これからのセキュリティのために理解／克服するべき4つの違いとは?

理解するべき4つの違い

では、具体的にこれまでとはどんな違いがあり、どのように克服するべきなのか。順に見ていこう。

1. 方向性の違い

これまでのセキュリティの方向性が「ゼロにするかあきらめるか」だとすると、これからのセキュリティは「枠の中に収める」となる。リスクをゼロにするという考え方は、防御か利便性かの二者択一の思考になりやすい。実は、前者はセキュリティ担当者よりも経営層がつい選択してしまう思考である。セキュリティ担当者は「リスクをゼロにするのではなく、小さくする」という思考に、経営層やユーザーを誘導しなければならない。この思考自体は目新しいものではないが、ジレンマから脱するには不可欠なものだという。

2. 前提の違い

「これまでのセキュリティ対策は『持ち出し』『接続』『アクセス』という3つの自由を奪うことではなかったか」――矢野氏はこれまでのセキュリティについての問題提起を行った。デジタル・ワークプレースのセキュリティは、ユーザーから奪ったこれら3つの自由を取り戻す活動でなくてはならない。「外でも使う」「ネットワークに繋がる」「いつでもどこでも使える」が前提になると、これまでのルールは役に立たないため、全く新しいルールを作る必要がある。

3. ルールの違い

ではどうやって新しいルールを作ればいいのか。今までのルールは「禁止」から始まっていたため、一度決めたルールをなかなか変更できないという問題があった。新しいルール作りでは、禁止ではなく、「許可」することを決めることが肝要だと矢野氏は説く。

とは言え、何でもかんでも許可してはならない。そして、ユーザーがルールに従っているかどうかを監視することも必要だ。さらには、常に変動するリスクの監視も必要になるという。これはリスクの変化に応じて、ルールの強弱を調整する新しい能力がセキュリティ担当者に求められるということである。「セキュリティルールの柔軟な変更を許容することこそが、新しいセキュリティのあり方」だと矢野氏は強調した。

4. ツールの違い

ユーザーのモニタリングではツールが必要になる。防御に立脚していた今までのツールではなく、新しいセキュリティツールで継続的なモニタリングを行わなくてはならない。今までは一度設定したら後は放置していてもよかったかが、これからはそうはいかない。今のルールが適切かどうかを判断しなくてはならない分、セキュリティ担当者にはこれまでよりも複雑なルールの運用が求められるであろう。「可視化ができる」とうたうツールが増えているのは、時代の流れと目的に即していると矢野氏は評し、単にユーザーの行動を見るだけではなく、適切なアクションをとることが重要になると指摘した。

新しいセキュリティを特徴付ける2つのキーワード

4つの違いを克服する新しいセキュリティを整理したものが以下の図である。

デジタルワークプレースのセキュリティ/出典：ガートナー(2019年8月)

上段が「禁止するセキュリティ」、下段が「許可するセキュリティ」である。許可するセキュリティのプロセスには「Least Privilege」「＋調整」という2つの新しい言葉がある。それぞれについて見ていこう。

1. Least Privilege

Least Privilegeは、日本語では「最小権限」と訳される。前述した通り、許可するセキュリティとは、「フルアクセス」「フルコントロール」を許すことではない。「このユーザーができることはここまで」と、許可の範囲をセキュリティ担当者が決めることである。これは禁止するセキュリティでは必要のなかった概念だ。

Least Privilegeが防御の前にあるのは、順番を逆にすると、ユーザーができる範囲が狭められてしまうからだ。防御策の前に、ユーザーがどこまで何を使うかを決めることができれば、利便性を確保できる。そして、その環境に必要な防御策、その先の検知／対応に進むことができる。

2. ＋調整

「『検知／対応』という言葉は同じだが、中身は変わる」と矢野氏は注意を促す。今まではインシデントの検知や対応という意味で、検知／対応を理解していたかもしれないが、許可するセキュリティでの検知には、インシデントの検知以外に、「セキュリティの強弱を付けること」が加わっているのだという。意味するところが異なるため、「＋調整」と記述したと矢野氏は説明した。

先の図を見ると、今までのセキュリティを適用してはいけない理由がよくわかる。大変になると思ったセキュリティ担当者もいるかもしれないが、この順番で実践することでジレンマから解放される道筋が見えてくる。「『セキュリティと利便性のバランスが取れない』を言い訳にするのはやめよう」と矢野氏は呼びかけ、決してあきらめる必要はないことを訴えた。