Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Zscaler book

Learn how Zscaler enables work-from-anywhere.

Download the eBook today

Select your role & we’ll curate content specifically for you
ブログ > 会社情報

シャドー IoTに光を当てて組織を保護する

公開日:

著者:

Deepen Desai

シャドー IoTに光を当てて組織を保護する

ゼットスケーラーのThreatLabZチームは本日、新しい調査レポート(企業におけるIoTの利用2020年版:新たなセキュリティ脅威となるシャドーIoTが)を発表し、シャドーIoTデバイスとトラフィックが組織において急増している現状と、それらの脅威から組織を保護する最良の方法に関するいくつかの疑問を提起しています。これらのリスクを軽減するには、どうすれば良いのでしょうか?考え方をどのように変え、どのように備えるべきでしょうか?

さまざまなメーカーが一般ユーザと企業の両方に向けたデバイスを次々と市場に投入していることから、IoTの脅威環境は絶えず拡大し、変化しています。この分野の規制が整備されておらず、お菓子のように次々とデバイスが登場しているため、組織は、企業ネットワークで実際に使われるようになっているものの、データを通信したり転送したりしているデバイスの種類やIoTエコシステム全体のセキュリティを確保する方法を知ろうと格闘しています。

IoTデバイスには当初から、安価で不備が付き物であり、デバイスソフトウェアの耐用年数が短く、基本的には使い捨ての短期的な投資であるという前提で製造されています。継続的なテスト、ソフトウェアのアップデート、あるいはパッチの適用に関する規約がないにもかかわらず、これらのデバイスは例外なくインターネットに接続され、多くの企業ネットワークにも接続されています。

それでは、どうすればよいのでしょうか?すべてのIoTデバイスを全社的に禁止しますか?残念ながら、それで本当に上手くいくという保証はありません。

問題を解決する道が閉ざされているわけではありません。スマートウォッチ、スマートクローゼットなどというように、スマートが付く商品が次々と考案され、製造されます。デバイスを禁止したところで、問題が解決されるわけではありません。セキュリティとリスクの観点からのIoTデバイスについての考え方や、これらのデバイスのセキュリティ対策の強化に関するメーカーへの要望を変えることこそが、問題を解決する鍵となります。
 

シャドーIoT:影に光を当てる

何よりも先に必ず取り組まなければならないのは可視性です。存在を知らないものを保護できません。存在するデバイスの種類や企業ネットワークでデバイスが実行しているアクティビティの量をどのようにして把握できますか?世界中の企業が、さまざまな手法を採用し、このプロセスを管理しており、さまざまなアプローチがあります。古くからある方法では、すべての要素が旧式の企業ネットワークに置かれ、すべてのデータがデータレイクに収集され、うんざりするほど長いファイアウォールポリシーが実装され、高価な分析プラットフォームを利用し、大量にアラートが発生するため、いずれは気に留めなくなってします。 

可視性の問題を複雑にしているのが、ユーザがあらゆる場所から接続するようになり、少なくともアプリケーションの一部はクラウドに置かれるようになっているという現実です。古いアプローチにいつまでも縛られたのでは、すべてのユーザ、デバイス、アプリケーションを可視化できず、リスクが軽減されることも、コンプライアンスに必要なセキュリティコントロールやポリシーの適用が可能になることもありません。ただし、少なくともユーザにとっては何の問題もないように思えますが、もちろん、それは間違いです!一般ユーザ向けのような高速のユーザエクスペリエンスをアプリに誰もが期待しますが、インターネットへのトラフィックがタイムゾーンがいくつも離れた場所に置かれたセキュアゲートウェイを経由してルーティングされるため、ユーザエクスペリエンスが低下し、セキュリティをバイパスしようと考えるユーザが間違いなく現れます。 

新しいクラウドアプローチでは、インターネットをすべてのビジネストラフィックを送受信する新しい企業ネットワークとして利用し、すべての接続をゼットスケーラーのクラウドで保護します。ゼットスケーラーのプラットフォームは、ユーザが接続する場所やアプリケーションがホストされる場所に関係なく、すべてのインターネットトランザクションを処理するため、すべてのトラフィックフローを完全に可視化でき、セキュリティサービスによって、驚異の侵入を防ぎ、機密データの流出を防ぎます。また、セキュリティがエンドポイントの近くに存在するため、高速です。
 

