Bay Area Tech Blog #15

Gartner Security & Risk Management Summit 2021 に参加しました！

　2021年3月23日〜24日の2日間、オンラインで開催された『Gartner Security & Risk Management Summit 2021 』に参加しました。本オンラインカンファレンスは、タイトルにあるとおり、セキュリティとリスク管理に関するトレンドをGartnerの視点で解説しています。ゼロトラストやSASEといった概念に加えて、Cybersecurity Meshといった新たなアーキテクチャについても解説があり大変興味深かったです。

　本ブログ記事ではGartnerでVP Analystを務めるPeter Firstbrook氏のキーノートセッションを中心に現状企業が抱えているセキュリティ課題と、トレンドについてまとめました。

❚ 企業が抱える現状の問題とは　

　Gartner社 VP AnalystのPeter Firstbrook氏がキーノートで語っていた現在企業が抱える大きな課題を要約すると、以下の6つにまとめることができると思います。

1. スキルギャップ

2. プライバシーや政府の規制の増加

3. ワークスペースやワークロードの変化

4. エンドポイントの多様性とロケーションの爆発的な増加

5. ランサムウェア、ビジネメールの漏えい

6. Solarwindsへの侵入

　まずスキルギャップですが、Peter氏によると81%の企業が熟練したセキュリティ実務者の雇用と確保に苦労しており、また71%の企業が雇用できないことに起因してセキュリティプロジェクトの遂行に影響を与えていると回答しているそうです。

　次に、プライバシーや政府の規制について、顧客データをどのように取り扱い、何に使えるのかに頭を悩ませる経営者が多く、彼らは法規制の対応に苦慮しています。※ プライバシー問題については本ブログサイトでもGDPRやCCPAについて記載していますし、AppleとFacebookの抗争についても記載していますので合わせてご覧いただければ幸いです。

　3つめのワークスペースは、リモートワークが常態化しユーザーは自宅からO365のようなSaaSを多用して業務にあたる一方、データセンターのワークロードはクラウドに移行するなど多様化していることに起因して、解決すべき課題があるとのことでした。

　4つめは(3)とも関連しますが、Chromebookやモバイルデバイスの利用、VDI、BYODに加えて、エッジコンピューティングやIoT、OTといった新たなタイプのコンピューティングにも対策が必要になってきています。

　5つめのランサムウェアとビジネメールの漏えいは、近年ずっと問題視されています。ただ昨今のランサムウェアは、認証情報や機密情報をアンダーグラウンドコミュニティに流出させるソリューションに進化してしまっています。つまり、攻撃者にお金を支払わなかった場合、アプリケーションがフランチャイズモデルになり、新たな攻撃者を生み出すような仕組みになってしまっています。そして被害額は年間約200億ドル(2兆円)に上ります。同時に、ビジネスメールの漏洩も発生していて、FBIのビジネスメールに関する調査によると、米国だけで年間18億ドルの損害が発生しています。電子メールの漏洩は、組織に影響を与えるだけでなく、ユーザーが騙されることで望ましくない組織に送金されてしまうという点でも問題があります。

　6つめのSolarwindsへの侵入について、2つの脆弱性が明らかになったと分析していました。

• IDに関する十分な注意が払われていなかったこと
  多くの組織ではディレクトリなどを監視しIDに対するセキュリティを確保することが重要視されていませんでした

• サプライチェーンに対する攻撃に対する脆弱性¹
  Solarwinds攻撃²ではGit Hubなどを通じたサプライチェーン攻撃の影響を強く受けていました

❚ 8つのトレンド

出典: Gartner Top Security and Risk Management Trends, 2021

　上記に挙げた数々の問題に対処するため、攻撃のトレンドに合わせて防御側も整える必要があります。Gartnerが発表した8つのセキュリティトレンドについて解説いたします。ちなみにですが、上記の画像はプレゼンテーション形式の動画にもなっています。

