ガートナーのアナリスト、アール・パーキンス氏とのQ&A。同氏は、IoTにフォーカスしたプロジェクトの多くで、従来のITセキュリティの枠を超えたセキュリティ対策が必要になってくると話している。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
IoT(モノのインターネット)の台頭に伴い、セキュリティのあらゆる側面で変化が起こっている。そのため企業は、セキュリティニーズへの対応に必要な人材やサービススキル、体制、アプローチの再評価を行っている。
セキュリティ部門として新たなアプローチを開発し、デジタルビジネスを潜在的な脅威や侵害から強力に保護するため、セキュリティリーダーはどうすべきかについて、ガートナーのリサーチバイスプレジデントを務めるアール・パーキンス氏に話を聞いた。
Q: IoTやコネクテッドデバイスの台頭により、セキュリティの状況はどのように変わってきているのか。
A: “パーベイシブデジタルプレゼンス”(デジタルの遍在)と呼ばれる大きな流れがあり、その中でわれわれのデジタルセキュリティへの取り組み方は、主に規模、多様性、機能、データフローの4つの点から、従来のITセキュリティへの取り組み方とは異なってきている。セキュリティマネジャーやリスクマネジャーは、こうした要因によってセキュリティがどのように変化しているのかを考慮し、変化し続けていく状況に効果的に対処できるように戦略を更新していかなければならない。
第1に、セキュリティの状況は、デジタルプレゼンスの規模の変化に伴って変わってきている。イノベーションが急ピッチで進んだため、何百万台ものデバイスが必要になった。その大部分は有線ネットワークに接続されているか、無線で接続されている。残念ながら、こうしたデバイスの大半がソフトウェアやインフラレベルで、ほとんどまたは全く保護されていない。
長年使われていながらも、新たなコネクテッドデバイスと安全に通信することが必要になったものがある。産業オートメーションや制御システムの分野では特にみられる話だ。つまり、デバイスとその稼働環境は多様であり、デバイス間の認証や、デバイスとクラウドサービスとの安全な連携のための単一の標準は存在しない。
また、IoTセキュリティは、一般的なIoTデバイスの動作の仕方という点でも従来とは異なる。多くのデバイスは目的特化型であり、少ない操作で特定の機能を果たすように作られている。5つの環境特性を検出するセンサーや、コマンドで作動するアクチュエータという具合だ。IoTの台頭は、デバイスの機能に対する多種多様なアプローチを生み出している。刻一刻と情報を伝えるデバイスもあれば、何らかのトリガがあるまでは情報の静的な保存場所として機能するデバイスもあるかもしれない。
さらに、セキュリティやリスクに関する意思決定者は、IoTネットワークのデータフローを分析し、いつどこでどのようにデータセキュリティを確保するかを見極めなければならない。IoTネットワーク内のデータは多くの場合、保存されたデータも含めて、常に変化している。暗号化、ネットワークセグメンテーション、監視と検知など、データ保護における主要な決断を下すときに、決め手になるのはデータフローだ。その分析結果から、デジタルセキュリティならではの新しいアプローチが必要になることもある。
Q: セキュリティリーダーが現在直面している最大の課題は何か。
A: 恐らく、セキュリティマネジャーやリスクマネジャーが今後直面する最大の課題は、リスクの管理や評価の方法についての見直しだろう。セキュリティマネジャーはリスク計算を基に、自社における脅威を軽減する方法を考えることに慣れている。だが、IoTの普及拡大に伴い、新しい変数が加わってくる。ITリスクの従来の評価・計算方法に、こうした変数を組み込む必要がある。全般的に、業界はIoTがいたるところに存在していることを認め、デジタル世界を考慮した新しい戦略を採用する必要がある。
Q: 最近のセキュリティ侵害事案から、セキュリティリーダーが学べる重要な教訓は何か。
A: ルールが進化している。各業界は、まず“最低限のセキュリティ基盤”を確立することから始めなければならない。つまり、適応型のセキュリティフレームワークの下で、防止、検知、対応、予測の問題に対処する、最低限のセキュリティモデルを確立することだ。
以前は、DDoSハッカーが悪用する可能性があるデバイスは、もっぱらPCとサーバだけで、場合によってモバイル機器が悪用される程度だった。そのため、攻撃の深刻度が限られていた。しかし、最近、DNSサービス大手のDynを襲ったDDoS攻撃は、幾つかの点で他に類を見ないものだった。その1つがIoT機器を含むデバイスを使うことで生み出された“ノイズ”の大きさだ。企業ユーザーだけでなく、消費者にも影響が及んだ。だが、最低限のセキュリティ基盤を備えた企業なら、防止、検知、対応、予測を通じて、こうした攻撃に対処できたはずだ。
出典:Navigating the Security Landscape in the IoT Era(Smarter with Gartner)
Director, Public Relations
Copyright © ITmedia, Inc. All Rights Reserved.