マイクロセグメンテーションはネットワーク セキュリティ技術の 1 つです。 マイクロセグメンテーションを使用すると、データセンターをワークロードごとに個別のセキュリティ セグメントに論理的に分割し、セグメントごとにセキュリティ制御を定義してサービスを提供できます。
現在は多くの企業が、働き方改革やデジタルトランスフォーメーション(DX)の取り組みを加速させたり、あるいは新しい方法で顧客とつながるためにクラウドを積極的に活用して、社内外に向けたアプリケーションを開発したりするなど、見方によっては「テック企業」、つまりソフトウェア企業となってきている。そのために、業種を問わず“セキュリティ企業”のように増大するサイバー攻撃にも対応する必要性が生じており、拡大するビジネスモデルにセキュリティを適用することが求められている。今回は、ビジネスの観点から今日の「ハイブリッドセキュリティ」のリスクと対策を紹介する。
コロナ禍以前に始まっていた組織の変革
世界中の企業において、コロナ禍への対応で一気にリモートワークが普及したが、特に日本ではそれ以前からリモートワークの下地ができていた。2017年に、総務省は「東京オリンピック」の開会式が予定されていた7月24日を「テレワーク・デイ」と定め、企業にリモートワークの一斉実施を呼びかける働き方改革の国民的な運動を展開してきた。これは、オリンピック開催時には海外から多くの選手団や観戦者が来日するため、主に交通混雑緩和を目的としたものだ。
2018年からはその日程を延長した「テレワーク・デイズ」となり、東京オリンピックの終了後も全国的なテレワークの定着を目指していた。同年には、「働き方改革」が法制化され、「労働者がそれぞれの事情に応じた多様な働き方を選択できる社会の実現」が推進された。
さらに同年、経済産業省から「DXレポート~ITシステム『2025年の崖』の克服とDXの本格的な展開~」が公開され、DXの重要性が提言された。多くの経営者が、将来の成長、競争力強化のために、新たなデジタル技術を活用して新たなビジネスモデルを創出したり、柔軟に改変したりするDXの必要性について理解しているものの、経営面や人材面で深刻な課題がある。DXレポートは、このままDXの取り組みが普及しなければ、2025年以降、毎年最大12兆円の損失が発生するというものだ。
多くの国内企業では、既存システムが事業部門ごとに構築されており、サイロ化によって全社横断的なデータ活用ができていない。しかも、それらのシステムは同じ担当者により過剰なカスタマイズが施され、当人にしかいじることができない状況になっている。2025年までには、その担当者の多くが定年退職を迎えると予想されているため、システムがメンテナンス不能なブラックボックスとなってしまう恐れがある。今日では、システムの保守運用の担当者が減ることで、サイバー攻撃や事故・災害によるシステムトラブル、データ滅失などのリスクも高まる。
このDXレポートでは、2025年までの間に複雑化・ブラックボックス化した既存システムについて、廃棄や塩漬けにするものなどを仕分けしながら、必要なものについて刷新しつつDXを実現することにより、2030年には実質GDP(国内総生産)130兆円超の押し上げを実現できるとしている。
企業は“テック企業”から“セキュリティ企業”へ
DXは多くの場合、さまざまなデータを蓄積、分析し、そこから新たな知見を得て、その知見を基にビジネスを変革しようというものだ。特にAmazonがDXの成功企業例として、よく取り上げられる。もともとは書店業であったが電子商取引(EC)のビジネスに進出し、ユーザーの購買データを分析することで、その人ごとに合ったレコメンドを表示するようになった。
このレコメンド機能によって、同社は売り上げを大幅に伸ばした。さらに、大規模なECサイトの運営ノウハウを生かして、Infrastructure as a Service(IaaS)市場にも進出し、クラウド移行への大きな礎を築いた。また、検索サービスに始まったGoogleは、自社でOSの開発を進めることで、スマートフォン業界に進出するとともに、IoTへの搭載にも積極的に取り組んでいることから、同社の取り組みもDXの好例と言えるだろう。
これらのように、従来の業界とは全く別の業界で新たなビジネスを興し、成功させることはDXの好例といえるが、特殊な例ともいえるだろう。データを生かして従来の業務を強化したり、システムをクラウドに移行したりすることは、DXでのさまざまな取り組みとして一般的なものと言える。
多くの企業がユーザーとのインターフェースとなるアプリケーションを自社で開発し、イノベーションを加速するためにクラウド移行を進めるにつれ、あらゆる企業が“テック企業”のような、あるいは少なくともテクノロジーに注力した企業になりつつある。しかし、こうした取り組みにはセキュリティリスクが伴うため、 組織がレジリエンス(回復力)を維持し、継続的なDXの目標を達成するためには、“セキュリティ企業”のようにテクノロジーにまつわるリスクを把握し、対処する能力も求められる。
