世界的にCOVID-19が流行し、日本においても毎日の生活で様々な変化が起きました。企業側にも従業員側にも働き方の変革が必要となり、いままで検討もしていなかった企業もテレワークの導入に踏み切りました。ネットワーク強化・サーバーの切替え等、幅広い対応が求められたと言えます。
そのような状況のなかでテレワークが多くなり、セキュリティについての考え方が見直されてきています。そのひとつ、2022年に米国ガートナー社が発表したセキュリティのトレンドに「サイバーセキュリティメッシュ」というものがあります。
この記事では「サイバーセキュリティメッシュ」とはどのような考え方なのか、導入を実現するまでにどのようなポイントがあるか、そして、どのようなメリットがあるのかについてご紹介していきます。
「サイバーセキュリティメッシュ」とは、どんな考え方?
米国で大手企業に向けてIT分野を中心とした調査やアドバイスを行うガートナー社は、2022年にセキュリティのトレンドを7つ発表しています。そのなかで紹介された、7つのうちのひとつが「サイバーセキュリティ・メッシュ」でした。
ガートナー社が発表した「サイバーセキュリティ・メッシュ」というのは、セキュリティ対策を「網」として捉えます。これまで言われてきた「境界を防御する」という考え方から、すべての領域を「面」として捉えて、社内・社外も関係なくすべての領域においてセキュリティ網を張ろうという考え方です。
従来のセキュリティの考え方の基本は、社内ネットワークやデバイス等は安全であると考えられており、セキュリティ対策の実施の観点は社内ネットワークへいかに侵入させないか、というものでした。
しかし、昨今のテレワーク業務の増加により社外アクセスが増え、同じようにクラウドサービスの利用も増え続けているため、社内ネットワークやデバイスは安全であるという前提から、社内・社外に関わらずすべてのネットワークとデバイスが危険である可能性を踏まえ、クラウド/データセンター/オンプレミス等の場所にとらわれず、社内のデジタル資産を守るという考え方に変化してきています。
そこで提唱され始めているのが「サイバーセキュリティ・メッシュ」と呼ばれる概念なのです。
「サイバーセキュリティメッシュ」が求められている背景
社会的に「サイバーセキュリティメッシュ」が求められる背景には「ゼロトラスト」という考えが密接に関係しています。「ゼロトラスト」というのはその言葉が示すとおり「信用できるものはゼロである」という考え方です。すでに述べてきたとおり、企業セキュリティにおける従来の考え方は、社内のネットワークや社内デバイスは信用できるものであるという考え方でした。
しかし最近のテレワーク・クラウドサービス利用などが増加し、それによりネットワークに社外からアクセスする機会が増えたため、VPNなどをその都度設定することによって社内ネットワークへの安全なアクセスを確立するようになりました。ただし、このような社内・社外からを区別するセキュリティ対策ではなりすましやヒューマンエラーなどの対策が困難になってきたため、これまでは安全とされていた社内デバイスとネットワークが安全とはいえない可能性がある、という視点が必要になってきました。
そのようにして提唱されるようになったのが「ゼロトラスト」であり、社内・社外問わず、全てのネットワークやデバイスが危険かもしれないという可能性を認識しようという考え方に変わりました。
「ゼロトラスト」の考えのもと、すべてのデバイスやネットワークなどが安全ではないという視点に立って注視し、サイバーセキュリティ対策を行うことが「サイバーセキュリティメッシュ」の概念であり、いま注目されている背景です。
「サイバーセキュリティメッシュ」の実現に不可欠なものとは
それでは「サイバーセキュリティメッシュ」の実現に欠かせないものを見ていきましょう。
1. サイバーセキュリティメッシュ・アーキテクチャ
サイバーセキュリティメッシュ・アーキテクチャというのは、その名が示すように「サイバーセキュリティメッシュ」を実現するための設計思想や構造(アーキテクチャ)のことです。サイバーセキュリティメッシュの考え方である「分散型」のセキュリティ・アーキテクチャです。
2. アタック・サーフェス・マネジメント
サイバーセキュリティメッシュの実現には、攻撃を受ける可能性のある領域や資産の特定を行い、その資産や領域を監視するための仕組みが必要になります。その仕組みがアタック・サーフェス・マネジメントであり、サイバーセキュリティメッシュの実現に不可欠なものだと言えるでしょう。
3. セキュリティ・レーティング・サービス
セキュリティ・レーティング・サービスとは、セキュリティを「評価」するためのサービスです。
具体的に言うと、攻撃してくる者と同じ目線で、セキュリティに穴がないかどうか、侵入できないかをスコアリングして評価を行うというサービスです。
4. 侵入/攻撃シミュレーション
侵入/攻撃シミュレーションは、攻撃したり侵入したりできないかどうかを自動的に繰り返し、継続的に脅威テストを行うというものであり、「サイバーセキュリティメッシュ」において大切なものです。
5. セキュリティ・サービスエッジ
