指針となる3つの原則
包括的なマネージドサービスを提供するサプライヤーでもあるAvanadeにとって、サプライチェーンにおけるサイバーセキュリティは、顧客にアドバイスする概念に留まりません。顧客環境を安全に保つべく、自らも実践しています。
昨今重要度が増しているゼロトラストにはさまざまな捉え方がありますが、例えばAvanadeが顧客に勧め、自らも採用するMicrosoftのアプローチは以下のようになっています。
- 確実な検証:すべてのアクセス要求に対する、利用可能なすべてのデータポイントの認証を意味します。調達チームのメンバーは信頼できるように見えるかもしれませんが、いつもと違う場所から新しい支払い要求が来ていませんか? また、いつもと違う時間帯に、いつもと違う場所から支払いの依頼がありませんか? 信頼する前に検証しましょう。
- 最小限のアクセス許可:要求を確認したら、ビジネス上の目的に必要な最小限の特権的アクセスのみを許可します。例えば、非常に限られた期間のみ、関連するシステムのみ、などです。侵入をその影響が及ぶポイントでキャッチすることで、環境内での拡散を抑えることができます。
- 侵害を想定:サイバー攻撃が広範囲に及んでいることを考えると、侵害を受けたことがあるか、現在も侵害を受けているが、それに気付いていないという可能性が高いでしょう。犯罪者との長い戦いのためには、人材、プロセス、技術を結集して戦う必要があります。文化的な変化、ガバナンス、新しいテクノロジーなどのすべてが、この戦いに不可欠な要素です。
始めるための5つの方法
もちろん、これらの原則を実行するのは簡単なことではありません。私たちが常に顧客に伝えているのは、下記5つの観点からのセキュリティ対策です。
- IDを保護する:人、サービス、IoTデバイスのいずれであっても、環境内のすべてのIDに対して、前述の検証、最小特権アクセスの原則を適用する必要があります。
- エンドポイントを保護する:IoTデバイス、電話、BYOD(Bring Your Own Device:私物端末の業務利用)デバイス、クラウドホスティングサーバーなど、エンドポイントの数はこれまで以上に増えています。これらすべてのエンドポイントを監視し、健全性とコンプライアンスを実施します。
- アプリケーションを保護する:保護すべきデータは、レガシーコード、IaaSのワークロード、SaaSアプリケーションなど、さまざまなアプリケーションやAPIを介して消費されています。コードスキャン、コントロール、リアルタイム分析を使用して、異常な動作を監視、制御します。
- データを保護する:最終的には、データこそが保護すべきものです。データを分類し、ラベルを付け、暗号化し、その属性に基づいてアクセスを制限します。自分が管理するデバイスからデータが出て行った後も、セキュリティを確保するように努めましょう。
- マネージドサービス自体の安全性:IT環境を効果的かつ安全に運用するためのマネージドサービスですが、提供プロバイダー自体が「ドア」となっていないでしょうか。プロバイダーが適切な保護措置を講じていること、そしてそのプロバイダーが十分に信頼できることを確認する必要があります。
- Rajiv Sagar(ラジーブ・サガー)
- Avanade
- グロースマーケット地域 サイバーセキュリティリーダー、グローバルサイバーセキュリティ戦略リーダー
- Avanadeのアジア太平洋とラテンアメリカ、またグローバルのサイバーセキュリティ事業戦略を統括している。サイバーセキュリティの専門家チームを率いて、サイバーセキュリティの脅威から組織を保護し、強固なセキュリティ戦略を構築するための総合的なアプローチを提供している。
