この10年間で、インターネットは大きな変化を遂げました。かつてインターネットは主に情報へのアクセスに使われていましたが、近年は接続ツールとしての役割を果たし、重要なビジネスSaaSやIaaS へのアクセスを提供するようになりました。これらのクラウドベースのサービスは、ビジネスの機動性と柔軟性を高め、リモートワークをサポートし、世界中の同僚とのコラボレーションを飛躍的に向上させました。
しかし、インターネットとその利用方法が劇的に変化した一方で、ユーザーとインターネットの間に置かれるセキュリティツール(Webプロキシなど)は、それほど大きく変化していません。本投稿では、インターネットの変化した5つの観点と、それらに対してセキュリティがどのように適合すべきかについて考えてみます。
1. インターネット上で提供される重要なビジネスサービス
今日、何らかの形でもクラウドアプリケーションを使用していない企業を見つけるのは難しいでしょう。クラウドアプリは、今やあらゆるビジネスの運営に欠かせないものとなっています。多種多様なクラウドアプリが一般的に利用されるようになってきましたが、そこに求められるコンプライアンスやデータ保護基準は千差万別です。
私たちは、企業で一般的に使用される6万種類以上のクラウドアプリのプライバシーとセキュリティの特性を追跡調査しています。この中で、「最も信頼できる」特性を持ったアプリ群には、ほとんどすべての企業が日常業務に使用している人気のSaaSサービスが数点あります。Microsoft 365、Amazon Web Services、Google Workspace、Salesforceのようなサービスです。
これらのサービスは、信頼に足る著名なサービスであるため、しばしば安全であるとみなされることが多く、時には全くインターネットセキュリティを経由せずにアクセスすることが許されることもあります。
ここで、2つのポイントをお伝えします。第一に、この変化したインターネット環境では、すべてのクラウドアプリケーションの正確な可視化と制御や、すべてのクラウド利用について、それらがもたらす様々なリスクに関する洞察を含んだレポーティングといった能力を備えたセキュリティシステムが必要という点です。旧来のWebプロキシでは、これを実現することはできません。
第二に、信頼しているブランドに対する許容範囲を見直す必要があるということです。マイクロソフトは、自社のウェブサイトについて悪意あるコンテンツが無いことを保証できるますが、OneDriveのリンク先に悪意のあるコンテンツが含まれていないことを保証することはできません。従来、企業では専用ポートを設けたり、特定のアプリケーション向けトラフィックやURLに対して甘いポリシー例外を認めていたかもしれません。しかしインターネットが変化した現在では、これは危険なアプローチです。すべてのインターネットベースのアプリケーションは、それがどのようなブランドを冠しているかにかかわらず、厳格なセキュリティ・ポリシーで制御されなければなりません。そして、旧来のセキュリティソリューションでは、ユーザーエクスペリエンスを大きく阻害することなくこうしたセキュリティを実現することは困難です。
2. インターネット上にホストされる企業インフラ
SaaSだけでなく、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)などのIaaSクラウドプロバイダーにインフラを移行する企業も増えています。
このような、インフラが企業のネットワーク境界内に存在しない場合においては可視性と制御をより確実に維持する必要がありますが、この場合も旧来のWebセキュリティソリューションは苦戦を強いられることになります。IaaSについても例外と位置付ける組織は非常に多く、間違いなく最もセキュリティの確保が必要であろう重要インフラに対して、データ速度を優先するためにセキュリティを回避しているのが現状です。セキュリティの観点では、IaaS内のさまざまなリソース(スクリプト、コンテナ、kubernetes)、およびこれらのサービスやリソース内で管理者が行うアクションについて、クラウドアプリと同様に可視化および制御する必要があります。
3. インターネット上で不明瞭になるアイデンティティとインスタンス
すべてのOneDriveへのアクセスは同一ではありません。しかし、インターネットが普及する前の時代に開発されたセキュリティやデータ保護テクノロジーで