今年もまたこの季節がやってきた。最近の過去を少し内省し、サイバーセキュリティの来年を展望する時が来た。
今年はどんな年だったか
2004年1月にさかのぼるが、ジェリコ・フォーラムというCISOの緩やかな連合体が正式に設立され(実際の活動は2003年に始まった)、脱ペリメター化(厳密には、この用語はポール・シモンズが最初に提唱したもので、発明者がスペルを選べるはずなので、脱ペリメター化である)というコンセプトを定義し、推進することになった。ジェリコ・フォーラムは、従来のネットワーク境界は侵食されつつあり、組織はそのような流れがセキュリティに与える影響を認識していないという立場をとった。
2020年の初めには、2004年から2013年(Jericho Forumが成功を宣言し、The Open Groupに統合された時)にかけてフォーラムが発表した文書で表明されたコンセプトの多くが、広く受け入れられるようになっていた。しかし、それでも多くの組織は、安全なネットワーク境界という緩やかな概念にしがみつきながら、SaaSアプリケーションの普及にうまく対応するために、ゼロトラストと 呼ばれるアーキテクチャを徐々に採用していった。
その後、パンデミックが発生した。(a)オンプレミス・アプリケーションよりもSaaS (Software as a Service) アプリケーションへの移行、(b)自社所有またはリースしているデータセンターに機器のラックを増やすよりも、クラウドサービスプロバイダーへの移行、(c)リモート・ユーザーがVPNを使用せずにクラウドベースのアプリケーションに直接接続できるようにすること(しばしばmobile-to-cloud と呼ばれる)。(a)と(b)のトレンドは、機器をラック&スタックしたくない(パンデミック時には難しい)という願望が原動力となり、(c)のトレンドは、既存のVPN容量ではすべての従業員にセキュアな(そしてパフォーマンスの高い)接続を提供するには不十分であることに気づきながら、すべての従業員を自宅に帰す必要があったことに起因する。
在宅勤務が義務化された最初の週に、今後12カ月間のある計画が実行に移されるという形で、こうしたトレンドのターボがかかった。また、SaaSやクラウドへの移行に関する5年計画は、突然24ヶ月計画になった。
このような動きによる安全保障への影響は深刻です。 組織は、あまり信頼できないモノのインターネット (IoT) などを境界内に入れてネットワークの境界を解除するのではなく (これもしばらくの間行われていました)、ほとんどのエンド ユーザーを企業から追い出すことでアーキテクチャを逆転させました。 SaaS 形式で、または Amazon、Microsoft、Google などが提供するサービスとしてのインフラストラクチャ (IaaS) やサービスとしてのプラットフォーム (PaaS) を利用して、ほとんどのアプリケーションをクラウドに移行し、独自のアプリケーションをクラウドで実行します。
2021年に向けて
2021年を見据えてみると、パンデミックによって従業員が働く場所が制限され続け、自社の物理的なデータセンターへのアクセスが困難になることは明らかだ。そして、2021年後半にこれらの制限が(うまくいけば)解除され始めたとしても、パンデミックによってもたらされた変化は今後も続く。つまり、従業員がオフィスに戻れるからといって、毎日オフィスに行きたいと思うわけではないということだ。したがって、リモートワークは (たとえハイブリッド型であっても) 今後も続くだろう。
従って、セキュリティ・アーキテクチャは、(ネットワーク・セキュリティが疑わしい)未知の場所で働く従業員を主要なユースケースとして扱う必要がある。そのため、従業員のラップトップは、大きな悪の世界で自活する能力について合理的に安心できる程度まで強化されていることを確認してください。実際、エンドユーザーをオフィスの中にいるときだけ保護するようなセキュリティに投資するのはお金の無駄です。これは一般的に、最新のエンドポイント検知とレスポンス (EDR) ソリューション(「アンチウイルス」は公式には蔑称になっていることに注意)への投資を意味する。また、エンドユーザーのマシンとビッグ・バッド・インターネットの間にウェブ・プロキシ (Gartner社による正式名称はSecure Web Gateway) を介在させたいのであれば、SaaS形式で提供されるものに投資すべきだということだ。
企業のSaaSアプリケーション(Office 365、G Suite、Salesforceなど)や、クラウド (AWS、Azure、GCPなど)経由で提供される社内アプリケーションへのアクセスをエンドユーザーに提供する際には、アイデンティティインフラをクラウドに移行することを検討する。つまり、(オンプレミスの)Active Directory(AD)をアイデンティティの中心に据えて、そのコンテンツの一部をAzure ADやOktaなどのクラウドアイデンティティ・プロバイダ (IdP) に同期させるのではなく、重心をクラウドに移し、このアーキテクチャに合わせてオンプレミスのユースケースをリファクタリングすることを検討する。また、ネットワーク全体へのアクセスを提供するレガシーVPNから、エンドユーザーがアクセスすべきアプリケーションのみへのアクセスを提供するZero Trust Network Access(またはZTNA。
最後に、すべてのアプリケーションをネットワークから追い出した後、重要なデータに対して誰が何をしているのかを可視化する必要がある。あなたの (SaaSが提供する)鶏小屋に (しつこい) キツネが入り込んだかどうか、わかりますか?ネットワーク検知とレスポンス (NDR) は、エンドポイント (EDR) 上で動作するエージェントに依存することなく、攻撃を検知して対応する、最近標準化されたカテゴリーである。NDRの初期バージョンは従来のネットワーク(パケットを処理するだけ)に焦点を当てていたが、最新のNDRは、IaaS、PaaS、SaaSを含む新しいハイブリッド/バルカナイズされたネットワークにおける脅威検知とレスポンスを包含し、この新しいネットワークへの、横断的な、そして全体的な攻撃の進行に対する可視性を統一する。
良いニュース
このようなトレンドの結果、セキュリティチームが実施しようとしている変化は、私たちを攻撃に対してより強くし、組織が経験する避けられない変化により機敏に対応できるようにするでしょう。今回のような緊急事態は、私たちが生きている間に対処する最後の緊急事態にはならないだろうが、他の緊急事態がもっと小規模なものであることを願っている。