ゼロトラスト: リスクと可視化

当社が提携している多くの組織がゼロトラストの導入を進めている中で、基本的なリスクを理解することは簡単なことではないと聞いています。セキュリティチームは、企業が重要プロセスをサポートするアプリケーションを探す際に、ビジネスが思うままに行動することを受け入れています。以前のように要件をITチームや情報セキュリティチームに委ねて決定を下すのではなく、ビジネスが思いのままに行動するのです。アナリストは、2024年までにテクノロジー製品およびサービスの80%がITプロフェッショナル以外の人によって構築され所有されるようになると予想しています。そのため、リスクを管理することは、重要なリソースをセキュリティチームが検査、監視、保護できるように包括的な可視性を確保することを意味します。

企業が使用するクラウドIaaS、SaaS、およびデータ共有アプリケーションの急増は、ほとんどのユーザーが従来の職場環境では（つまり会社が管理するデバイスを使って会社のネットワークで業務を遂行していたとき）管理可能でした。データ漏えい防止（DLP）、SSL可視化、プロキシといった従来のツールを使用することで、ITセキュリティチームは十分な可視性を確保できました。たとえば、エンドユーザーが「無許可」のクラウドサービスを使用していたら、セキュリティ管理者はその活動をブロックすることで対応することができます。

では、まず可視化から見ていきましょう。どうすれば組織内の可視性を向上させられるでしょうか。

クラウド環境で何が使われているのか、その全体像を把握することが重要です。最も大きな可視化ギャップの1つはシャドーITの使用で、組織で使用されている全クラウドアプリケーションの97%を占めています。リスクのあるトランザクションが「検知の網を逃れる」場合があることは周知の事実です。当社のクラウドデータ漏えい防止（DLP）ソリューションを通じて、許可/無許可のアプリケーションからの全トランザクションを収集、表示、制御する機能を提供します。この可視性をネットワークデバイスおよびプロキシからエンドポイントセキュリティ、プロキシ、およびファイアウォールのログにまで拡張することで、シャドーITの露出をより詳細に評価できます。

この可視化によって、継続的なリスク監視や適応型アクセス制御などの高度な機能が実現されます。組織内のユーザーのリスクを継続的に評価することは重要であり、セキュリティチームがユーザーアクセスの意思決定をリアルタイムで行うために必要な信頼性を提供します。Symantec CASBでは、ユーザーにリスクスコアを適用し、許容範囲を超えた場合には、適応型アクセス制御を行い、誰かのアクセス権限を下げたり、データを共有する権限を下げたり、データを外部と共有しないようにしたりすることが可能です。

このようなツールを使うことで、企業経営者は現在直面しているリスクのレベルを数値化し、そこから実際の許容レベルを定義することができるようになります。ゼロトラストは、何よりもまず、人、プロセス、テクノロジーを中心に構築されるアーキテクチャであるため、ITセキュリティチームはビジネスと連携して、リスクを許容レベルまで低減するために実施すべきアクションと制御を相互に決定する必要があります。共同プログラムを定義することで、継続的な監視、適応型アクセス制御、ふるまい分析などの高度なゼロトラスト機能を実装する機会が創出されますが、いずれも人とプロセスの理解なしには行えません。

ビジネスリーダーが自ら選択したアプリケーションやサービスを採用することを受け入れ、セキュリティチームは、それを阻止しようとすることをやめ、リスクを管理する方向に向かうべきです。ゼロトラストをバックボーンとして、チームはまず、必要な可視性を得るのに役立つ主要テクノロジーに注目すべきです。そうすれば、同じリーダーたちと協力して、ビジネスを保護しサポートするための新しいテクノロジーの導入など、継続的にリスクを管理する方法について相互に正しい決定を下すことができます。