クラウド間のギャップが新たなリスクに
DXを目指していなくても、自社の競争力を強化するにはクラウドの活用が欠かせない。日本では、政府が「クラウド・バイ・デフォルト原則」を提唱している。これは、新たなシステムの構築を検討する際には、まずクラウドへの移行や採用から検討するというもので、既存システムの拡張にも有効な考え方だ。
これまでの日本企業のシステムは、サーバーやストレージの増設だけでも関連部門における稟議が必要で、導入までに一年かかることも少なくなかった。これでは、新しい技術を採用しようとしても、採用した頃には次の新たな技術が登場しており、競争力の強化が難しい。クラウドであれば、すぐにシステムを構築でき、サーバーやストレージの増設もボタン操作一つで行える。新しい技術もすぐに搭載され、利用することができるため、イノベーションの可能性が広がる。
最近では、複数のクラウドサービスを利用するマルチクラウド環境も一般的になりつつある。しかし、DXの取り組みの加速に伴うアプリケーション開発の迅速化、クラウドの複雑化、リモートワークの活用などにより、セキュリティリスクも高まっている。
特にマルチクラウド環境では、クラウドサービスごとに設定内容や操作方法が異なるため、さらなるリスクが発生する可能性がある。2021年には、非公開にすべきサーバーの情報を不注意により公開してしまうという設定ミスが原因で、多くの情報漏えいの発生が見られた。こうした複数のクラウド同士および従来のデータセンター環境とのギャップも新たなリスクとなっている。また、DXを実現するために、より早くアプリケーションをリリースさせる必要性から、セキュリティ対策が後回しになってしまうことも多い。そうした結果、脆弱性のあるアプリケーションがリリースされ、脆弱性を悪用するサイバー攻撃などが原因となって、重要なビジネス情報が簡単に漏えいしてしまう。
ビジネス面にも有効なマイクロセグメンテーション
企業がセキュリティインシデントに遭ってしまった際の影響は大きい。特に、現在のユーザーは個人情報の漏えいに敏感になっている。情報漏えいが発生してしまうと、原因の特定や復旧、再発防止のために事業を停止しなければならないことが多く、さらにデータプライバシーや報告義務により、情報漏えいの損害補償が必要になる場合もある。ブランドの失墜や株価の低下も考えられ、場合によっては廃業に追い込まれることもある。
企業に深刻な影響を与えるセキュリティインシデントは、情報漏えいに限らない。例えば、ここ数年はランサムウェアが猛威を振るっている。企業であれば業務が停止していまい、サプライチェーンにまで広く影響を与えてしまう。病院であれば診察や手術ができなくなるし、重要インフラであれば、米Colonial Pipelineのランサムウェア被害のように、ガソリンスタンドの在庫が空になってしまうことになる。このように、われわれの生活にまで深刻な影響が発生する可能性もある。
全ての企業が適切なセキュリティ対策を行えるようになるためには、ビジネスの観点からも積極的にリスクを洗い出し、対策を行う必要がある。アタックサーフェース(攻撃対象領域)が拡大しており、サイバー攻撃も巧妙化、複雑化している。マルチクラウドの導入が進み、ハイブリッドワークが主流となる中、リモートワーク端末を可視化、監視、保護することも重要となる。
これらの問題を解決するために有効な手法となるのが、マイクロセグメンテーションである。マイクロセグメンテーションは、企業ネットワーク、データセンター、クラウド環境、アプリケーションを細かくセグメント化し、セグメントへのアクセスはユーザー、デバイス、アプリケーション、ネットワークなど複数の観点で正当なアクセスや通信であるかどうかを判断する。
マイクロセグメンテーションは、特定のセグメントへのアクセス権を発行する際に、最低限の権限を自動的に付与する「ゼロトラスト」の考え方を具現化する手法でもある。さらに重要なこととしてマイクロセグメンテーションは、侵害やサイバー攻撃が他のセグメントに広がるのを防ぐように、明確に設計されていることだ。
つまり、デフォルトで封じ込めを行うことができるということだ。セグメントをより細かくすることで、業務に使用するPCなどのリモートワーク端末をより適切に保護することができる。例えば、リモートワークを行う従業員のPCがマルウェアに感染していたとしても、マイクロセグメンテーションによって、他のビジネスクリティカルな資産への感染を防ぐことができるのだ。
より多くの企業が”テック企業”のような側面を持ち、継続的なDXイニシアチブを推進するにつれ、攻撃対象領域が拡大している。マイクロセグメンテーションは、テクノロジーに注力する企業がサイバーセキュリティとビジネスのレジリエンスを優先するための方法の一つで、積極的に安全策を講じて攻撃対象領域を減らし、脅威の可能性を最初から最小化する。マイクロセグメンテーションは、これからの企業に必要なセキュリティ対策といえるだろう。
https://japan.zdnet.com/article/35187546/3/