ネクストリード株式会社

コラム

ネクストリードが考える理想のセキュリティ

クラウドセキュリティ

私たちが目指すセキュリティは、「やらないセキュリティ」です。
もちろん、何もしないということではありません。過剰な対策やツールに頼ることなく本当に必要なものだけを残し、無駄なことを「やらない」ことで、強固なセキュリティとユーザー生産性の両立を目指しています。
一般的な考え方とは少し異なるかもしれませんが、私たちが多くのお客様を支援させていただく中でたどり着いた現実解としての「やらないセキュリティ」の考え方と、それを実現するために私たちが行っているセキュリティ支援について紹介させていただきます。

 

1. 持たない 

組織で必要以上にインフラストラクチャーを持たないようにすることで、組織が対処しなければならない脆弱性の数を減らすことができます。

セキュリティ リスクは脅威が脆弱性と結びついたときに発生します。脅威(特に外部脅威)を自分たちで無くしていくことは難しいですが、脆弱性は自分たちの選択によって少しずつ無くしていくことができます。
技術的な脆弱性はソフトウェアに存在するため、ネットワークやサーバー、OS、アプリケーションなどを自社で保有しない、つまりクラウド サービス(SaaS や PaaS)の利用を選択していくことで組織が対応しなければならないセキュリティ スコープを大幅に削減できます。もちろんクラウド環境に脆弱性が存在しないわけではないですが、共有責任モデルのもとでプロバイダーにインフラ管理の責任を委ねていくことで、自分たちでしか対応が出来ない他の重要領域(例えば機密データの保護や残存リスクの分析、社員の意識向上トレーニングの実施など)に時間をかけられるようになります。

 

ドメイン コントローラーやサーバー、VPN、VDI などのオンプレミス資産は脆弱性の宝庫であり、また保護するための技術的な難易度も高いため、これらの資産は持っているだけでセキュリティ リスクが高まると言っても過言ではありません。完全になくすことは難しいまでも、持つべき領域と委ねる領域を見極めることで、セキュリティの管理負荷とリスクのバランスを最適化できます。
セキュリティ関連のソフトウェアでさえ脆弱性を内包している場合があります。必要のないインフラストラクチャーを手放し、あえて「持たない」ことで、シンプルで一貫したセキュリティ アーキテクチャを目指します。

 

2. 禁止しない 

ユーザーに自由度高く働ける IT 環境を提供することで、重要データが管理外システムに流出する機会が低減され、結果的にセキュリティ ガバナンスが維持されます。

ユーザーにとって使いにくいシステム設計こそがセキュリティ対策だと考える人もいます。しかし、そのようなアプローチでは部門やユーザー独自に選択したシステムを利用するようになり、管理の及ばない環境に機密データが持ち出されるリスクが高まり、結果として組織全体としてのセキュリティ ガバナンスを維持できなくなる可能性があります。

 

ユーザーがストレスなく利用できるシステムを用意し、そのシステムを利用しているだけで無意識に保護され、自然とログが溜まっていくように設計しておくことで、組織で発生しているリスクの兆候をタイムリーに把握できるようになります。
適切なセキュリティ対策(例えば、デバイスの脆弱性を管理し、攻撃面積を最小化するポリシーを適用し、アンチウィルスと EDR で保護するなど)を適用し、さらにログやアラート監視を組み合わせることで、ユーザーにもっと自由に生産性高く働いてもらうことが可能になります。
一般的には制限すべきと言われているような、ローカル管理者権限の付与や、業務と関係のない Web サイトの閲覧、自宅やカフェなどからのリモート ワーク、個人デバイスの利用(BYOD)なども選択肢として十分に検討可能です。
ユーザー生産性とセキュリティは相反するものではなく、ユーザー生産性を支えるためのセキュリティという考え方に立脚した「禁止しない」設計こそが、持続可能で実効性の高いセキュリティ ガバナンスの実現につながります。

 

