ホノルルからウォール街の金融機関に永久に在宅勤務する、というシナリオは、ほんの2年前にはあり得なかったことです。しかし、今では、高層ビルからと同じようにビーチからも生産性を上げることが可能であると、世界中に受け入れられています。実際、Upworkによると、2020年以降、米国ではリモートワークを理由に500万人近くが移住し、さらに1900万人が移住を計画しているという。
パンデミック以前は、ユーザーの所在地が固定されていたため、アクセスポリシーを作成するのは比較的簡単でした。例えば、全員がニューヨークのオフィスで仕事をすることになっていて、ハワイのコーヒーショップから接続要求が来たとします。判断は簡単で、アクセスを拒否すればいいのです。
しかし、リモートワークやハイブリッドワークが標準になりつつある現在、ユーザーはどこにいてもよく、このようなポリシーは生産性の妨げになります。オフィスでの境界線がもはや意味をなさなくなった今、どこにいても仕事ができる従業員をサポートしながらデータを保護するにはどうしたらよいのでしょうか?
先日、Google の Ashish Kathapurkar と Nikhil Sinha をSecurity Soapbox Podcastに招待し、この分散化した作業環境がセキュリティチームにどのように組織を守る方法を見直しているのかを議論しました。このポッドキャストで、私たちの会話から得られたいくつかのポイントを紹介します。
Zero Trust私たちは誰を、何を信じればいいのでしょうか。
多くの企業は、「どこでも仕事」の取り組みをサポートするために、セキュリティの適応が必要であることを認識しています。そこで問題となるのは、どのように対応するかということです。
Zero Trust のような一般的なフレームワークを支持するのは簡単です。つまり、そのリスクレベルが検証され、受け入れられるまで、いかなるエンティティもアクセスを許可されるべきではありませんが、それを達成する方法についての明確なロードマップは存在しません。
米国国立標準技術研究所(NIST)は、Zero Trust を、サイバーセキュリティを静的なネットワークベースのパラメータから、ユーザー、資産、リソースに焦点を当てるように進化した一連のパラダイムと定義しています。つまり、リスクを適切に評価するためには、ユーザーとそのエンドポイントだけでなく、使用する場所やネットワーク、アクセスしようとするデータやアプリも追跡する必要があるということです。
セキュリティはチームで取り組むべき:責任共有モデル
リモート環境やハイブリッド環境では、どのようなセキュリティインシデントが待ち受けているかを予測することはほとんど不可能です。Zero Trust 、このジレンマを解決するために、そもそも信頼できるエンティティが存在しないことを前提としたエレガントなソリューションを提供します。
このフレームワークを完全に実装するためには、ユーザーのIDやクレデンシャルだけでなく、さまざまなコンテキストデータを分析する必要があるというのが、AshishとNikhilの二人の意見です。この深い分析を行うために必要な大量の遠隔測定データを収集するために、組織はクラウドプロバイダーからのデータだけに頼ることはできません。
これにより、「責任共有」モデルが構築され、例えばモバイル・セキュリティ・ソリューションは、モバイル・エンドポイントが危険にさらされているか、または危険なネットワークに接続されているかどうかに関するコンテキストを提供します。また、クラウドアクセスセキュリティブローカー(CASB)が、エンドユーザーの行動や扱われているデータの種類を調査することも可能です。
よりホリスティックなセキュリティへのアプローチ
従業員が生産性を維持するためにあらゆるデバイスからクラウドアプリケーションにアクセスする中、ネットワークベースのレガシーツールでは、企業データを保護するために必要な可視性と制御を提供することができません。
オンプレミス、クラウド、ハイブリッドのいずれのアーキテクチャで構築する場合でも、セキュリティは、クラウドアプリが他のソリューションと連動して動作するような統合的な取り組みである必要があります。Zero Trust を実現するには、すべてのアプリケーション、ユーザー、エンドポイントから遠隔測定を行い、アクセスに関する意思決定によってデータを保護すると同時に、生産性を向上させる必要があります。
このポッドキャストでは、Googleの友人とのより詳細なディスカッションを行うことができます。また、Googleとのパートナーシップのページでは、この重要な問題に対して両社がどのように協力しているかをご紹介しています。