❚ (1) REMOTE IS THE NEW NORMAL

　リモートワークは日本でも大きなトレンドになっています。Gartnerの調査によれば現在ナレッジワーカーの65%が自宅で仕事をしていて、そのうち少なくとも30%〜40%はコロナ後も自宅で仕事を続けたいと考えているとのことでした。セキュリティの観点でいえばエンドポイント管理をクラウドサービスに移行する必要があるとPeter氏は主張しています。VPN経由で常時企業ネットワークに接続するのはもはや現実的ではないので、クラウドを利用すべきとのことです。そのために、ユーザーが地理的に離れている状況になってもサポートできる環境を用意します。最新のエンドポイント管理、CASBのようなクラウドアクセスに対するセキュリティの導入などが必要になります。またバックアップに対するポリシーとプライバシーに関するポリシーを導入することが重要です。企業に接続されていない端末のデータをどのようにしてバックアップを取るのかということを考え、また機密情報を扱う際、どのようにして契約上の義務を果たすのか明確にします。そのためには、ユーザーを使用するデータの種類によって分類し、それに応じたインフラのセキュリティ要件を整理することが大事です。例えば機密情報を扱わないユーザーにBYODを導入し、機密情報を取り扱うユーザーにはDaaSを導入しセキュアに閉じた環境で業務をさせるといった具合です。

❚ (2) Security Product Consolidation

　ベンダーの集約が促進されていくというトレンドがあります。GartnerではVendor Risk Management (VRM)と称し、ベンダーが多いことはよりリスクを高める可能性があると警鐘を鳴らしています。最近は特に特にさまざまなSaaSを利用する傾向がありますので、簡単にまとめるときちんとデューデリジェンス(事前調査)を行い、出口戦略などと合わせて、リスクに遭遇したときに受容できる範囲まで軽減できるように考慮することが重要です。また技術面以外にも契約内容を把握しておくことも必要になります。

※もしGartnerのアカウントをお持ちであればMagic Quadrant for IT Vendor Risk Management Toolsにおいて様々なツールの解説がございます。

　なお、2020 CISO Effectiveness の調査によれば、78% of CISOが16以上のセキュリティツールを利用し、12%の組織においては、46以上のツールを利用しているということです。

❚ (3) Cybersecurity Mesh

　上記(2)にも関連しますが、多くのツールを導入し統合的に管理する必要があります。従来のようにネットワーク、エンドポイント、データセンターなど、ビジネスのさまざまな領域にサイロ化されたアーキテクチャでは今後は対応が難しくなります。Gartnerでは統合した新しいセキュリティアーキテクチャをCybersecurity Meshと名付けていました。いま流行りのSASE (Secure Access Service Edge)もCybersecurity Meshのひとつの事例になるそうです。Gartnerはセキュリティサービスを購入し、アーキテクチャを考える際には、セキュリティサービスをID管理ツールや分析ツールといった具合に分解して考え、セキュリティメッシュ全体にポリシーやエンフォースメント・ポイントを適用することができるソリューションを探すように推奨しています。

❚ (4) Identity First

　SAMLやOAuthといったID管理インフラを導入することが重要である一方、すべての組織で提供できるようになっているわけではないとしています。

　また多くの組織では、組織外からのレガシーアプリケーションへのIDアクセスをどのように確保するのかについて苦労していると解説されていました。

　そして、ID管理に関して3つのことを提言しています。

1. 最新の分解可能で広く使用できるID管理システムのためのスキルと技術に投資すること

2. ID管理のポリシーとプロセスを、ファイアウォール管理などの従来のセキュリティ管理のポリシーやプロセスと同じように扱い、厳格な変更管理と監視を行うこと

3. オンプレミスよりもセキュリティ確保が困難なリモートワークやクラウドワークロードに焦点を当てること

❚ (5) Machine Identity Management

　クラウド環境が当たり前になり、自社クラウドで管理するものと、プロバイダーで管理するものの2つを管理する必要が出てきました。またこれらは仮想マシンやコンテナなど抽象度の異なるものをつなぐAPIを介して接続し構成されています。(これらを管理するためにも(2)のCybersecurity Mesh アーキテクチャが重要)。一方で、Solarwindsへの侵入事件では、クラウド・アプリケーションへのAPIアクセスが国家レベルの攻撃者によって攻撃されていることが判明。このことから、マシンのID管理 / 秘密管理 / 証明書管理に投資する必要があると解説していました。

