ITのモダナイゼーション：セキュリティからリスク管理へのシフト

リスクベースのセキュリティ アプローチを採用するには、セキュリティとデジタル資産に対する考え方を大きく変える必要があります。しかし、デジタルの脅威が急速に進化し、既存のセキュリティ モデルではそれらを緩和するどころか、対応すらできないことを考えると、このシフトは不可欠です。

従来のエンタープライズ アーキテクチャ フレームワークは、セキュリティを考慮せずに作られました。一般にセキュリティは後回しで、その多くが事後対応で開発されることは疑問の余地のない事実です。つまり、攻撃者が攻撃を仕掛けてから、ベンダーやテクノロジ リーダーが緩和策を開発するのです。この原因は、デジタル トランスフォーメーションの性質にあります。初期段階では、アプリケーションを通じて生産性と効率性を高めることに重点が置かれていましたが、これらのアプリケーションは、大部分が固定された静的なものであり、隔離されたデータ センタに置かれていました。インターネットの時代が到来するまで、データ センタには侵入口がなかったため、外部からの攻撃のリスクはほとんどありませんでした。

最も初期のセキュリティでは、インターネット上に公開されているアプリケーションを、テクノロジ スタックの最下層であるネットワークで保護することに重点が置かれていました。1秒あたりのパケット数が多すぎることが、何らかのサービス拒否攻撃の兆候と考えられました。セキュリティ対応策は、攻撃の発信元をブロックできるファイアウォールでした。ポートとプロトコルはセキュリティ ポリシーの基礎となり、アプリケーションを使おうとするパケットの量と速度に基づいてしきい値が決定されました。この段階のセキュリティの焦点は、シンプルかつ静的なルールで攻撃を遮断して混乱を防ぐことでした。

強力な防御に直面し、攻撃は急速に進化します。アプリケーションの機能がより豊富になると、攻撃者はソフトウェア スタックにすぐに脆弱性を見つけました。業界では、ユーザーとアプリケーションの間で交換されるメッセージのペイロードに攻撃が埋め込まれ、これらの攻撃が既知の脆弱性を悪用して、機能停止や不正アクセス、データ窃盗などを引き起こす現象が見られるようになりました。セキュリティ業界は、こうした新しい形態の攻撃に再び対応し、埋め込まれた攻撃を検出して無力化するソリューションを構築しました。この段階のセキュリティの焦点は、トランザクションに埋め込まれた攻撃を検出して無力化することでした。

デジタル経済が拡大し、私たちの生活のあらゆる側面により広く浸透するにつれて、攻撃の機会も拡大しました。データの価値、そして消費者および企業アカウントへのアクセスの価値は指数関数的に高まっています。Steam、EA Sports、Epicなどのビデオ ゲーム アカウントが「毎月推定数千個盗まれ、大量のアカウント データベースが非公開のTelegramチャネルで10,000ドルから40,000ドルで取引されています」（BitDefender）。今日、アカウント乗っ取りは、ゲームから金融、医療、行政サービスに至るまで、あらゆる業界で横行しています。2021年、米国政府は不正行為によって推定870億ドルの連邦給付金を失いました（CNBC）。この損失の大部分は、デジタル サービスを通じて運営されていたコロナ失業対策に起因しています。

リスクベースの考え方でセキュリティに取り組むことで、攻撃を防ごうとするがむしゃらな対応から距離を置くことができます。代わりに、ビジネスの成果に沿ってセキュリティ上の意思決定を慎重に行い、リスクに対するビジネスの許容度を考慮することができます。

今日のデジタル企業は、最新のアプリケーションを介したデジタル エクスペリエンスを提供することで、顧客やパートナーとつながっています。そのため、アプリケーションを保護することは、セキュリティ モダナイゼーションの取り組みにおいて非常に重要です。これらのアプリケーション、そしてアプリケーションを細かく分けたときの構成要素であるワークロードとサービスは、何らかの方法で企業のデジタル資産を作成、強化し、それにアクセスできるようにすることで価値を提供します。そのため、これらがモダン セキュリティの考え方の中心的な焦点であるといえます。今日よく耳にするサイバーセキュリティでは、デジタル ビジネスを促進するデジタル資産にあらゆるタイプのユーザーを接続するためのアプリケーションと、それらのアプリケーションを公開するAPIの保護に重点が置かれています。

テクノロジ リーダーは、事後対応型セキュリティと予防型セキュリティを実装するために必要となるツールとその方法をよく理解しています。問題は、「IDと資産に大きく依存するリスク評価ベースのアプローチに、組織をどのように移行するか」です。

この移行の中心となる2つのコア テクノロジが認証とアクセス制御です。認証はIDコンポーネントにポリシーを提供し、アクセス制御はデジタル資産のガバナンスを提供します。

認証とは、基本的に、アプリケーション利用者のIDを判別して検証するプロセスです。以前は、主に人間がプライベート データ センタのモノリシック アプリケーションへのアクセスを求めていました。そのため、すべての認証システムとサービスを同じデータ センタに置くことが可能でした。しかし今日では、モダン アプリケーションは分散アーキテクチャと公開APIを使用しているため、認証を進化させる必要があります。認証により、人間の消費者だけでなく、自動化されたエージェントなどの人間のプロキシも認識できなければなりません。また、分散アプリケーションは複数のクラウドから供給されるサービスで構成されているため、連携した企業横断的なIDストアで認証を行う必要があります。つまり、認証が基本的な防御に欠かせない要素であることは変わりませんが、今日のデジタル サービスの拡張された性質を踏まえ、IDとその検証方法のとらえ方を進化させることが必要です。

