BLOG | OFFICE OF THE CTO

ハイブリッドワークがID中心のセキュリティへの移行を促進

Lori MacVittie サムネール
Lori MacVittie
Published August 16, 2021
  • Share via AddThis


COVID-19パンデミックは、労働者を混乱に陥れた今世紀最大の出来事の1つであることは間違いありません。この混乱は、企業がリモートワーク従業員への対応を余儀なくされたことから始まりましたが、これは不可能なことではなく、生産性の向上につながることがわかりました。

この1年半の間に、企業のリモートワークに対する考え方は大きく変わりましたが、このようなモデルを全面的に導入するほどではありませんでした。確かに、「完全リモート」状態で運営している企業もありますし、その形態を継続する計画もあるでしょう。しかし、実現の可能性が高いモデルはハイブリッド型です。つまり、社員が自宅またはオフィスで働く、あるいはその2つを組み合わせた形態で勤務するといったモデルです。

毎日どこで働くのか、オフィスでは何日働くのか、それらを誰が決めるべきかなどについてはさまざまな意見がありますが、一般的には、完全なハイブリッド ワークフォースの概念は、それをサポート可能な業界では受け入れられています。

11月24日から12月5日にかけて行われた調査では、1,200人の労働者の半数以上(55%)が、週に3日はリモートワークを行いたいと回答しました。一方で、米国の経営者133人の68%が、純粋なリモートワーク モデルでは企業文化を維持できないという懸念を理由に、社員は少なくとも週3日はオフィスで勤務するべきだと回答しています

(出典:SHRM)。

私は個人的にこれらの議論を冷静に観察しています。なぜなら、私はオフィスで働いたことはないし、これからもそうはならないと断言できるからです。I94からシアトルまで車で本当に長い時間がかかるのですから。

私の通勤時間

正直なところ、重要なことはハイブリッド ワーク モデルの導入の詳細ではなく結果です。つまり、毎日のように自宅とオフィスで働く社員がいるということです。ハイブリッド ワークは新たな標準になっています。

一見シンプルなこの言葉には、これからのアクセス戦略に対して大きな影響力があります。

IPベースのアクセス

ご存じのように、従来のIPベースの技術は、固定されたネットワーク範囲やネットワーク アドレスに大きく依存しています。ネットワークやアプリケーションのリソースへのアクセスは、IPベースのポリシーにより拒否または許可されます。

これがVPNのポイントであり、企業ネットワークで自由に使えるIPアドレスの範囲内で、「ローカル」のIPアドレスを効果的に割り当てることができるのです。

今、それを使用し続けることは可能ですが、ほとんどの従業員はそれを望んでいないでしょう。VPNからのネットワーク アクセスなどを必要とするオペレーターやエンジニアは常に存在しますが、正直に言うと、ConfluenceやSharePointを閲覧したり、Slackでアーキテクトに質問したりするのにVPNは必要ありません。私の生産性やコミュニケーションのニーズがアプリケーションによって十分に満たされるのであれば、ネットワークへのアクセスは不要です。

率直に言って、ネットワークへのアクセス制限への移行は、マルウェアやランサムウェアなどの悪質なソフトウェアの発生が増加している今、セキュリティ戦略における最善の選択であると言えます。このような破壊的なコンストラクトがアクセスできるリソースは少ないほど良いのです。

これは現実の脅威です。実際に、(大部分が一時的な)ハイブリッド ワークフォースでは、悪質なソフトウェアを拾ってしまい、ある日VPNにログインしたときに突然大混乱に陥ることがあります。これが、優れたVPNソリューションが何よりも先にスキャンやヘルスチェックなどを行う理由の1つです。しかし、すべてのVPNソリューションが良いソリューションというわけではなく、VPNソリューションでスキャンを行える場合でも、スキャンが不要な組織もあります。

