BLOG | OFFICE OF THE CTO

デジタル アズ デフォルト:予期せぬ結果に対処する

Lori MacVittie サムネール
Lori MacVittie
Published September 07, 2021


デジタル トランスフォーメーションの最終目標は、常に「デジタル アズ デフォルト」運用モデルです。私は、最後に誰かが家の玄関先に電話帳を置いたり、新しい映画のDVDを手渡してくれたりしたときはいつだったか思い出せません。新しいゲームをやりたいときは、ゲーム機でストアを利用します。実店舗のゲーム ショップに車で行って、カートリッジを見て回ることはもうありません。アップデートも自動的に配信されます。大好きなテーブルトップRPGでさえ今はデジタルです。誰かの家に遊びに行くのに、本13冊と数ポンドのさいころを持って行く必要はありません。ラップトップさえあればいいのです。

可能性を捨てるわけではありません。なぜなら、それはただのクレイジーな話だからです。

しかし、ビジネスによって提供されるデジタルは増えているため、私たちがデジタルを使う機会が増えているのです。

この1年で、あらゆる業界が必要に迫られて、デジタル トランスフォーメーションの第2段階および第3段階へと急速に進みました。

デジタル アズ デフォルト

第1段階

タスクの自動化

この段階では、デジタライゼーションによって、人間中心のビジネス タスクがさまざまな形で「自動化」されます。つまり、より多くのアプリケーションが、ビジネス フローの一部として導入されたり作成されたりします。これは、効率を向上させるために明確に定義された個々のタスクを自動化することから始まりました。一般的な例は、製品やサービスに関するよくある質問に答えるIVRシステムですが、人間の担当者に引き継がなければならない場合もあります。この段階で、個々のタスクは自動化されていますが、一貫して統合されているわけではありません。

予期せぬ結果:コードの増加

アプリケーションの増加だけでなく、新しいアプリケーション アーキテクチャの結果としてコードも増加します。平均的なiPhoneアプリに必要なコードは5万行以内ですが、Googleでは200万行を超え、ほとんどのアプリはその間くらいになります。そのすべてのコードを維持、更新、保護する必要があり、組織は何年にもわたって複数のアーキテクチャでコード ベースを拡大してきました。現在では5つのアーキテクチャを運用し、COBOLからC、JS、Goまでの3~4種類のコード ベースを使用しています。

これには、組織が「Infrastructure as Code」を採用する際に、JSON、YAML、Pythonの使用が増えていることは考慮されていません。当社の年次調査によると、これは半数を超えており(52%)、AIやMLに挑戦する組織が「モデルとアルゴリズム」をコードとして含める運用方法を採用し始めているため、この割合はさらに増え続けるでしょう。

第2段階

デジタル拡張

企業がクラウドネイティブ インフラストラクチャを活用し、独自のソフトウェアを開発して自動化を推進し始めると、デジタル モデルのスケーリングとさらなる拡張をサポートする新世代のアプリケーションが登場します。この段階の推進要因は、独自の顧客エンゲージメントを差別化または提供するように設計されたアプリケーションの決定に関与するビジネス リーダーです。例えば、医療機関では、患者の記録や請求書と、入退院やスケジュール管理システムを統合するケースが増えています。予約のリマインダーを自動化すると、手動プロセスをなくすことができます。この段階では、エンドツーエンドのビジネス プロセスの改善に焦点を合わせることが共通のテーマとなります。

予期せぬ結果:接続の増加

しかし、それだけではありません。デジタル アズ デフォルトとITのモダナイゼーションは、アプリケーション、システム、デバイス、消費者、パートナー、API間の接続が増えることを意味します。その一つ一つが潜在的な侵入口であり、最終的に重大なシステム違反や侵害が生じる可能性があります。

デジタル アズ デフォルト

ここでの賭け金は高額です。マルウェア、ランサムウェア、詐欺、収益の損失。攻撃を受ける可能性のあるものをすべて保護できなかった場合のコストは手に負えないものとなり、これはどのように保護するかについても言えます。

第3段階

AIを活用したビジネス

企業はデジタル化への取り組みをさらに進め、アプリケーション プラットフォーム、ビジネス テレメトリとデータ分析、ML/AI技術のより高度な機能を活用すると、AIを活用するようになります。この段階では、これまで不可能だったビジネスの生産性向上という新しい領域が切り開かれます。例えば、ある小売業者は、ログイン試行失敗の10~20%が、検証プロセスに手こずっている正当なユーザーであることに気付きました。デフォルトでアクセスを拒否することは、大きな収益損失となる可能性があることを意味していました。行動分析を使用すれば、正当なユーザーとアクセスを試みるボットを区別できます。技術と分析により、AIを活用してそれらのユーザーを識別してログインさせることができるようになり、収益の向上と顧客維持の向上につながりました。

予期せぬ結果:データの増加

最後に、デジタル アズ デフォルトでは必然的にデータが増加します。注文、商品、住所、支払い情報などの顧客データだけでなく、メトリクスやログなどの運用データも増加します。デジタル ビジネスには、訪問者、エンゲージメント パターン、パフォーマンス、異常なフロー、異常な行動を把握するためにテレメトリが必要です。そのテレメトリは、少なくともすぐに分析して処分できるものではありません。運用のベースラインを適切に確立し、ビジネス上の意思決定に役立つパターンや、攻撃の兆候を示す異常を発見するには、数週間から数か月とは言わないまでも、数日分のテレメトリが必要です。

これらのデータすべてに対処する必要があります。正規化、保存、処理、分析、管理が必要です。また、これらのデータには、コンプライアンスや規制監督を必要とする保護対象の顧客情報が含まれている場合があるため、セキュリティも必要です。