ゼロトラストはIoTデバイスにも当てはまる

モバイルファースト、クラウドファーストの世界における可視性の1つの要素として、ゼロトラストの考え方が注目されています。流行語に過ぎないと言う人もいますが、簡単に言えば、ユーザが誰で、デバイスが何であるのか、そして、そのユーザやデバイスにアクセスしようとするアプリケーションへのアクセスが許可されているのかどうかがわかるまでは、セキュリティ担当者がそのユーザやデバイスを信頼し、ネットワークに触れさせないという考え方です。 

1人のユーザがフィッシングリンクをクリックしたことでたった1つのマルウェアがダウンロードされ、組織全体に拡散してしまったといった例は枚挙に暇がありませんが、マルウェアがオンネットワークになることがないのであれば、そのような事態は起こり得ません。 

ユーザが不正添付ファイルを開いた場合に、どのようにマルウェアの拡散を防止できるのでしょうか?1つは、SDP(Software-Defined Perimeter)とも呼ばれるZTNA(ゼロトラストネットワークアクセス)を使用する方法です。ZTNAは、アイデンティティアクセス管理と企業が用意した意味あるポリシーを使用することで、エンタープライズアプリケーションを囲む境界を作成します。ZTNAの詳細については、ガートナーのZTNAマーケットガイドをこちらからダウンロードして、参照しててください

職場における行動についてのトレーニングを従業員に実施することも重要です。たとえば、サイバーセキュリティのベストプラクティスのトレーニングを従業員に義務付けますが、同時に、意味あるビジネスポリシーをゼロトラスト設計に組み込む必要もあります。従業員に特定の個人用デバイスによる企業ネットワークの利用を許可しないポリシーを実装するのであれば、それが組織にとってのセキュリティリスクになることはありません。 
 

IoTにもジュネーブ条約の制定を 

IoTデバイスの開発とセキュリティに関するガイダンスを提供する目的で、世界中でさまざま規約が公的機関によって制定され、法規制が提案されています。流通のプロセスが広範で多くの企業が製造に携わることから、セキュリティとプロセスを義務付ける、さまざまな国で制定された、これらの個別の法律と法規制では、当然ながら十分ではありません。技術分野のグローバル企業として事業を展開する大企業が推進役となって、IoTの製造に関するグローバルな規約を制定し、提言をまとめる必要があります。

米国はIoTデバイスの最大の利用者として、このイニシアチブを主導する絶好の立場にいるため、長年にわたって、IoTのセキュリティについて、さまざまな団体から多くの提案がされてきました。これは、IoT Consumer TIPS ACT of 2017やSMART IoT Actなどの法案によって明らかにされていますが、2018年までは、それほど多くの支持を集めることはありませんでした。カリフォルニア州は昨年、米国の州として初めて、IoTデバイスを対象とするサイバーセキュリティの法案であるSB-327を可決し、1月1日付けで施行を開始しました。 

SB-327は、カリフォルニア州で販売されるすべてのIoTデバイスに対し、広範な製品カバレッジ、柔軟なセキュリティ義務、初期パスワード管理の要件などの合理的なセキュリティ対策を組み込むよう求めており、完璧ではないものの、少なくとも出発点にはなるでしょう。
 

シャドーIoTからの保護

IoTデバイスの可視化を可能にし、適切なゼロトラストネットワークアクセスポリシーを実装し、グローバルでIoTデバイスの製造と規制の方法を変える方向へと導くことで、シャドーIoTの存在を明らかにし、組織と顧客を保護できるようになります。調査結果の詳細については、企業におけるIoTの利用(2020年版):シャドーIoTがセキュリティの新たな脅威にを参照してください。

 


ゼットスケーラーのセキュリティリサーチ担当バイスプレジデントでThreatLabZのディレクタでもあるDeepen Desaiは、この分析を担当したモバイル/IoTリサーチチームに対し、感謝の意を表します。



お勧めのブログ