシェイク(データの伝達など以外に行われる通信)を行うことで、安全な接続を確立する。
多くのサービスが十分なレベルの暗号化を提供しており、TLSプロトコルを使用しています。
・二要素認証(2FA)
二要素認証は、ハッカーに認証情報を盗まれるのを防ぎたい場合に役立つ。
・ランサムウェア対策
クラウドストレージソリューションでは、多くの企業がランサムウェア対策としてバージョニング(バージョン管理)を採用している。バージョニング(バージョン管理)では、ファイルの複数のコピーが時間をかけて保存。ランサムウェアに感染した場合、まずランサムウェアを削除するか、ドライブを再フォーマットする必要があり、感染する前の最新バージョンのバックアップを復元することが可能。
クラウドインフラストラクチャのセキュリティを脅かす原因は可視性の欠如と不十分なIAM
クラウドインフラストラクチャー,インフラのセキュリティを脅かす主な要因として、可視性の欠如と不十分なIAM(IDとアクセス管理)であるという記事が公開されていることについて書きます。
アメリカ合衆国のIT分野に特化した調査サービスである「IDC」の調査によると、過去18ヶ月間に少なくとも1回のクラウドデータ侵害を経験した企業は、昨年の79%に比べて98%に達しているという調査結果が出ている。
また今回の調査結果で気になったのは、回答者の63%が、自社の組織でクラウド上に機密データを公開しており、クラウドインフラストラクチャー,インフラの年間予算が5,000万ドル以上の企業では、この数字が85%までになるということで、アメリカではクラウド上に機密データを公開するのが当たり前になってきていることが伺える。
さらに、IDCの今回の調査に参加した200名のCISO(最高経営責任者)やその他のセキュリティ関連の意思決定者によると、約60%の企業が、可視性の欠如、不十分なIAM(アクセス管理及びアイデンティティ)を、自社のクラウドインフラにとっての大きな脅威して考えていることがわかった。
大きな脅威を取り払う、効果的なクラウドインフラストラクチャー,インフラのセキュリティ戦略は、リスクから保護するために、アイデンティティ(ID管理)、パーミッション(アクセス権)、エンタイトルメント(権利の付与)に焦点を当てる必要がある。これらは当たり前のことではあるが、企業の退職者や契約社員、アルバイトなどに付与したIDを削除せず、そのIDが使える状態で放置されている場合もあるので、徹底した管理が必要である。
しかし、多くの企業は、クラウド・セキュリティのニーズに対応するために市販、もしくは無料のクラウド・プロバイダーのツールを使用していることがほとんどであり、これらのツールは詳細な可視性と分析機能を備えておらず、人やコンピュータのアイデンティティ(ID管理)に付随する権限を把握し解明することができない。さらには、問題を大規模に修復し、最小の権限を実装するために必要な自動化もできないので、セキュリティに対するトレーニング、スキルを磨くことは必要である。また外部(セキュリティ専門家)からのアドバイスも受ける必要があると考える。
サイバーセキュリティアウトソーシング
今回は、サイバーセキュリティアウトソーシングについて書きます。
中小企業にとって、セキュリティを維持するために何が必要かを知り、計画を立てることは、重要です。また、サイバー攻撃は増加しており、中小企業にとっては、増大する脅威から身を守ることが極めて重要である。小さな侵害であっても、問題の調査と解決に時間と費用がかかるため、経済的に不利な状況に陥る恐れがある。
増大する脅威から身を守るは重要ではあるが、サイバーセキュリティの分野では、有益なサービスが数多く提供されており、その中から技術を理解していない企業がサービスを選択するのは、とても分かりにくく面倒です。このような場合に、サイバーセキュリティをアウトソーシングするという選択をとることで、脅威から身を守ることができます。
サイバーセキュリティをアウトソーシングすることで、仮にクラウドの導入、監視、セキュリティを行う場合には、中小企業の社内のチームで対応するよりも、サイバーセキュリティ・サービスの方が、時間、スキル、専門性の面で優れた対応ができます。また、フルタイムのスタッフ(人材)を雇ったり、雇用した場合に発生する多額の月給を支払う必要がなくなるかもしれません。人件費削減。
さらに、社内にセキュリティチームを持っている場合は、サイバーセキュリティをアウトソーシングすることで、ITセキュリティに関するより戦略的な助言(アドバイス)、もしくは、サイバー攻撃からの防御方法に関する戦略的なアドバイスを得ることができます。