デジタル トランスフォーメーションの予期せぬ結果:複雑化

組織がこれらの段階を早く進めてもゆっくり進めても、結果は同じです。複雑さが増します。

そして、複雑さがセキュリティの敵であることは誰もが知っています。

そのため、セキュリティ専門家にとって、デジタル アズ デフォルトは新たな課題を意味します。この一連のセキュリティ課題に対処する方法の1つは、より管理しやすいカテゴリに分類することです。

簡素化して冷静さを保つ

セキュリティ課題の大部分は、アプリケーション、インフラストラクチャ、ビジネスという3つのカテゴリに大きく分類できます。これら上位のカテゴリは、資金調達や経営陣のサポートが必要な場合のマネージング アップに適しています。また、課題を軽減するための最適なアプローチを決定する際のトリアージにも適しています。

デジタル アズ デフォルト

アプリケーション層 → DevSecOps

アプリケーション層の脆弱性は、シフト レフト アプローチで対処できます。つまり、開発から導入や運用に至るまでのすべてのパイプラインにセキュリティ組み込むのです。ほとんどの場合、アプリケーション層の脆弱性は不注意によるものであり、一般に意図的または偶発的な人間の行動によって発生します。開発者個人のリポジトリを通じた秘密の共有から、S3バケットの構成ミスまでのスタックに及びます。ツールを使用すると、サードパーティのコンポーネントやその他の依存関係にある脆弱性を特定し、できれば最も安全で、最も優れた最新バージョンのスクリプトを確実に使用できます。

WAFからDAST、RASP、SASTまで、コードのスキャンおよび保護に役立つツールが数多くあります。これらのツールのほとんどは、開発パイプラインに完全に統合できます。スキャンを自動化することで、ハンドオフとそれに伴う時間のロスを効果的になくすことができます。業界ではこれをDevSecOpsと呼びますが、並列処理やマルチタスクと呼ぶこともあります。チームや個人が不在の場合や、予定が重複している場合でも、タイムラインが止まらないことを意味します。つまり、より徹底した分析を行い、プロセスの早い段階でエラーを発見することができるのです。

インフラストラクチャの脆弱性 → 分散防御

インフラストラクチャ層には、ボリューム型DDoSやDNSアンプなどの従来の脆弱性が残っています。攻撃者を制御することはできないため、シフト レフトを行っても、実際にはこれらの脆弱性を軽減することも排除することもできません。制御できるのは自分の対応だけです。

インフラストラクチャ層の脆弱性には、むしろシールド ライト アプローチが必要です。脆弱性を「処理」して排除する方法があるため、セキュリティ サービスでライブ攻撃から防御します。

今日、アプリケーションは境界であり、組織は世界中でアプリケーションを使用しています。SaaSを除いて、企業は既存のデータ センタを拡張するために平均2.7種類のパブリック クラウドを使用しています。複数のクラウドです。

また、会社のラップトップのように、多くの分散されたエンドポイントもあります。在宅勤務が恒常的になる前から、人は移動していました。これは、分散されたモバイル エンドポイントを意味します。

インフラストラクチャとアプリケーションを防御するために、分散型アプリケーションおよびID中心のソリューションの必要性が高まっています。つまり、SASEとゼロ トラスト、そしてエッジを使用してインフラストラクチャ防御サービスを攻撃の発生源に近づけることを意味します。SASEとZTNAでは、ポリシーをIPアドレスとネットワークからユーザーとデバイスに移しており、アプリケーションとリソースへのアクセスにIDの検証を要求します。

ビジネスの脆弱性 → AIの活用

最後は、ビジネス層の脆弱性です。インフラストラクチャ層の脆弱性と同様に、これらは本来備わっているものであり、取り除くことはできません。実際に、ログイン ページやパスワード リセット プロセスをなくすことはできないため、いつも防御を突破しようとする攻撃から守ることになります。

そして、防御は突破されるでしょう。F5 Labsの調査によると、平均的なDDoS攻撃の規模は過去1年間で55%増加しており、2021年初頭に最も標的にされていた業界の1つが教育業界です。2020年には、テレビ ゲーマーに対してクレデンシャル スタッフィング攻撃が行われ、1時間あたり50万件以上の攻撃が行われました。これにはリアルタイムで対処しなければなりません。

だからこそ、新しい攻撃や新たな方法による従来の攻撃が、異常な速さで開発され開始されていることに対応するために、AIを活用したセキュリティが猛烈な勢いで採用されているのは当然のことなのです。

科学的に、人間が処理できるのは1秒間にわずか約50〜60ビットだと言われていることを思い出してください。マルチタスクが難しいのはそのためです。データは、システム、デバイス、アプリケーション、クライアント、ネットワークから、人間の処理能力をはるかに超える速度で流れ込んできます。ダッシュボードや可視化があるのはそのためですが、実際に何が起こっているのかを知らせるものではありません。ある一瞬のスナップショットであり、多くの場合、増加/減少、早い/遅いといった二値的なメトリクスのみに基づいています。当社の年次調査の回答者の45%が、現在の監視ソリューションには潜在的な攻撃を正確に処理して予測する能力が「ない」と述べています。これに対する答えの1つがAIです。訓練されたモデルを使ってデータをリアルタイムで分析し、攻撃の可能性を検知して警告することができます。

デジタル アズ デフォルトがニュー ノーマルとなる

最終的に、このようなデジタル化によって、分散されたデータ駆動型の世界が作り出されます。それがデジタル アズ デフォルトです。これは、攻撃者が侵入し、データを流出させ、ビジネスを台無しにする方法が増えることを意味します。デジタル アズ デフォルトの世界では、セキュリティにはデジタル スタックが必要であり、それはDevSecOps、分散防御モデル、およびAIを活用したセキュリティを意味します。

デジタル アズ デフォルト