この10年間で、インターネットは大きな変化を遂げました。かつてインターネットは主に情報へのアクセスに使われていましたが、近年は接続ツールとしての役割を果たし、重要なビジネスSaaSやIaaS へのアクセスを提供するようになりました。これらのクラウドベースのサービスは、ビジネスの機動性と柔軟性を高め、リモートワークをサポートし、世界中の同僚とのコラボレーションを飛躍的に向上させました。
しかし、インターネットとその利用方法が劇的に変化した一方で、ユーザーとインターネットの間に置かれるセキュリティツール(Webプロキシなど)は、それほど大きく変化していません。本投稿では、インターネットの変化した5つの観点と、それらに対してセキュリティがどのように適合すべきかについて考えてみます。
1. インターネット上で提供される重要なビジネスサービス
今日、何らかの形でもクラウドアプリケーションを使用していない企業を見つけるのは難しいでしょう。クラウドアプリは、今やあらゆるビジネスの運営に欠かせないものとなっています。多種多様なクラウドアプリが一般的に利用されるようになってきましたが、そこに求められるコンプライアンスやデータ保護基準は千差万別です。
私たちは、企業で一般的に使用される6万種類以上のクラウドアプリのプライバシーとセキュリティの特性を追跡調査しています。この中で、「最も信頼できる」特性を持ったアプリ群には、ほとんどすべての企業が日常業務に使用している人気のSaaSサービスが数点あります。Microsoft 365、Amazon Web Services、Google Workspace、Salesforceのようなサービスです。
これらのサービスは、信頼に足る著名なサービスであるため、しばしば安全であるとみなされることが多く、時には全くインターネットセキュリティを経由せずにアクセスすることが許されることもあります。
ここで、2つのポイントをお伝えします。第一に、この変化したインターネット環境では、すべてのクラウドアプリケーションの正確な可視化と制御や、すべてのクラウド利用について、それらがもたらす様々なリスクに関する洞察を含んだレポーティングといった能力を備えたセキュリティシステムが必要という点です。旧来のWebプロキシでは、これを実現することはできません。
第二に、信頼しているブランドに対する許容範囲を見直す必要があるということです。マイクロソフトは、自社のウェブサイトについて悪意あるコンテンツが無いことを保証できるますが、OneDriveのリンク先に悪意のあるコンテンツが含まれていないことを保証することはできません。従来、企業では専用ポートを設けたり、特定のアプリケーション向けトラフィックやURLに対して甘いポリシー例外を認めていたかもしれません。しかしインターネットが変化した現在では、これは危険なアプローチです。すべてのインターネットベースのアプリケーションは、それがどのようなブランドを冠しているかにかかわらず、厳格なセキュリティ・ポリシーで制御されなければなりません。そして、旧来のセキュリティソリューションでは、ユーザーエクスペリエンスを大きく阻害することなくこうしたセキュリティを実現することは困難です。
2. インターネット上にホストされる企業インフラ
SaaSだけでなく、Amazon Web Services(AWS)、Microsoft Azure、Google Cloud Platform(GCP)などのIaaSクラウドプロバイダーにインフラを移行する企業も増えています。
このような、インフラが企業のネットワーク境界内に存在しない場合においては可視性と制御をより確実に維持する必要がありますが、この場合も旧来のWebセキュリティソリューションは苦戦を強いられることになります。IaaSについても例外と位置付ける組織は非常に多く、間違いなく最もセキュリティの確保が必要であろう重要インフラに対して、データ速度を優先するためにセキュリティを回避しているのが現状です。セキュリティの観点では、IaaS内のさまざまなリソース(スクリプト、コンテナ、kubernetes)、およびこれらのサービスやリソース内で管理者が行うアクションについて、クラウドアプリと同様に可視化および制御する必要があります。
3. インターネット上で不明瞭になるアイデンティティとインスタンス
すべてのOneDriveへのアクセスは同一ではありません。しかし、インターネットが普及する前の時代に開発されたセキュリティやデータ保護テクノロジーでは、それぞれの違いを理解することが困難です。
組織の従業員が、パートナーや顧客のOneDriveや個人のOneDriveなど、同じアプリケーションの異なる複数のインスタンスにアクセスする要件があるのは一般的なことです。従業員がアプリケーションの、どのインスタンスにアクセスしているかを特定し、そのURLだけでなく、アカウントやインスタンスにも基づいた、柔軟かつきめ細かなポリシー設計による制御を実現するためには、インスタンスの検出は非常に重要な役割を果たします。
インスタンス検出能力がなければ、ある組織のGoogle Driveから別の組織のGoogle Driveにフォルダが共有された場合、Google Driveは常に問題ないと考える時代遅れのセキュリティシステムにおいては、組織の機密情報が誤って別の組織と共有される危険性があると言えます。
4. インターネット上の権限と「職務分掌」
かつてインターネットは情報を消費する場所であり、セキュリティもそのようなユースケースを念頭に置いて構築されていました。しかし、クラウドアプリケーションは、従来のウェブサイトとは異なります。クラウドアプリケーションには、編集や作成、ファイルの削除や共有など、ユーザーがアクセスし、実行することができる機能が膨大に用意されています。そのため、企業は、ユーザーが実行できる複数の異なるアクティビティコマンドを認識し、適切な「職務分掌」を確保するために正確な権限を提供できるようにする必要があります。
5. 良いURLのように見える悪いURL
毎年行われるセキュリティ研修の多くに、「URLを見て、危険なものが潜んでいる手がかりを探しましょう」といったガイドラインが含まれていたのを覚えていますか?この点も、インターネットの変化により影響がある分野です。実際、ユーザー自身がこうした単純な手法を用いて危険な行為を回避することは難しくなっています。今日のマルウェアのダウンロードの約半分はクラウドから行われているため、セキュリティツールがユーザーのリスク回避を支援することは、これまで以上に重要になっています。
ここではリアルタイムコーチングを用いたポリシーが有効です。これにより、ユーザーが防御に参加し続けられるようにしていくことが期待できます。リアルタイム・コーチングについては、最近のブログ記事で詳しく説明していますが、要約すると、ユーザーにリアルタイムのフィードバックを提供し、クラウドアプリケーションを安全に使用する方法を指導する機能です。単に特定のウェブサイトやリソースへのアクセスをブロックするのではなく、潜在的なリスクとそれを軽減する方法について、ユーザーを教育することができます。
ページアクセスブロックのようなセキュリティコントロールは、クラウドアプリケーションの安全性を確保する上で重要な役割を果たしますが、リアルタイムのコーチングとセキュリティ認識によって、より効果的でプロアクティブなアプローチが可能になります。ユーザーに必要な知識とツールを提供し、リスクを明確に理解した上で意思決定を行わせることで、組織はセキュリティ事故の可能性を減らし、その過程でより良いデジタル・リテラシーを有したユーザーを作ることができます。
インターネットは変わりました。あなたも変わるべきです。
インターネットが進化したように、我々もまた適応する必要があります。今日のインターネットはニュアンスとコンテキストに満ちており、そこではクラウドの言語(JSON)を話し、きめ細かいポリシーの適用を可能にするセキュリティ技術が必要です。Webプロキシや旧来のセキュアウェブゲートウェイ製品では、クラウドの活用と制御のバランスをとっていくことが困難になっています。一方、最新のインテリジェントを持ったセキュリティ・サービス・エッジ・スタックを利用することで、組織は進化する脅威の中でリスクを軽減しながら、クラウドの利点を取り入れるために迅速に行動できるようになります。
詳細は「SASEアーキテクチャの設計
For Dummies」をご確認ください。