セキュリティチームは、新しい業務のやり方がセキュリティの可視性にどんな影響を与えるかを注視しなければならない。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
新型コロナウイルスの感染拡大の影響で、企業はかつてない規模でリモートワークを導入している。政府と地方自治体のどちらの強制かにかかわらず、企業は多くの(全てではないとしても)従業員に、自宅で仕事をすることを求めている。
この動きに伴い、IT部門はインフラとキャパシティーに関する明確な課題への取り組みを迫られているが、この動きはセキュリティチームにも課題をもたらす。企業は、リモートワークの拡大を世界規模で急速に推進しているからだ。
多くの企業は、中核的なセキュリティ運用監視の一環としての運用テストがなされていない、リモートワークシステムを利用している。その結果、多くの企業では、セキュリティシステムのアラートや問題検知が少なくなるだろう。なぜなら、インターネット閲覧などにおける従来の社内インフラの利用度は下がり、ユーザーは企業が認可していないデバイスなどの資産から、Webベースのアプリケーションを使って仕事をするかもしれないからだ。
セキュリティオペレーションセンター(SOC)のアナリストにとって、これは天国のような状況に思えるかもしれない。対処すべき誤検出が減りセキュリティポリシー違反の発生も少なくなり、集中的に取り組みたいが、これまでは時間が取れなかったことに時間をかけられるからだ。
だが、アラートの減少は、安全性の向上とイコールではない。むしろ、それはセキュリティの可視性が低下して、状況が分からなくなっているということかもしれない。もちろん、可視性の低下は、セキュリティ脆弱(ぜいじゃく)性の減少とイコールではない。セキュリティリーダーは以下のような問いを立てて、自社の新たなリスクに注意しなければならない。
セキュリティ運営委員会を設置し(まだ設置していなければ)、会議を随時行い(オンライン会議かもしれない)、こうしたセキュリティ課題に取り組むときだ。目下の社会経済的課題に対する政府の取り組みと同様に、われわれはこうした課題への対応を、状況に応じて機動的に行わなければならない。
政府が一流の医療専門家を起用するように、セキュリティ運営委員会は経営幹部だけでなく、主要な全てのセキュリティ分野ごとに、スキルを持つ人材を擁する必要がある。委員会が目指すべきは、セキュリティオペレーションにおいて後手に回ることなく、この潜在的な危機への戦略的対応を優先的に行うよう支援することだ。セキュリティの課題に関しては、受け身の対処は許されない。会議では、幾つかの重要ポイントをチェックし、課題があれば解決策を導き出さなければならない。
1.正しい方向を目指しているか
ユースケースやセキュリティデータソース、エンドポイントエージェントなどは、全てわれわれのビジネスの継続を支える分野にフォーカスしているか。大きなギャップ(盲点)はないか。
2.全てが終息した後に通常業務に戻る計画を策定済みか
われわれのデータの行き先をどのように記録しているか。データの安全性をどのように維持するか。
3.適切なセキュリティオペレーションモデルを運用しているか
こうした課題は、技術ではなく強固なプロセスによって解決される。解決の目標は2つある。セキュリティオペレーションチームのために優先順位を設定することと、調整されたビジネスリスクのセットに集中することだ。ただし、しかるべきときが来たら、円滑に通常モードに戻る道筋をつけることも忘れてはならない。
現在の環境下におけるビジネス要件の変動に応じて、セキュリティユースケースを再評価することが求められる。そのためにはまず、新しいデータソースと新しい働き方を考慮に入れる必要がある。さらに、新しい主要なビジネスツール(リモートワークプラットフォームやVPNなど)の保護を考えなければならない。
このプロセスには、後で元に戻せるように全ての変更を綿密に文書化することが含まれる。これにより、新たなリスクの全ての発生源がどこにあるかを理解し、記録する。変更が戦略的とされていても慎重に評価する必要がある。現時点では、ほとんどの変更は、おそらく戦術的なものだからだ。また、新しい業務のやり方に対応した安全対策も再評価する必要がある。
企業のセキュリティ担当者は、迅速に動かなければならない。それは、「セキュリティオペレーションスタッフやSOCアナリストは、リモートワークができるか」という問題であるだけでなく、自社が新型コロナウイルスの影響に対処する中で、「どのような新しいリスクが生まれているか」「われわれのセキュリティ上の優先順位は変わったか」が問われているということでもある。
自社にとって、こうした変化が社内セキュリティチームで対応できる範囲内であるか、あるいは、自社が新たな要件に対応して迅速に変わるため、セキュリティサービスプロバイダーと契約する必要があるかにかかわらず、明らかなことがある。それは、自社を守るための施策がサイバーリスクを低く抑えるために設定した目標に合致することを確認するため、「デューデリジェンス(精査)」を行う必要があるということだ。優先順位と実現可能性に合わせて調整をすることで、アジャイルな変革を実現できる。
出典:Are Your New Remote Workers Visible to Security Operations?(Smarter with Gartner)
Sr Director Analyst
Copyright © ITmedia, Inc. All Rights Reserved.