セキュリティやリスク管理の担当者は、アイデンティティー(ID)、データおよび新商品/サービス開発という3つの分野で自動化を活用して、価値を生み出す必要がある。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
ある医療機関のCISO(最高情報セキュリティ責任者)を務めるエイミー(仮名)は、同機関が利用しているクラウドのセキュリティを調査し、デフォルトのアクセス制御モデルが、アクセスに関するさまざまな問題を引き起こしていることに気付いた。この機関が契約しているさまざまなIaaS(Infrastructure as a Service)事業者は、安全なデフォルト設定を採用し、オーナーにのみアクセスを許可していた。
これに対し、SaaS(Software as a Service)事業者は、デフォルトで完全にオープンなアクセスを許可していた。この医療機関は多くのクラウドを利用しているため、エイミーが手動でIaaSの権限許可を緩和し、SaaSで適切な制御を確保するのは不可能だ。そこで解決策となるのが自動化だ。
「われわれはもはや、『どのようにセキュリティを提供し、リスクを管理するのか』という単純な質問をされることはなくなった」と、Gartnerのバイスプレジデントでアナリストのカテル・ティールマン氏は、2019年6月に米国で開催されたGartner Security and Risk Management Summitで語った。
「われわれはもっと複雑な質問をされるようになっている。『自社がより多くの価値を生み出すために、私たちはどう貢献するのか。そしてリスクやセキュリティ、さらには安全性を、どのように評価、管理するのか』といった具合だ。今、自社に価値をもたらす最良の方法は、自動化を利用することだ」(ティールマン氏)
自動化は、セキュリティとリスク管理の切り札として、そして認識、理解する必要があるセキュリティの新しいフロンティアとして、関連分野にインパクトを与えている。
多くの企業がクラウドやブロックチェーン、デジタルツイン、イマーシブ・テクノロジーといった新しい技術を導入し始めており、エイミーのようなCISOにとっては重要課題が山積して手に負えなくなる恐れがある。
「ビジネス部門は、セキュリティ担当者に相談せずにソリューションを構築することが多い。彼らは毎日のように技術に関連する選択を行っており、多くの場合、自分たちがやろうとしていることがリスク管理上、どんな意味を持つのかを理解していない」と、Gartnerのアドバイザリーディレクターを務めるベス・シューメカー氏は指摘する。
ビジネス部門が行うこうした選択(セキュリティ担当者は管理できない上、把握できるとも限らない)は、重大な結果をもたらしかねない。デジタルビジネスの可能性がますます大きくなっているだけになおさらだ。
デジタルトランスフォーメーションの進展を背景に、セキュリティニーズと必要なスキルセットおよび能力が変わってきており、その結果として、解決が(不可能ではないとしても)難しい、新たな人材不足が起こっている。
多くの自動化ツールはアドホックだが、プロセスの重要部分を一定の方法で自動化するツールもある。1つの技術を使用するツールもあれば、幾つかの技術を利用するタイプの自動化もある。例えば、ロボティックプロセスオートメーション(RPA)は、タスク中心の環境や予測モデリング、回帰分析、予測、パターンマッチングを利用して、「何が起こるのか」という問いに答える予測分析に最適だ。
一部の企業は、自動化によってコスト削減、標準化、生産性向上を図っている。一方、人的ミスを減らしながら、リスク管理の質と一貫性を高めるために自動化を利用する企業もある。企業が自動化によってスピードやアジリティ(俊敏性)を高めようとする場合もある。
自動化をどのように利用するかにかかわらず、セキュリティやリスク管理のリーダーは、もはや従来のセキュリティアプローチには頼れない。完全な保護は不可能であり、適応型セキュリティ対策をあらゆる領域で随時行うことを前提にした戦略的なセキュリティアプローチとして、CARTA(Continuous Adaptive Risk and Trust Assessment:継続的で適応性のあるリスクおよび信頼の評価)がある。
「われわれは自覚的に、組織のリスクを最小化するとともに、成果達成を支援する適応型の自動化アプローチを取る必要がある」と、Gartnerのシニアディレクターでアナリストのデイヴィッド・マーディ氏は述べた。
「リスクと背中合わせである自動化を適切に行い、価値を生み出すために、適応的にリスクと信頼のバランスを取らなければならない」(マーディ氏)
自動化はリスクを高める場合もある。例えば、アルゴリズムには、開発者の隠れた、または明らかなバイアスが含まれることがある。また、怪しいOSのアルゴリズムが、知らないうちに外部者にコントロールされることもあり得る。
「自動化の選択肢は、現在の状況に適応させる必要があり、将来の状況にも適応可能でなければならない」と、ティールマン氏は語った。
だが、自動化を適切に行えば、セキュリティチームと企業は大きな恩恵を受けることができる。
セキュリティやリスク管理の担当者は、自動化を以下の3つの分野で利用して、価値を生み出す必要がある。すなわち、アイデンティティー(ID)、データおよび新商品/サービス開発だ。
アイデンティティーに関する決定は、常にセキュリティおよびリスク管理チームの管理下で行われなければならない。このことは一段と重要になっている。クラウド環境に移行する企業が増えているからだ。システムや企業がより複雑になると、複数のパスワードのみで本人確認を行うのは、困難かつリスキーになる。
インテリジェントリスクエンジンを使って、プロセスの特定部分の自動化を考えるとよい。リスクエンジンがリスクの過大評価や過小評価をすることなく、ユーザーにとって適切に機能することを保証するには、CARTAアプローチでアイデンティティーを扱うことが重要になる。
企業は膨大なデータを生成する。データの保護と監視を怠ると、大きな代償を払うことになりかねない。実際、企業価値が損なわれる場合もある。
このため、IaaSとSaaSアプリケーションのアクセス制御モデルをレビューする必要がある。CASB(クラウドアクセスセキュリティブローカー)を使用して、データとファイルを特定、分類することを考えるべきだ。CASBと企業向けデジタル著作権管理を組み合わせ、データがどこにあるかにかかわらず、全社のデータを管理対象にするとよい。
企業は、競争力の向上に向けて新商品やサービスを開発し、新しい技術を活用して新しいビジネス機会を探っている。市場投入をスピードアップさせる必要性が高まる中、DevOpsプロセスがセキュリティプロトコルに抵触する場合がある。自動化は、セキュリティが副作用なしでプロセスに最初から組み込まれるDevSecOpsの究極目標の達成を支援する。
対話型アプリケーションセキュリティテストのような自動化オプションの利用を検討するとよい。このテストは、アプリケーションの挙動を内部から観察できるマシンベースのソリューションだ。セキュリティチームはこのオプションにより、品質保証テストがセキュリティテストを兼ねるようにすることができ、セキュリティテストを単独プロセスとして実施せずに済む。
セキュリティやリスク管理のリーダーは、こうしたミッションクリティカルな優先事項に取り組む中で、「セキュリティチームとして何を行いたいか」「他のチームが行う方が理にかなっていることは何か」「かける時間や労力に見合わないことは何か」といった観点から、やるべきことに優先順位を付ける必要がある。また、セキュリティチームは、「自動化をシステムにどのように統合できるか」「CARTAのセキュリティアプローチの下で、どうすれば自動化を適切に利用できるか」を考えなければならない。
「価値保護の推進と価値創造の促進をバランス良く進めるには、われわれは両者間の葛藤を認識、管理し、自動化を適宜、的確に活用しなければならない」(マーディ氏)
出典:Gartner Keynote: Leverage Automation for Modern Security(Smarter with Gartner)
Brand Content Manager at Gartner
Copyright © ITmedia, Inc. All Rights Reserved.