3. 拡げない 

新しいセキュリティ製品をむやみに導入せず、統合クラウド プラットフォームを最大限活用することで、複雑化による新たな脆弱性の発生や運用コストの増加から解放されます。

市場では XDR、SASE、SSE などの新しいセキュリティ製品カテゴリが次々と登場し、注目を集めています。しかし、それらのセキュリティ ツールを無計画に導入していくと、ライセンス コストや管理工数が増加するだけでなく、セキュリティ アーキテクチャが複雑化する恐れがあります。
セキュリティ アーキテクチャが複雑になることで、その構成の隙間に新たな脆弱性が生じやすくなり、一部のリスクに対応するために他のリスクが発生するようなゼロサム状態に陥る危険性もあります。
まずは、現在ご利用中のシステムで提供されているセキュリティ機能をしっかりと学び、使える機能は全て活用し、出力されるログも最大限に活用しましょう。それでもなお不足する要件がある場合にはじめて、新たなセキュリティ機能の追加を検討すべきだと考えます。

 

また、セキュリティ アーキテクチャを検討する際は、流行の製品カテゴリを組み合わせるのではなく、Microsoft や Google など生産性とセキュリティが統合されたプラットフォームを採用することで、ゼロ トラストに代表されるシンプルで一貫性のあるセキュリティ アーキテクチャに自然と準拠しやすくなります。
複数のセキュリティ製品を、少しずつ時間をかけて導入していった先に待っているのは、当初の想定から移り変わったセキュリティ トレンドと終わらないインテグレーション地獄です。一方で、統合クラウド プラットフォームをベースとしたセキュリティ アーキテクチャであれば、セキュリティ トレンドに自動的にアラインされるだけでなく、学習やインテグレーションなどの将来の運用コストを大きく抑えることができます。

 

■「やらないセキュリティ」をサービスとして提供する NR Automate Security

ネクストリードでは、こうした「やらないセキュリティ」に共感いただけるお客様とともに、シンプルで強固なセキュリティの構築・導入を進めています。
しかし、セキュリティを構築・導入するだけでは私たちの理想とするセキュリティを実現することはできません。セキュリティが想定通り機能しているか、ユーザー生産性が妨げられていないか、活用できる新しい機能がないかを継続的に確認し、お客様のセキュリティ アーキテクチャを常に最適な状態にアップデートし続ける必要があるためです。また、より喫緊の課題としては、攻撃による侵害が発生していないかについても常に把握し続ける必要もあります。

 

これらの要求に応えるため、私たちは特に専門的な知見が要求される領域であるログやアラートを監視・分析するサービスとして NR Automate Security(NRAS)を提供しており、私たちが監視を行うことでユーザーが安心して自由度高く業務に集中できるようにしています。
NRAS の導入により、大半が誤検知であるアラート対応や不審な兆候を調査するためのログ分析の負担からセキュリティ管理者を解放し、パスワード漏えいやマルウェア感染などの本当に必要な対応についてはタイムリーに支援を行います。また、ログやアラートの出力傾向をもとに改善が必要であったりまだ活用できていなかったりするセキュリティ機能の活用を提案することで、お客様のセキュリティが自然と高まっていく状態を目指しています。

 

 

「やらないセキュリティ」によって、シンプルなセキュリティ アーキテクチャを維持しながら、強固なセキュリティとユーザー生産性を両立する私たちの理想のセキュリティについて説明させていただきました。
私たちのセキュリティに対する考え方に共感いただき、一緒にセキュリティ強化の歩を進めていきたいと思っていただけた場合は、ぜひネクストリードを皆さま自身の理想のセキュリティを実現するための仲間として加えていただけますと幸いです。

 

【関連記事】
すごいぞ NRAS!自社のセキュリティソリューションに救われた話
https://nextread.co.jp/column-casestudy/security02/

サイバー攻撃事例から考える M365 によるゼロトラスト実現ステップ
https://nextread.co.jp/column-casestudy/security01/

 

 

SHARE

BACK POST