待ったなしのサイバー脅威に対して、今まさに考えるべきセキュリティ対策のポイントとは
[15/03/30]
提供元:PRTIMES
提供元:PRTIMES
〜それはセキュリティの「トリプルA」アプローチ〜
デル・ソフトウェア株式会社は、多くの企業が新年度を迎える4月に先立ち、組織がより強固なセキュリティ対策を講じる上で重要なポイントをご紹介いたします。それはセキュリティの「トリプルA」アプローチです。英語のAdaptive/Adapted/Adoptedの頭文字3つで構成される「トリプルA」アプローチのポイントを今回紹介します。
デル・ソフトウェア株式会社は、多くの企業が新年度を迎える4月に先立ち、組織がより強固なセキュリティ対策を講じる上で重要なポイントをご紹介いたします。それはセキュリティの「トリプルA」アプローチです。英語のAdaptive/Adapted/Adoptedの頭文字3つで構成される「トリプルA」アプローチのポイントを今回紹介します。
まず、現在のITの在り方を懸案すると、一昔前であれば、同じ仕様のインフラを使い続けるということもありましたが、こうした「据え置き型」のITは過去の産物となっています。今日では、ビッグデータ、クラウド、モバイルなど、新たなITテクノロジーが広まり、それらを支えるITインフラも絶えず進化が求められるようになりました。ITを組織戦略における重要な要素として位置づけ、従業員の生産性を高め、組織に競争力をもたらす武器として考えていく時代を迎えています。一方で、絶え間なく発生する多種多様なサイバー攻撃に対処しなければならず、頭を抱えたくなるIT管理者も多い傾向にあります。
高い情報収集・分析能力を有するDell SonicWALLの脅威リサーチチームは、ゼロデイ脅威の発生に対して世界的な監視を行い、そのセキュリティ脅威情報を公開しており、多数のサイバー攻撃の件数と種類を報告しています。
ネットワーク攻撃: http://www.sonicwall.com/us/en/Security_Center.html#tab=network
Eメール攻撃: http://www.sonicwall.com/us/en/Security_Center.html#tab=email
「Shellshock」や「Heartbleed」など世界的に悪影響を及ぼす攻撃が発生する中、 ITセキュリティは組織の情報技術に携わる人々にとっては大きな懸念事項の一つです。そのため、情報システム担当者には組織のネットワークを様々な脅威から保護するための施策が求められます。しかし、セキュリティリスクは組織の外からだけでなくその内側からも生じる可能性があることを念頭に入れておかなくてはなりません。
包括的なセキュリティアプローチとして認識すべきことは次の3つです。
今日のサイバー脅威、ビジネス要件、社内ネットワークにおけるインターネット利用の多様化に適応可能であること
具体的な組織の要件に適応すること
エンドユーザが十分な理解をしていること
これら3つの要因がセキュリティの「トリプルA」アプローチであり、具体的なセキュリティソリューション導入を行う前に考えるポイントです。
アダプティブ(Adaptive:適応可能な)
「据え置き型IT」の時代から常に進化するITの時代へと移り変わりました。複雑巧妙化する脅威に合わせて、セキュリティITインフラも変化に適応可能(アダプティブ)でなくてはなりません。
あまり馴染みがないかもしれませんが、ガートナー社が提唱する「アダプティブ・セキュリティ・アーキテクチャ(Adaptive Security Architecture)」という考え方がそのヒントになります。これは脅威の予測から防御・検知・対応までを実現する「アダプティブ」な防御のプロセスのことです。さらに、複数の情報を基にITが状況を判断し脅威からの適切な保護を提供するという「コンテキスト・アウェア・セキュリティ(Context-Aware Security」に基づくテクノロジーがすでに登場しています。
アダプティッド(Adapted:適応済みの)
同じ組織は二つとしてありません。対策を講じるべきセキュリティの在り方として、まず、セキュリティソリューションは具体的な組織のビジネス要件を満たすものでなければなりません。しかし、多額の予算を投じてITシステムの保護に努め、社内の要件や種々の規制にも適応させているにも関わらず、それでも尚どこかに亀裂が生じて問題が発生する場合もあります。
世の中には、様々な分野のセキュリティ要件に対応する優れたソリューションが数多く存在し、こうしたソリューションの運用には少なくともスペシャリストが1名必要ですが、人とソリューションの間には大きな隔たりが生じることがあるということを念頭に置かなければなりません。
複数のベンダーの製品を組み合わせるパッチワークと言うべきソリューションは、問題が起きた時にその問題の所在をめぐって非難合戦へと至ることもしばしばあります。一方で、単一のソリューションで複数の分野のセキュリティ対策を講じる場合においては、確かに強固なセキュリティフレームワークを構築することはできるが、こうしたソリューションは柔軟性を欠き、導入・運用コストが高いという課題があります。これは、従業員の生産性を高め、組織の経営を支えるというIT本来の在り方とは正反対のソリューションです。
