これからのセキュリティのために理解/克服するべき4つの違いとは?

[2019/08/22 08:00]冨永裕子 ブックマーク ブックマーク

理解するべき4つの違い

では、具体的にこれまでとはどんな違いがあり、どのように克服するべきなのか。順に見ていこう。

1. 方向性の違い

これまでのセキュリティの方向性が「ゼロにするかあきらめるか」だとすると、これからのセキュリティは「枠の中に収める」となる。リスクをゼロにするという考え方は、防御か利便性かの二者択一の思考になりやすい。実は、前者はセキュリティ担当者よりも経営層がつい選択してしまう思考である。セキュリティ担当者は「リスクをゼロにするのではなく、小さくする」という思考に、経営層やユーザーを誘導しなければならない。この思考自体は目新しいものではないが、ジレンマから脱するには不可欠なものだという。

2. 前提の違い

「これまでのセキュリティ対策は『持ち出し』『接続』『アクセス』という3つの自由を奪うことではなかったか」――矢野氏はこれまでのセキュリティについての問題提起を行った。デジタル・ワークプレースのセキュリティは、ユーザーから奪ったこれら3つの自由を取り戻す活動でなくてはならない。「外でも使う」「ネットワークに繋がる」「いつでもどこでも使える」が前提になると、これまでのルールは役に立たないため、全く新しいルールを作る必要がある。

3. ルールの違い

ではどうやって新しいルールを作ればいいのか。今までのルールは「禁止」から始まっていたため、一度決めたルールをなかなか変更できないという問題があった。新しいルール作りでは、禁止ではなく、「許可」することを決めることが肝要だと矢野氏は説く。

とは言え、何でもかんでも許可してはならない。そして、ユーザーがルールに従っているかどうかを監視することも必要だ。さらには、常に変動するリスクの監視も必要になるという。これはリスクの変化に応じて、ルールの強弱を調整する新しい能力がセキュリティ担当者に求められるということである。「セキュリティルールの柔軟な変更を許容することこそが、新しいセキュリティのあり方」だと矢野氏は強調した。

4. ツールの違い

ユーザーのモニタリングではツールが必要になる。防御に立脚していた今までのツールではなく、新しいセキュリティツールで継続的なモニタリングを行わなくてはならない。今までは一度設定したら後は放置していてもよかったかが、これからはそうはいかない。今のルールが適切かどうかを判断しなくてはならない分、セキュリティ担当者にはこれまでよりも複雑なルールの運用が求められるであろう。「可視化ができる」とうたうツールが増えているのは、時代の流れと目的に即していると矢野氏は評し、単にユーザーの行動を見るだけではなく、適切なアクションをとることが重要になると指摘した。

新しいセキュリティを特徴付ける2つのキーワード

4つの違いを克服する新しいセキュリティを整理したものが以下の図である。

デジタルワークプレースのセキュリティ/出典:ガートナー(2019年8月)

上段が「禁止するセキュリティ」、下段が「許可するセキュリティ」である。許可するセキュリティのプロセスには「Least Privilege」「+調整」という2つの新しい言葉がある。それぞれについて見ていこう。

1. Least Privilege

Least Privilegeは、日本語では「最小権限」と訳される。前述した通り、許可するセキュリティとは、「フルアクセス」「フルコントロール」を許すことではない。「このユーザーができることはここまで」と、許可の範囲をセキュリティ担当者が決めることである。これは禁止するセキュリティでは必要のなかった概念だ。

Least Privilegeが防御の前にあるのは、順番を逆にすると、ユーザーができる範囲が狭められてしまうからだ。防御策の前に、ユーザーがどこまで何を使うかを決めることができれば、利便性を確保できる。そして、その環境に必要な防御策、その先の検知/対応に進むことができる。

2. +調整

「『検知/対応』という言葉は同じだが、中身は変わる」と矢野氏は注意を促す。今まではインシデントの検知や対応という意味で、検知/対応を理解していたかもしれないが、許可するセキュリティでの検知には、インシデントの検知以外に、「セキュリティの強弱を付けること」が加わっているのだという。意味するところが異なるため、「+調整」と記述したと矢野氏は説明した。

先の図を見ると、今までのセキュリティを適用してはいけない理由がよくわかる。大変になると思ったセキュリティ担当者もいるかもしれないが、この順番で実践することでジレンマから解放される道筋が見えてくる。「『セキュリティと利便性のバランスが取れない』を言い訳にするのはやめよう」と矢野氏は呼びかけ、決してあきらめる必要はないことを訴えた。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

もっと知りたい!こちらもオススメ

これからの企業に必要なのは「リスクベース認証」- RSA幹部の見解

これからの企業に必要なのは「リスクベース認証」- RSA幹部の見解

「DX時代に合わせたデジタルリスク管理には、これまでとは異なったアプローチが求められる」――そう語るのは、米RSAでシニアバイスプレジデント兼製品担当を務めるグラント・ゲイヤー氏だ。では、どのような対策を講じればよいのか。7月16日からシンガポールで開催された「RSA Conference 2019 Asia Pacific & Japan」で、ゲイヤー氏と…

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
知りたい! カナコさん 皆で話そうAIのコト
対話システムをつくろう! Python超入門
Kubernetes入門
AWSで作るクラウドネイティブアプリケーションの基本
PowerShell Core入門
徹底研究! ハイブリッドクラウド
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る