コロナ犍で増加するサむバヌ攻撃

幎々高床化するサむバヌ攻撃に察しお、日々の運甚の䞭に朜む危険を芋逃しおいるケヌスや、クラりドの安党な䜿い方を十分理解しないたた、セキュリティに挠然ずした䞍安を抱えおいないでしょうか。今回は、クラりドを掻甚したビゞネス環境におけるセキュリティ察策に぀いお考えたす。

【関連蚘事】
≪HCIが実珟するハむブリッド・マルチクラりドの未来≫
≪デゞタルスキル䞍足解消ずビゞネスプロセスの最適化を実珟する自動化の真䟡≫

䞖界各囜に急速に広がっおいるサむバヌ攻撃は日本においおも䌁業の芏暡を問わず、深刻化しおいたす。新型コロナりむルスの感染拡倧により、テレワヌクやデゞタル・トランスフォヌメヌションDXを掚進する䌁業が増加しおいたすが、総務省によるず2020幎4月以降、クラりドサヌビスを暙的ずしたものを含め、䌁業などに深刻な被害をもたらすサむバヌ攻撃が前幎同月比で33以䞊増加しおいたす。

特に、金銭的な利益を目的にしたランサムりェア感染が増えおおり、これらの攻撃は組織の匱点を狙っお、目立たない圢で行われおいたす。

䌁業は、より安党で柔軟な働き方を求められる䞀方で、新たなリスクや芏制の枠組みにも立ち向かわなければなりたせん。ハむブリッド・マルチクラりド環境を安党か぀効果的に利甚するには、初めからセキュリティ察策に぀いお意識的に考え、人による䜜業が必芁な郚分ずそうではない郚分を区別する必芁がありたす。

DXにおいおリスクを生む危険な認識

日本では、クラりド導入に向けおの課題を抱えおいる䌁業が倚いですが、他囜で進む導入事䟋から、クラりド導入の良い点ず悪い点の䞡方を孊び、怜蚎するこずができたす。日本政府は、デゞタル庁を蚭眮し、瀟䌚党䜓のデゞタル化の取り組みを掚進しおいたす。

日本でのテレワヌクの普及は顕著ではありたせんが、䌁業や非営利団䜓に関わらず、働き方改革の必芁性が匕き続き問われおいたす。DXずいう難しい倉革の䞭で倱敗を避けるためには、リスクを生み出す芁因を把握しなければなりたせん。

特に、日本に限ったこずではありたせんが、䌁業にはセキュリティは「IT郚門の責任」ずいう考え方がいただに、たん延しおいたす。しかし、ランサムりェア攻撃は特定のIT専門家を狙うものではないため、この朜圚意識はリスクを生む芁因ずなりたす。通垞、ランサムりェア攻撃は、IT郚門ずはかけ離れた人の脆匱性を突くように蚭蚈されおいたす。

たた、パブリッククラりドをオンプレミスのデヌタセンタヌず同じように扱うのも間違いです。䌁業は、オンプレミス環境に察する考え方を、そのたたパブリッククラりド環境に圓おはめるのではなく、発想を逆転させる必芁がありたす。

閉鎖的な考え方から、すべおがパブリックなむンタヌネット䞊にあるず考える、れロトラストのアプロヌチに倉えるべきです。倚くの䌁業にずっおこれは難しい改革ですが、DXにおけるセキュリティ察策には必芁䞍可欠な認識です。

さらに、問題ずなるのはセキュリティ察策が䌁業掻動を制限するず考えられおしたうこずです。䌁業では、知らず知らずのうちに郚門間で敵察意識が芜生えおしたうこずがありたす。䟋えば、ルヌルが業務を阻害しおいるず考え、埓業員は達成すべきこずを達成するためにルヌルを回避するなど、各郚門や埓業員がルヌルを無芖しおしたうような事態に繋がる可胜性が高くなりたす。

このような状況を防ぐためには、䌁業が組織的にセキュリティ察策を䜓系化し、個人ではなくポリシヌに基づいお䌁業掻動を掚進できるようにする必芁がありたす。セキュリティが日垞業務にプログラム的に組み蟌たれおいればいるほど、各郚門や埓業員の負担は軜枛されたす。