アクセス制御は、これまでもそして今も、エンタープライズ リソースに誰（または何）がアクセスできるかを決定するプロセスです。ただし、認証と同様に、アクセス制御に必要な機能もエンタープライズ アプリケーションとともに進化しています。アクセス制御は、ネットワーク層で最初に具体化されました。潜在的なアプリケーション利用者は、ネットワークIPアドレスによって定義される境界の「内側」と「外側」に区別されていました。しかし今日、モバイル利用者は複数の配布ポイントにまたがって配布される分散型アプリケーションにアクセスしているため、内部と外部の概念を定義する明確で静的な境界はありません。したがって、認証によって検証されるユーザーIDの観点からアクセス制御を表す必要があります。モダン アプリケーションのユーザーをネットワークの場所に基づいて分けることはできなくなり、その代わりにユーザーのIDに基づいて分類されるようになりました。

これらのテクノロジを、重要なデジタル資産の完全なインベントリと組み合わせて使用すると、特定の資産へのアクセスを許可するリスクに関する決定を行うことができます。こうした決定は、資産がどのように公開されるか、また、誰に公開されるべきか、あるいは公開されるべきではないかの理解に基づいて行われます。

したがって、セキュリティのモダナイゼーションの最初のステップは、資産にアクセスする手段とその理由に焦点を当てて、資産インベントリを作成または強化することです。また、テクノロジ リーダーは、アプリケーションがすべてのデータにアクセスする主要な手段であることを念頭に置く必要があります。そのため、インベントリには、資産を操作するアプリケーションに資産を対応づける機能も必要です。

次に、テクノロジ リーダーはビジネス リーダーと協力して、主要な資産のリスク/リターン プロファイルを確立する必要があります。結果として得られるリスク/リターン プロファイルでは、ビジネスの成果に合わせてセキュリティ対策を調整する必要があります。例えば、AiteNovaricaの調査によると、「加盟店にとって本人拒否による収益の損失は、不正行為による損失の75倍に上る」ことがわかっており、いわゆる本人拒否のリスクが、トランザクションを許可するリスクを上回る可能性があります。

そのため、トランザクションに関連するやり取りは、組織のリスク許容度に基づいて許可または拒否する必要があります。この決定に影響を与える可能性のある要因としては、トランザクションの価値と、ユーザーの正当性に関する確実度があります。正当なユーザーである確実度が50％あるか、あるいはそれ以上、またはそれ以下かを踏まえ、組織ごとにリスクに対する許容度を決定し、その許容度に基づいてプロファイルを調整して、その制限内でセキュリティを適用します。リスク/リターン プロファイルは、人間とシステムが潜在的なリスクに対処する方法を決定する際の指針になります。リスクを嫌う組織ほど、リスクを高く評価し、それを回避するためにセキュリティ管理を適用する傾向があります。逆に、リスク許容度が高い組織は、セキュリティ管理の適用方法を決定する際にリターンをより重視します。

ここ、つまりトランザクション レベルでの評価の細かさは、デジタルでのやり取りを継続的に評価し、ポリシーに照らして評価したリアルタイムのコンテキストに基づいてセキュリティの決定を調整する能力を意味します。このアプローチは、ゼロ トラスト アプローチにおける重要な能力であり、認証（誰）とアクセス制御（何）の決定に使用される重要なテクノロジでもあります。これについては、ホワイトペーパー『ゼロ トラスト セキュリティ：ゼロ トラストが重要な理由（そして単なるアクセスにとどまらない理由）』で説明しています。

デジタルでのやり取りを継続的に評価する能力は、エンタープライズ レベルのデータ戦略と観測戦略に依存します。つまり、組織が戦略を持ち、フルスタックの観測を実現する方向に進んでいること、さらに、単一ストアにデータを一元化していない場合は、異種ストア間でやり取りを結び付け、関連付ける手段があることが必要です。

そのため、リスク管理へのシフトは、ID、観測、アクセス制御の3つのテクノロジを採用し、包括的なゼロ トラスト アプローチでその実施を管理することを中心に展開されます。

デジタル資産、データ、顧客の財務情報と個人情報のセキュリティを確保することは、デジタル ビジネスに不可欠な能力です。

デジタル ビジネスでは、ほぼすべてのやり取りがデジタルで行われるため、セキュリティはビジネスの最重要事項であり、IT部門にとってはエンタープライズ アーキテクチャの最重要事項である必要があります。多くの場合、これは、増加する攻撃や新たな脅威に対抗するために場当たり的に導入されることの多いセキュリティ プラクティス、ツール、ポリシーが、デジタル主体の環境でも通用するかどうかに注目しながら、これらを評価することを意味します。組織がデジタル経済で成功するために必要なすべてのデジタル資産とやり取りを完全に保護するには、より慎重で包括的なアプローチが必要になります。

組織がテクノロジ基盤をエンタープライズ アーキテクチャの形で導入する際、デジタル ビジネスとしての運用の多くの側面は考慮されませんでした。十分に考慮されていない側面の1つがセキュリティです。

私たちがデジタル アズ デフォルトの世界へと急速に進む中、組織はITのモダナイゼーションを進め、将来の成功に必要な変化のスピードとデータ主導の意思決定を支え、これらを可能にする必要があります。その重要なステップが、エンタープライズ アーキテクチャのモダナイゼーションです。これには、より広範で包括的、かつ最終的には適応性に優れたセキュリティ アプローチ、つまりはリスク管理アプローチが含まれていなければなりません。

デジタル ビジネスの実現手段としてのアーキテクチャ、特にセキュリティのモダナイゼーションについては、O'Reillyの新書『デジタル ビジネスのためのエンタープライズ アーキテクチャ』をご覧ください。

レポートのダウンロード