新着情報

より良いサイバーセキュリティを構築するための4つのステップ(CompTIA米国本部ブログより)

2021/11/05

米国本部ブログ: 4 Steps to Building Better Cybersecurity


trends-in-cybersecurity.jpg

10年前、クラウドコンピューティングがITの世界を一変させたとき、サイバーセキュリティのコミュニティからは明確な結論が出ていました。企業はクラウドソリューションの導入には熱心でしたが、セキュリティへの影響を調べることにはさほど熱心ではなかったのです。ある意味、これはIT業界で長い間繰り返されてきた同じストーリーと言えます。生産性や利便性は、ほとんどの場合セキュリティよりも優先されます。しかし、クラウドの場合、問題はもう少し深いところにありました。クラウドソリューションは、一般的なITアーキテクチャを大きく破壊し、従来のセキュリティ戦略に大きな穴を開けることとなったのです。

10年経った今でも多くの教訓が得られたとは言えません。はじめに、企業はデータ損失防止(DLP)やアイデンティティアクセス管理(IAM)などクラウドの世界におけるサイバーセキュリティのベストプラクティスは遅々として進みません。さらに、サイバーセキュリティを後回しにするという同じパターンが、リモートワークへの移行の際にも繰り返されました。パンデミックはクラウドへの移行よりもはるかに重大な問題でした。しかし、企業がサイバーセキュリティを優先すると言っていることと、実際の行動との間には、依然として乖離があるように思われます。

comptia-2021-state-of-cybersecurity-report_cover-(1).jpgCompTIAのState of Cybersecurity 2021~サイバーセキュリティの現状~レポートによると、サイバーセキュリティの実践に対する不安感が高まっていることがわかりました。全体的に、米国の労働者はサイバーセキュリティの全般的な状況について「悪化している」と感じています。69%が「状況は改善している」と答えていますが、2020年の80%からの下降です。同時に、自社のセキュリティ対策に満足している人は70%で、2020年の82%からの下降となりました。サイバーセキュリティのさまざまな側面に向き合うためには、企業はアプローチ全体を根本から見直す必要があります。

Policy ポリシー
CompTIAの調査では、ポリシーとはサイバーセキュリティに関する企業の考え方や文化を意味します。長年にわたり、考え方や文化は、一箇所にある資産を保護するためのセキュアペリメータに焦点を当てた防御的なものでした。しかし、資産がはるかに分散する今日では、新しいポリシーが必要となります。

ゼロトラストは、クラウド後の多くの活動が準ずる包括的なポリシーとして登場しました。ゼロトラストのアーキテクチャでは、データやアクセス要求の信頼性を前提としません。代わりに、個々のデータは個別に検査され、多くの場合複数回チェックされます。その結果、多要素認証、マイクロセグメンテーション、最小の権限でのアクセスなど、さまざまな活動が行われます。活動そのものよりも、なぜそうした活動が必要なのか(そしてどの程度の投資が必要なのか)という基本的な理解が重要です。

Process プロセス
組織全体でポリシーに賛同が得られたら、次はプロセスに焦点を当てます。プロセスとは、よりセキュアな状態にするための個々の作業のことです。ポリシーへの賛同が重要となる理由の一つは、プロセスの範囲が、過去に対処したことがないほど急速に大きくなる可能性があるためです。

サイバーセキュリティのプロセスには、「広さ」と「深さ」の両方が必要です。「広さ」とは、必要とされるプロセスの数のことです。その範囲は、セキュリティモニタリングや脅威インテリジェンスなどのテクニカルな分野から、従業員教育やリスク管理など非テクニカルな分野まで多岐にわたります。一方、「深さ」とは、各プロセスが必要とする詳細なレベルのことです。例えば、セキュリティモニタリングは、単に既知の脅威を調べるための通知を設定するだけではありません。それには、ネットワークの挙動を長期的に評価し、異常を明らかにする分析も含まれています。

People 人材
言うまでもなく、サイバーセキュリティプロセスの詳細レベルに対処する主な方法は、サイバーセキュリティ専門家に適切なレベルの専門知識を確保することです。塞がなければならない穴があまりにも多いため、すべてのスキルを社内に持ち込もうとする企業はほとんどありません。多くのトレーニングや採用が必要ですが、既存のパートナーの利用拡大や、専門企業との新たな提携も必要になるでしょう。
しかし、これはセキュリティチームの始まりに過ぎません。テクノロジーが組織全体に組み込まれ、サイバーセキュリティが組織の最重要課題となれば、取締役会、ビジネススタッフ、ITスペシャリストなど企業内すべての人がサイバーセキュリティの連鎖の一部を担うことになります。重要なのは、サイバーセキュリティに関するメッセージが、このような異なるグループ全体で一貫していること、そしてあらゆるレベルの懸念に対応するための測定基準が構築されていることを確実にすることです。

Product 製品
サイバーセキュリティパズルの最後のピースは、旧来のアプローチではほとんどの企業が着手していた場所です。かつては、テクノロジーツールが最初の防衛線でしたが、今では人がプロセスを実行するための最終的な材料となっています。

サイバーセキュリティ戦略の他の部分と同様に、強固な防御と攻撃に必要となる製品の範囲も拡大しています。ファイアウォールとアンチウイルスは依然として重要な役割を果たしていますが、他の多くのツールは、パスワードマネージャ、パケットスニファー、セキュリティ情報およびイベント管理(SIEM)ダッシュボードなどの特定の戦術を対象としています。

昨今において、サイバーセキュリティに取り組むことは容易ではありません。企業は戦略的ITへの移行やITアーキテクチャの世代交代などいまだに取り組んでおり、適切なサイバーセキュリティは費用と労力を要する大きな取り組みです。多くの問題を抱えているため、無計画なアプローチはリスクを増大させます。より優れたサイバーセキュリティを構築するための最善な方法は、ポリシー、プロセス、人材、製品のすべてにおいてゼロから構築することです。

State of Cybersecurity 2021~サイバーセキュリティの現状~ は、
こちらよりフルレポートがダウンロードいただけます。