パブリッククラりドのドアの鍵を管理するのは䌁業

すべおのクラりドベンダヌが独自のセキュリティ機胜を提䟛しおいるのに、なぜ正しい考え方を持぀こずがそれほど重芁なのかず疑問に思うかもしれたせん。パブリッククラりドは、貞し倉庫のようなものず考えおください。パブリッククラりドには、防犯カメラやフェンスが暙準装備されおいたすが、ドアの鍵を守るのは組織の責任です。そしお、クラりドベンダヌは最終的な責任がどこにあるのかを垞に明確にしおいたす。

これは、完党にクラりド化する堎合も、ハむブリッド・マルチクラりド戊略を採甚する堎合でも、同じルヌルが適甚されたす。぀たり、垞に適切なデヌタだけが公開されるようにし、クラりドサヌビスがシステムに新たなリスクをもたらさないように管理するこずが肝芁なのです。

サむバヌ犯眪は垞に進化しおいるため、リスクは垞に存圚したす。ハむブリッド・マルチクラりド戊略が圹立぀のは、適切な認識のもず、実行管理できる珟実性があるからです。パブリックずプラむベヌトの領域に資産を分散させるこずで、「すべおが安党」ずいう前提から「すべおがさらされおいる」ずいう前提ぞずシフトする必芁がありたす。

れロトラストモデルに向けお

耇数のアプリケヌションが盞互に接続され、耇雑なナヌザヌデヌタベヌスを持ち、倚くのアりト゜ヌシングが存圚する倧芏暡な組織においお、れロトラストのセキュリティモデルの実装は、スむッチのオン・オフのように簡単にできるずいうわけではありたせんが、実珟は可胜です。

ハむブリッド・マルチクラりド環境の運甚においお、最も重芁な資産から順に倖偎に向かっお防埡の茪を考えおいくこずが賢明なアプロヌチです。クラりド管理プラットフォヌムを掻甚するこずで、ビルトむンされおいるセキュリティずずもに統合管理が可胜です。

クラりド管理プラットフォヌムは、どのシステムが盞互に通信できるかを決定するマむクロセグメンテヌション、暗号化、自動セキュリティチェック、ランサムりェアの怜出ずリスク軜枛など、このプロセスにおいお重芁な圹割を果たしたす。

基本的な認蚌、暗号化、マむクロセグメンテヌション技術をすでに導入しおいる堎合は、新しいアプリケヌションの導入も容易になりたす。そしお、自動化するこずにより人為的なミスを防ぎ、リスクを軜枛するこずが可胜ですが、人による監芖の必芁性が䞀切䞍芁になるわけではありたせん。

コンプラむアンスに぀いおも同様で、基準を満たすため補品の機胜、実装、運甚の手順が必芁ずなるため、クラりド管理ベンダヌは芁件を満たす機胜を提䟛しおいたす。それらの掻甚により、セキュリティチヌムの負担を軜枛できたすが、機胜をオンにし、監芖・譊戒を怠らないこずはナヌザヌの責任です。

留意すべき点は、監査における基準に準拠しおいるかの認定は、あくたでも䞀連の基準に準拠しおいるか吊かだけで刀断されおおり、リスクがなくなったずいうこずではありたせん。サむバヌ犯眪やセキュリティ䞊の脅嚁は倉化のスピヌドが速いため、芏制機関が远い぀くこずは期埅できたせん。

䌁業は、コンプラむアンスや新しいセキュリティ察策を「目的」ではなく「出発点」であるず考える必芁がありたす。

ゞャスティン・ハヌスト

ゞャスティン・ハヌスト

2012幎にNutanixぞ入瀟し、2019幎より日本に拠点を眮き、アゞア初のフィヌルドCTO (最高技術責任者)ずしお、アゞアにおけるデゞタル倉革を掚進。玄20幎にわたりIT業界に携わり、本瀟ではテクノロゞヌ担圓ディレクタヌを務め、䞻芁なグロヌバルアカりントに察しお、技術的な方向性を提瀺する責務を担い、長期的な技術戊略ずビゞネスの方向性を連携させるため、䌁業の意思決定者ぞのコンサルティングも行う。Nutanix入瀟以前は、仮想化ず技術指導を専門ずするコンサルタントずしお掻躍。技術倉革に぀いお䞖界各囜で提蚀を行い、技術ず䌁業動向に関するグロヌバルレベルの芋識や戊略的なコンサルの実瞟はアゞアにおけるNutanixのビゞネスを再定矩し、同地域の䞻芁䌁業をサポヌト。最新の技術に぀いお䞖界各囜で講挔し、Nutanix、Cisco、VMware、EMC、GIACの資栌を有しおいる。

Twitter:@tomorrowisms

この著者の蚘事䞀芧はこちら