可視性により、レガシー資産のためのゼロトラスト・カバレッジを確保する

セキュリティ戦略に関しては、ゼロトラストは無視できないほど大きくなりつつあります。Forrester社のプリンシパルアナリストであるチェイス・カニンガム氏によると、「20件の電話があったとしたら、そのうち17件はゼロトラストに関するものです。CISO、CIO、CEOは皆関心を持っており、様々な規模の企業が関心を持っています。そして、3年後には、ゼロトラストはサイバーセキュリティの一流のフレームワークの1つとして挙げられるようになると思います。」

ゼロトラストをお考えですか? ゼロの盲点を考える

レガシーインフラストラクチャの保護は、セキュリティ戦略の重要な要素です

大胆な発言ですが、それをバックアップしているのがITの展望です。現代のハイブリッド・データ・センターが一般的になるにつれ、データ・センターに出入りする南北だけでなく、東西の4つの壁の中でのトラフィックの正当性を確認することは、これまで以上に難しくなっています。歴史的には、境界線のセキュリティ対策があれば十分でしたが、今日ではこの停泊杭のアプローチは心配なほど不十分であり、クラウド内ではファイアウォールはもはや関係ないと言う人もいるかもしれません。自動スケーリング、コンテナ、メッシュ、マイクロサービス・アーキテクチャなどの例を挙げると、資産はネットワーク上にとどまりません。

一方で、攻撃者はより洗練された攻撃ツールにアクセスし、高度な攻撃パターンを活用し、フィッシング詐欺やユーザーのなりすましなどのソーシャルエンジニアリング手法を利用して玄関ドアを突破しようとしているため、攻撃を成功させるために天才である必要はありません。この時点で、最も重要な資産と機密データに到達するまで、それは時間の問題であり、横方向の動きとクレデンシャルの使用の増加です。

ゼロ・トラストはどのように役立つのでしょうか?

このような現実の中で、2010年にジョン・キンダーバーグ氏がネットワークセキュリティに関して「噛みごたえのあるセンターはもういらない」と宣言して以来、ゼロトラストの枠組みは進化してきました。内部の重要な資産をどのように保護するかに注意を払わずに、外部を強化するだけでは不十分です。単純な前提として、企業は「絶対に信用せず、常に検証する」べきだということです。実際には、これは、明示的に許可されていない限り、すべてのアクセスが遮断されていることを意味します。広く考えると、このモデルを適切に実装するには、ユーザーだけでなく、デバイス、ワークロード、データも含まれます。

マイクロセグメンテーションは、企業がネットワーク・セキュリティのためにこのゼロトラスト戦略を採用し、重要な資産や顧客データの周りにマイクロ・ペリメーターを追加し、厳しいポリシー制御でアクセスを強制することができる強力な技術となっています。

可視性から始める

マイクロセグメンテーションを実施するためには、可視性が必要です。データセンター全体(どこに設置されているか、または実装されているかに関わらず)を可視化することができなければ、何を保護する必要があるのかを確認したり、アクセス・ポリシーを強制することでサービスの中断やボトルネックを起こさないようにすることはできません。適切な可視性がなければ、企業は、ビジネス戦略やパフォーマンスの最適化に適した方法でセキュリティを自動化したり合理化したりするよりも、ITチームの仕事を増やすことになるかもしれません。

最高のセキュリティ技術は、全体を通して早期かつ継続的に作用するため、DevOpsチームは、バックグラウンドでセキュリティがスムーズに実行されるという安心感を持って、迅速かつアジャイルな意思決定を行うことができます。これを実現するためには、エコシステム全体の全体像を把握することが基本的な第一歩であり、レガシーシステムからクラウドやコンテナ技術まで、すべてを自動的に含むマップを作成します。マップがセキュリティポリシーを作成する上で真に価値のあるものになるためには、すべての依存関係をリアルタイムで表示し、サーバー、アプリケーション、およびワークロードに不可欠なコンテキストを提供する必要があります。

また、この可視性により、企業はネットワークのセグメント化不足や過剰なセグメント化によって引き起こされる問題を回避することができます。セグメント化が不十分であれば、重要な資産が深刻なリスクにさらされたままになる可能性があります。セグメント化が過剰になると、ポリシーが厳しくなりすぎて、通常の業務や DevOps のプラクティスやパイプラインの邪魔になってしまいます。セグメンテーションを達成するための最良のアプローチは、価値を迅速に実現するための時間を提供するためにぶら下がりの少ない成果から始めて、コンプライアンスの義務化などの大規模なプロジェクトに移行し、そこからより詳細なポリシーを実施するという段階的なアプローチです。その間、ゼロトラストの実装をサポートする適切なテクノロジー・パートナーがいれば、アーキテクチャの変更を可視化し、施行モードに入る前に問題を事前に警告することができます。