❚ (6) Breach ＆ Attack Simulation Tool

　侵入攻撃のシミュレーションツールが登場しており、これによって継続的な構成評価が行えるようになってきています。(2)にも記載したように多くの組織は、ツールの統合を試みていますが、膨大な種類のセキュリティ製品を導入し、それらの設定や管理が正しくできているかの確認に追われている状況です。侵入攻撃シミュレーションツールは、一般的な攻撃ツールやテクニックを使って、セキュリティ・ポスチャーをテストし、セキュリティツール間のギャップや誤った設定を確認します。これには2つのメリットがあります。

1. 組織に侵入するための複数の異なる経路、複数の異なるテクニックを駆使しているため、全体像を把握することができる

2. 再現性のあるテスト方法を提供できるので、環境を変更した場合のテストや、新しいツールのテスト、新たな設定のテストを行い、それらに対しての攻撃を確認することが可能

❚ (7) Privacy Enhancement Computation

　クラウドコンピューティングやデータ共有を含むビジネスモデルの急速な普及に伴い、取引中のデータを保護するプライバシー拡張計算技術への関心が高まっています。この技術は以前から存在していましたが、近年急速に成熟してきているそうです。使用中のデータの保護を実現できることで、国境を超えたデータ転送やデータ分析の課題を減ると主張していました。プライバシー保護を目的としたコンピューティングには3つのレベルがあります。

1. データレベル

   1. 合成データや暗号を使ってデータを新しいフォーマットに変換し、ベースとなるプライベートデータを開示することなくデータ上で取引ができるようにする

2. ソフトウェアシステムレベル

   1. 取引やプライベートデータの安全性を保ちながら、複数の当事者が使用できるようにデータレベルの変換を行うソフトウェシステムのレベル

3. ハードウェアレベル

   1. ハードウェアを使用して基礎データを隠し、トランザクションシステム全体から保護するハードウェアベースレベル

これらは比較的新しい技術であるものの、すでに銀行、諜報機関、製薬、ヘルスケアなどの業界で採用されているそうです。なお、新しい技術であるため非常に急速に進歩しており、新しいイノベーションや新技術、新製品が登場するスピードも早いとのこと。そのため、常に情報をアップデートしながらユースケースに合わせて導入を検討することを推奨していました。

❚ (8) Cybersecurity Experts Added To The Boards

　多くの組織においてサイバーセキュリティの専門家を取締役会のメンバーに加えて始めています。 「Gartner 2020 Board of Directors」の調査では、取締役会は、組織が直面するリスクの最上位として、サイバーセキュリティリスクに加えて、規制遵守リスクをもっとも高く評価しているとレポートしています。そこで取締役会は、サイバーセキュリティリスクをビジネスリスクに適切に変換できるようにするため、委員会や常任取締役としてセキュリティ専門家を追加しています。

❚ まとめ

　いかがでしたでしょうか？Gartnerの言葉はそのままですとなかなか理解しにくいところもあるかなと思います。ただ、上記に記載した8つのトレンドに合わせて今後さまざまなスタートアップやツールが出てくると思います。特にCybersecurity Meshのような統合ツールや、プライバシー関連には要注目だと思っています。

　引き続き調査して来年度も継続的に情報をお届けしたいと考えています！

1

サプライチェーン攻撃に関しては一般社団法人　日本サイバーセキュリティ・イノベーション委員会(JCIC)がガイドラインを公開していますので合わせてご覧になってもいいかと思います

2

ご参考までですが、こちらのpiyokangoさんのブログ記事にまとめられていました