これはアプリケーション アクセス ソリューションにとっても良いことばかりではありません。なぜなら、アプリケーション アクセス ソリューションの多くはIPをベースにしており、企業には管理すべきIPアドレスが大量にあるためです。

単一のNetOpsで管理しなければならないネットワーク デバイスの台数だけでもかなりの数に上り、半数以上が251~5,000台のデバイスを管理しています(NetDevOpsの年次調査より)。

2020年のNetDevOpsの調査

私の個人的な自宅のIPアドレスと、現在自宅で仕事をしている人たちの個人的な自宅のIPアドレスも加えてみてください。セキュリティを確保しなければならないマシン間通信が増加していることも忘れないでください。Ciscoの年次インターネット レポートでは、「2023年までに、全世界のネットワーク デバイスの数は人口の3倍以上になり、全世界の接続の約半分はマシン間接続になるだろう」と予測しています。

その結果、オペレーターやセキュリティ チーム、そして最終的にはポリシーを適用しなければならないサービスやシステムさえも圧倒するような、手に負えないモデルになってしまいます。

IDこそが解決手段である

ハイブリッド ワークに関連するセキュリティ上の課題は、デジタル化の急速な進展により生じる課題と同様に増加しています。これらの課題が相まって、セキュリティ モデルはID中心のアプローチへと移行していくでしょう。このアプローチでは、人間のユーザーだけでなく、ワークロード、デバイス、スクリプトといった形態のマシン ユーザーも考慮します。結局のところ、ワークロードは、人間と同様にますます一過性のものになっています。さらに突き詰めると、どのようなIPを使用していようと、ワークロードAはワークロードAなのです。私がホーム オフィスにいようが、ミネアポリスの空港にいようが、シアトルのオフィスにいようが、私は私であるのと同じです。

確かにIPはID中心のセキュリティ ポリシーの一部かもしれませんが、IPはリソースへのアクセスを許可するための主因または決定要因ではありません。むしろ、IPは、どのレベルのID検証を必要とするかを決定するのに役立つ属性となります。

私がVPN/企業ネットワーク上にいる場合は、私の認証情報だけで十分でしょう。しかし、そうでない場合は、私の認証情報と第2の要素が必要になるでしょう。また、私が見たことのないIPアドレスからアクセスする場合は、第3の要素が必要になるでしょう。

IPアドレスの使用方法に関係なく、たとえワークロードであっても、IPアドレスを単独で使用してはいけません。つまり、企業ネットワーク上に悪質なソフトウェアが存在していても、それらにアプリケーションやリソースへのアクセスを許してはならないのです。

さらに、IDについての理解を、人だけでなく、ますます依存しつつあるワークロード、アプリケーション、デバイスにまで広げる必要があります。

SolarWindsの大失敗は言わずもがなでしょう。しかし、「Webサーバーやデータベースの既知の脆弱性をこじ開けて、Kubernetesノードを危険にさらし、クラスターにバックドア攻撃を仕掛けるマルウェア」と定義されているSiloscapeのような脅威や、管理コンソールの構成ミスによる脅威についてはご存じでしょうか。多くの管理コンソールは主にIPベースの制御によって保護されていますが、今日のハイブリッド ワーク モデルで不可欠なリモート アクセスが妨害されるため、結局は無効化されます。IDベースのより強固なアクセス コントロールを導入すれば、接続元の場所を問わず、乗っ取りや不正使用を防止できます。さらに、ID中心の強固なセキュリティは、「企業ネットワーク」という安全な場所からその他のリソースを感染、乗っ取り、またはその他の方法で悪用しようとする危険なシステムから保護します。

私たちは長い間、IDベースのセキュリティに向かってゆっくりと進んできました。しかし、自動化とデジタル化の爆発的な増加とハイブリッド ワーク モデルへの移行によって動きが加速し、最終的にはアクセス制御の第一の方法としてIPアドレスを捨てることになるでしょう。

ID中心のセキュリティこそが解決手段なのです。