セキュリティ・サービスエッジとは、SWGとCASBとZTNAを統合させたサービスを指しており、「ゼロトラスト」のセキュリティ対策において不可欠なものを一体化させたものです。不審な通信を遮断する、クラウドサービスを遮断する、無関係の情報や資産などへの接続を制御する、などがあります。
「サイバーセキュリティメッシュ」を実現するポイント
「サイバーセキュリティメッシュ」を実現するためのポイントを、さらに確認していきましょう。
自社システムを見える化する
「サイバーセキュリティメッシュ」を実現するには、社内システムを見える化することが重要です。
どのネットワークが、どこのサーバーと繋がっていて、どこで誰がアクセスしているのかを見える化していくことは、「面(メッシュ)」で対策するために重要なポイントとなります。
想定されるリスクを洗い出す
セキュリティにおけるリスクを洗い出しておくことも、実現のために大切です。ヒューマンエラーも含め、いろいろなセキュリティリスクを洗い出してリスクを把握していくことで、必要となる対策が見えてくるでしょう。
ツールに投資する
「サイバーセキュリティメッシュ」を導入する場面においては、ツールへの投資は必要不可欠とすら言えるでしょう。そして、ツールに投資するだけではなく、「サイバーセキュリティメッシュ」の実現のためにコンサルタントを起用したり、サービスを利用することなども視野に入れておく必要があるかもしれません。
「サイバーセキュリティメッシュ」を導入することのメリット
次に、サイバーセキュリティメッシュを導入するメリットについてまた、「サイバーセキュリティメッシュ」を導入するメリットも確認していきましょう。
セキュリティ投資を抑えられる
「サイバーセキュリティメッシュ」を導入することによって、統合的にセキュリティを管理することが実現して、効率化が図れます。結果として複数のセキュリティソリューションの利用から解放され、セキュリティへの投資を低く抑えることが可能となります。
そして人件費等、セキュリティ対策を行うためのリソースを抑えることができるため、総合的に見るとセキュリティへの投資を抑えていける可能性があると言えます。
脅威の検知・迅速な対応が可能な、新しい流通チャネルの確立
「サイバーセキュリティメッシュ」の導入によって、リアルタイムでの監視・分析を実現することができます。正常ではないトラフィックや、攻撃の兆候を検知できるので、脅威を早期発見して対策を行えるようになり、対応を迅速に行うことが可能になります。
「サイバーセキュリティメッシュ」以外における、セキュリティのトレンド
最後に、「サイバーセキュリティメッシュ」と同じようにトレンドの中で紹介されていた、他の6つの内容についても確認をしておきましょう。
「攻撃対象範囲の拡大」
米国ガートナー社が発表しているセキュリティ・トレンドのひとつとして、「攻撃対象範囲の拡大」を挙げることができます。これは、その名称のとおり攻撃される対象範囲が拡大しているということであり、クラウドやアプリケーション、IoTというように、攻撃のターゲットになるものが広範囲に及んでいるのを示しています。
アイデンティティ・システム防御の必要性
米国ガートナー社は、IDによって認証される情報が不正に利用され、それを利用した攻撃経路が現在、サイバー攻撃における主要な経路となってしまっていることも挙げています。アイデンティティ・システムを防御していくことが必要であると、ガートナー社は発表しています。
デジタル・サプライチェーンへのリスク
ガートナー社の発表において、今後、デジタルサプライチェーンへの攻撃が高くなる可能性が指摘されています。2025年までに、全世界にある組織の45%が、ソフトウェア・サプライチェーンに対しての攻撃を経験するのではないかとの見解を発表しています。
ベンダーに集約される
ガートナー社はセキュリティ機能について、企業のなかでも一定数の割合で、同じベンダーからのサービス提供を複数受け、集約されていくという予測を立てています。クラウドサービス、セキュリティサービス、ネットワークなどもひとつのベンダーに集約していく可能性があります。
意思決定が分散化される
サイバーセキュリティ対策が強化されていくことにより、ひとつの企業でセキュリティ対策についての意思決定を集約するのではなく、各部署や各部門という単位で行われるようになり、セキュリティ対策に関する意思決定が分散されていくという、ガートナー社は予測しています。
セキュリティへの意識
企業トップ、経営陣やマネージャーのみがセキュリティを意識するというより、従業員のひとりひとりがセキュリティに対する意識を高めていくことが必要となっていくと言われています。
そのため、セキュリティに対する意識を向上するトレーニングに加え、セキュリティを意識した行動を文化としてプログラムする部分に投資されていくと、ガートナー社は発表しました。
まとめ
ここまで「サイバーセキュリティメッシュ」について、それがどんなものであるかに加え、いま注目される背景、導入した時のメリット等をお伝えしてきました。
ゼロトラストという考え方が進行している現代は、ゼロトラスト対策として、サイバーセキュリティメッシュを導入していく企業はさらに多くなっていくでしょう。テレワーク等が一般に浸透してきた今、これまでのセキュリティ対策は古いものと考え、新しい時代の考え方によるセキュリティ対策の導入を検討してみてはいかがでしょうか。