しかしながら、段階的とは、不完全な状態を意味するものではないことを理解することが重要です。ネットワーク全体の全体像を把握していない状態でゼロトラストの旅を開始すると、一貫性のないポリシーや盲点が生じてしまいます。多くのマイクロセグメンテーション・ベンダーは、コンテナやマイクロサービスなどの将来を見据えた技術を重視していますが、使用済みのアプリケーションやレガシー・アーキテクチャについて考えることも同様に重要です。

すべてを含める:戦略の一環としてのレガシーシステム保護の重要性

「企業は古いシステムを近代化すべきだ」と言うのは簡単ですが、これは言うは易し、行うは易しではありません。実際、多くの組織にとっては、一見危険なほど時代に遅れているように見えても、システムを取り除くのが難しいほど、ビジネスクリティカルなシステムである可能性が高くなります。

銀行、保険、電気通信、ヘルスケアなどの一部の業界では、部分的にモデム化されたレガシー技術に今も、そしてこれからも依存しています。レガシーサーバーやアプリケーションの割合が減少しているにもかかわらず、古いオペレーティングシステムやハードウェアをベースにした重要なアプリケーションは依然として多く存在します。次の例は一般的ではありませんが、金融取引を処理するレガシーな IBM AIX マシンや、Solaris サーバー上で動作する Oracle DB が通信会社のために非常に特殊なタスクを実行しているのを見かけることがあります。

連邦政府のレガシーシステムに関する最近の調査では、50年以上前のシステムもあり、財務省、教育省、保健福祉省などに高いセキュリティリスクをもたらすことがわかっています。

レガシーシステムがこれほど重要な場合、ゼロトラスト戦略からレガシーシステムを除外するのは短絡的であり、初日からレガシーの計画を立てずに全体的なマイクロセグメンテーション戦略を立ち上げることは不可能です。ゼロトラストの採用に適したパートナーは、レガシーをマイクロセグメンテーションのアプローチに含めるだけでなく、最初からマップ内のすべてのレガシーインフラストラクチャを可視化し、意識していなかったかもしれないレガシーシステムを明らかにし、最も重要な場所で意識する必要のある接続やトラフィックを一目で特定することができます。

将来を見据えたロードマップでレガシーシステムのセキュリティニーズのバランスをとる

多くの場合、これらのレガシーシステムは、企業のビジネスロードマップの達成を妨げる障害となっています。実際、CIOの43%が、レガシーインフラがデジタルトランスフォーメーションの妨げになっていると答えています。

つまり、ゼロトラスト・モデルを可能にする技術は、両端のインフラを考慮し、スペースを確保する必要があるということです。多くの場合、デジタルトランスフォーメーションがゼロトラストの必要性を生み出したのは事実であり、今日の最新のデータセンターはより複雑になり、トラフィックや通信フローの可視性が低下しています。つまり、ベンダーは最も未来に焦点を当てた技術をサポートし、次の大きなことが起こるかもしれないものに備えておく必要があるということです。

しかし、これらの同じ組織の多くは、レガシーニーズを持っており、単に見逃したり、近代化したりすることはできません。これらの組織は、最もビジネスに不可欠なワークロードやデータを担当していることが多いため、環境のセグメンテーション、コンプライアンス・プロジェクト、ユーザー・アイデンティティのアクセス管理など、あらゆるセグメンテーション戦略の早期かつ継続的な焦点となる必要があります。

レガシーテクノロジーは過去にとらわれる必要はない

この二分法に対処しようとする企業にとっては、厳しいセキュリティを把握することが不可能なように感じられ、ベストプラクティスを用いたゼロトラスト・モデルへの移行がさらに困難に感じられます。インテリジェントなマイクロセグメンテーション技術は、レガシーなニーズを無視することなくエコシステム全体の広範な可視性から始まり、基盤となるプラットフォームに関わらず、ワークロードに合わせてシームレスに移動する気密性の高いポリシー作成へと移行します。

レガシーの近代化がロードマップ上にあるかどうかに関わらず、今すぐにでもリアルタイムでカバーできるセキュリティが必要です。2020年に向けて、ゼロトラストをto-doリストに入れている場合は、デモを予約するために連絡してください。

コメント

タイトルとURLをコピーしました