パッチワーク型と単一型のセキュリティソリューションに共に大きな課題がある場合、セキュリティ対策を行う上で考えるべきキーワードは「シンプル」、「効率性」、「接続性」です。この3つのポイントが組み合わさった統合型ソリューションこそが、様々な分野のITセキュリティとビジネス要件を満たし、多くのセキュリティインサイトをもたらしてくれるでしょう。
アドプテッド(Adopted:導入済みの)
セキュリティポリシーに対する従業員間の理解と順守も重要なセキュリティ要件です。ITとセキュリティインフラはビジネス成長を支援するものであり、例えば、モバイル環境を整備することでワークスタイルの多様化を実現するなど、従業員の生産性向上へと繋げることができます。
こうしたIT活用の理想を現実のものへとするためには、まず従業員がセキュリティポリシーを順守し、データアクセス/ビジネスアプリケーションの利用が適切に行われていることが重要であり、セキュリティリスクの発生によりビジネスへのダメージを生じさせないための対策がまず講じられなければなりません。
セキュリティは従業員の生産性を低下させ、ビジネスの妨げになると思われていることも少なくなりません。仮に、ユーザが導入されているITシステムを好まず、生産性を損なうものであると考えていた場合、そのシステム自体が利用されなくなり、運用することの価値もセキュリティ保護も失うことになります。
従業員に対して、サイバー脅威に関するトレーニングの実施を通じてサイバーセキュリティへの認知・理解・浸透(アドプテッド)を図ることで、このような課題を克服し、IT部門にとってもセキュリティリスクの減少という良い結果をもたらす可能性があります。
トリプルA
もし、これまで述べてきた3つのAが、すでにセキュリティポリシーで実現できている場合、非常に高い水準のセキュリティ対策が施されていると言えます。しかし、日進月歩で技術革新が起きる中、経営・ビジネスの現場からITに求められる要件は絶えず移り変わり、新たなサイバー脅威も絶えず生まれています。攻守でバランスの取れたITの実現こそが、今日のITスペシャリストが熟考すべきテーマであり、脅威から組織を保護するために、この「トリプルA」のチェックを定期的に行っていただき、常に高いセキュリティレベルの維持を図ってください。
Dell SonicWALLについて:
Dell SonicWALLは、Dynamic Security for the Global Network(安全なグローバルネットワークの実現)というビジョンのもと、脅威の進化に適応した先進的でインテリジェントなネットワークセキュリティとデータ保護ソリューションを開発しています。デルソニックウォールのセキュリティソリューションは、アプリケーションの可視化およびコントロール、不正侵入やマルウェアによる攻撃などからネットワークを保護し、世界中の小規模から大規模法人のお客様から大きな信頼を得ています。
*記載されている会社名および製品名は、各社の登録商標または商標です。
デル・ソフトウェア株式会社は、多くの企業が新年度を迎える4月に先立ち、組織がより強固なセキュリティ対策を講じる上で重要なポイントをご紹介いたします。それはセキュリティの「トリプルA」アプローチです。英語のAdaptive/Adapted/Adoptedの頭文字3つで構成される「トリプルA」アプローチのポイントを今回紹介します。
デル・ソフトウェア株式会社は、多くの企業が新年度を迎える4月に先立ち、組織がより強固なセキュリティ対策を講じる上で重要なポイントをご紹介いたします。それはセキュリティの「トリプルA」アプローチです。英語のAdaptive/Adapted/Adoptedの頭文字3つで構成される「トリプルA」アプローチのポイントを今回紹介します。
まず、現在のITの在り方を懸案すると、一昔前であれば、同じ仕様のインフラを使い続けるということもありましたが、こうした「据え置き型」のITは過去の産物となっています。今日では、ビッグデータ、クラウド、モバイルなど、新たなITテクノロジーが広まり、それらを支えるITインフラも絶えず進化が求められるようになりました。ITを組織戦略における重要な要素として位置づけ、従業員の生産性を高め、組織に競争力をもたらす武器として考えていく時代を迎えています。一方で、絶え間なく発生する多種多様なサイバー攻撃に対処しなければならず、頭を抱えたくなるIT管理者も多い傾向にあります。
高い情報収集・分析能力を有するDell SonicWALLの脅威リサーチチームは、ゼロデイ脅威の発生に対して世界的な監視を行い、そのセキュリティ脅威情報を公開しており、多数のサイバー攻撃の件数と種類を報告しています。
ネットワーク攻撃: http://www.sonicwall.com/us/en/Security_Center.html#tab=network
Eメール攻撃: http://www.sonicwall.com/us/en/Security_Center.html#tab=email
「Shellshock」や「Heartbleed」など世界的に悪影響を及ぼす攻撃が発生する中、 ITセキュリティは組織の情報技術に携わる人々にとっては大きな懸念事項の一つです。そのため、情報システム担当者には組織のネットワークを様々な脅威から保護するための施策が求められます。しかし、セキュリティリスクは組織の外からだけでなくその内側からも生じる可能性があることを念頭に入れておかなくてはなりません。
包括的なセキュリティアプローチとして認識すべきことは次の3つです。
今日のサイバー脅威、ビジネス要件、社内ネットワークにおけるインターネット利用の多様化に適応可能であること
具体的な組織の要件に適応すること
エンドユーザが十分な理解をしていること
これら3つの要因がセキュリティの「トリプルA」アプローチであり、具体的なセキュリティソリューション導入を行う前に考えるポイントです。
アダプティブ(Adaptive:適応可能な)
「据え置き型IT」の時代から常に進化するITの時代へと移り変わりました。複雑巧妙化する脅威に合わせて、セキュリティITインフラも変化に適応可能(アダプティブ)でなくてはなりません。
あまり馴染みがないかもしれませんが、ガートナー社が提唱する「アダプティブ・セキュリティ・アーキテクチャ(Adaptive Security Architecture)」という考え方がそのヒントになります。これは脅威の予測から防御・検知・対応までを実現する「アダプティブ」な防御のプロセスのことです。さらに、複数の情報を基にITが状況を判断し脅威からの適切な保護を提供するという「コンテキスト・アウェア・セキュリティ(Context-Aware Security」に基づくテクノロジーがすでに登場しています。
アダプティッド(Adapted:適応済みの)
同じ組織は二つとしてありません。対策を講じるべきセキュリティの在り方として、まず、セキュリティソリューションは具体的な組織のビジネス要件を満たすものでなければなりません。しかし、多額の予算を投じてITシステムの保護に努め、社内の要件や種々の規制にも適応させているにも関わらず、それでも尚どこかに亀裂が生じて問題が発生する場合もあります。
世の中には、様々な分野のセキュリティ要件に対応する優れたソリューションが数多く存在し、こうしたソリューションの運用には少なくともスペシャリストが1名必要ですが、人とソリューションの間には大きな隔たりが生じることがあるということを念頭に置かなければなりません。
複数のベンダーの製品を組み合わせるパッチワークと言うべきソリューションは、問題が起きた時にその問題の所在をめぐって非難合戦へと至ることもしばしばあります。一方で、単一のソリューションで複数の分野のセキュリティ対策を講じる場合においては、確かに強固なセキュリティフレームワークを構築することはできるが、こうしたソリューションは柔軟性を欠き、導入・運用コストが高いという課題があります。これは、従業員の生産性を高め、組織の経営を支えるというIT本来の在り方とは正反対のソリューションです。
パッチワーク型と単一型のセキュリティソリューションに共に大きな課題がある場合、セキュリティ対策を行う上で考えるべきキーワードは「シンプル」、「効率性」、「接続性」です。この3つのポイントが組み合わさった統合型ソリューションこそが、様々な分野のITセキュリティとビジネス要件を満たし、多くのセキュリティインサイトをもたらしてくれるでしょう。
アドプテッド(Adopted:導入済みの)
セキュリティポリシーに対する従業員間の理解と順守も重要なセキュリティ要件です。ITとセキュリティインフラはビジネス成長を支援するものであり、例えば、モバイル環境を整備することでワークスタイルの多様化を実現するなど、従業員の生産性向上へと繋げることができます。
こうしたIT活用の理想を現実のものへとするためには、まず従業員がセキュリティポリシーを順守し、データアクセス/ビジネスアプリケーションの利用が適切に行われていることが重要であり、セキュリティリスクの発生によりビジネスへのダメージを生じさせないための対策がまず講じられなければなりません。
セキュリティは従業員の生産性を低下させ、ビジネスの妨げになると思われていることも少なくなりません。仮に、ユーザが導入されているITシステムを好まず、生産性を損なうものであると考えていた場合、そのシステム自体が利用されなくなり、運用することの価値もセキュリティ保護も失うことになります。
従業員に対して、サイバー脅威に関するトレーニングの実施を通じてサイバーセキュリティへの認知・理解・浸透(アドプテッド)を図ることで、このような課題を克服し、IT部門にとってもセキュリティリスクの減少という良い結果をもたらす可能性があります。
トリプルA
もし、これまで述べてきた3つのAが、すでにセキュリティポリシーで実現できている場合、非常に高い水準のセキュリティ対策が施されていると言えます。しかし、日進月歩で技術革新が起きる中、経営・ビジネスの現場からITに求められる要件は絶えず移り変わり、新たなサイバー脅威も絶えず生まれています。攻守でバランスの取れたITの実現こそが、今日のITスペシャリストが熟考すべきテーマであり、脅威から組織を保護するために、この「トリプルA」のチェックを定期的に行っていただき、常に高いセキュリティレベルの維持を図ってください。
Dell SonicWALLについて:
Dell SonicWALLは、Dynamic Security for the Global Network(安全なグローバルネットワークの実現)というビジョンのもと、脅威の進化に適応した先進的でインテリジェントなネットワークセキュリティとデータ保護ソリューションを開発しています。デルソニックウォールのセキュリティソリューションは、アプリケーションの可視化およびコントロール、不正侵入やマルウェアによる攻撃などからネットワークを保護し、世界中の小規模から大規模法人のお客様から大きな信頼を得ています。
*記載されている会社名および製品名は、各社の登録商標または商標です。