あなたが航海できるセキュリティのハードル - 1人の建築家の視点
この記事では、Microsoft のサイバーセキュリティ アーキテクトである Kozeta Garrett が、エンタープライズ組織で直面するセキュリティ上の最も重要な課題について説明し、これらのハードルを乗り越えるアプローチを推奨しています。
筆者について
クラウド セキュリティ アーキテクトとしての役割では、Microsoft 365 と Azure への移行、エンタープライズ セキュリティ ソリューションの開発、ビジネス回復性のためのセキュリティ アーキテクチャと文化の変革を支援する顧客向けのセキュリティ アーキテクチャの設計と実装に焦点を当てた戦略的および技術的なガイダンスを提供するために、複数の組織と協力してきました。 私の経験には、インシデントの検出と対応、マルウェア分析、侵入テスト、IT セキュリティと防御体制の改善の推奨が含まれます。 私は、モダン化の取り組みを含め、ビジネスのイネーブラーとしてのセキュリティをもたらす変革をリードすることに情熱を注いでいます。
最近のCOVID-19の状況にもかかわらず、過去数年間にセキュリティモダン化の考え方を採用した組織が、安全な方法でリモートで運用し続けることを可能にする素晴らしい位置にあるかを見るのは最も満足しています。 残念ながら、これらの状況は、この即時のニーズに対応できない一部の顧客のウェイクアップコールとしても役立っています。 多くの組織は、これらの非常に異常な状況で運用できるように、迅速に最新化し、蓄積された IT セキュリティ負債を廃止し、セキュリティ体制を一晩で改善する必要があることを認識しています。
良いニュースは、Microsoft は、組織がセキュリティ体制を迅速に強化するのに役立つ優れたリソースをいくつかキュレーションしています。 これらのリソースに加えて、私はあなたがこれらのハードルを乗り越えることができることを願って、私が毎日お客様と遭遇したトップの課題を共有したいと思います。
私は現在、ワシントンDCの首都に近いバージニア州北部に住んでいます。 私は、ランニング、サイクリング、ハイキング、水泳など、あらゆる種類の屋外アクティビティや運動が大好きです。 これらに対抗するために、私は同じくらい多くの料理、グルメ料理、そして旅行を楽しびます。
クラウド導入の開始時からセキュリティ チームとパートナーを組む
まず、organizationのチームが最初から調整することがいかに重要であるかを十分に強調することはできません。 セキュリティ チームは、クラウド導入と設計の初期段階で重要なパートナーとして受け入れられる必要があります。 つまり、セキュリティ チームは、ビジネスに追加された機能 (セキュリティで保護されたモバイル デバイスからの優れたユーザー エクスペリエンス、フル機能アプリケーションからの優れたユーザー エクスペリエンス、限定された機能の電子メールや生産性アプリケーションを超えた企業データの価値の作成など) だけでなく、ストレージ、AI、コンピューティング分析機能を活用して、新旧のセキュリティ課題を解決するのに役立ちます。 成功するには、このシフトのすべての側面 (人 (カルチャ)、プロセス (トレーニング)、テクノロジを含むセキュリティ チームを含める必要があります。 また、セキュリティ オペレーション センター (SOC) の最新化と継続的な改善に投資することも意味します。 セキュリティ戦略をビジネス戦略と環境の傾向に合わせて連携し、デジタル変革が安全に行われるようにします。 これが適切に行われると、組織は、ビジネス、IT、セキュリティの変更など、変更に迅速に適応する機能を開発します。
お客様がハードルを乗り越えるのを見るのは、運用チームと SOC チームの間に実際のパートナーシップがない場合です。 運用チームは、クラウドを採用するための厳しい期限が迫られ、義務付けられていますが、セキュリティ チームは、包括的なセキュリティ戦略を修正して計画するプロセスの早い段階で必ずしも含まれているわけではありません。 これには、さまざまなクラウド コンポーネントとコンポーネントをオンプレミスに統合する必要があります。 このパートナーシップの欠如は、サイロ内で機能し、特定のコンポーネントのコントロールを実装するように見えるさまざまなチームにさらにトリクルダウンし、実装、トラブルシューティング、統合の複雑さが増します。
これらのハードルを乗り越えるお客様は、運用とガバナンスとセキュリティとリスク管理チームの間で良好なパートナーシップを結び、ハイブリッド クラウド ワークロードを保護するためのセキュリティ戦略と要件を改善します。 サイバー セキュリティ ガバナンス、リスク、コンプライアンスの要件に従って、データ保護とシステムとサービスの可用性という究極のセキュリティ目標と成果にレーザーで焦点を当てます。 これらの組織は、運用とガバナンス チームと SOC の間で初期段階のパートナーシップを開発します。これは、セキュリティ設計アプローチに不可欠であり、投資の価値を最大化します。
最新の (ID ベースの) セキュリティ境界を構築する
次に、ゼロ トラスト アーキテクチャ アプローチを採用します。 これは、最新の ID ベースのセキュリティ境界を構築することから始まります。 オンプレミスでもクラウドでも、すべてのアクセス試行が、検証されるまで信頼されていないものとして扱われるセキュリティ アーキテクチャを設計します。"信頼しない、常に検証" です。 この設計アプローチにより、セキュリティと生産性が向上するだけでなく、ユーザーは任意のデバイスの種類でどこからでも作業できるようになります。 Microsoft 365 に含まれる高度なクラウド制御は、ユーザーのリスク レベルに基づいて貴重なリソースへのアクセスを制御しながら、ユーザーの ID を保護するのに役立ちます。
推奨される構成については、「 ID とデバイスのアクセス構成」を参照してください。
セキュリティコントロールをクラウドに移行する
多くのセキュリティ チームは、"ネットワーク境界セキュリティ" を維持し、オンプレミスのセキュリティ ツールと制御をクラウド ソリューションに "強制" しようとするなど、すべてのオンプレミスの世界向けに構築された従来のセキュリティベスト プラクティスを引き続き使用しています。 このような制御はクラウド用に設計されておらず、効果がなく、最新のクラウド機能の導入を妨げます。 ネットワーク境界セキュリティ アプローチで機能するプロセスとツールは、非効率的であり、クラウド機能を妨げ、最新かつ自動化されたセキュリティ機能を利用できないことが証明されています。
このハードルを乗り越えるために、防御戦略をクラウドで管理された保護、自動調査と修復、自動ペンテスト、Defender for Office 365、インシデント分析に移行します。 最新のデバイス管理ソリューションを使用しているお客様は、すべてのデバイス (スマートフォン、パーソナル コンピューター、ノート PC、タブレットなど) に対して、自動管理、標準化されたパッチ適用、ウイルス対策、ポリシー適用、アプリケーション保護を実装しています。 これにより、VPN、Microsoft System Center Configuration Manager (SCCM)、および Active Directory グループ ポリシーが不要になります。 これにより、条件付きアクセス ポリシーと組み合わせることで、強力な制御と可視性が提供され、ユーザーの運用元に関係なくリソースへの効率的なアクセスが提供されます。
セキュリティ ツールの最適な組み合わせに努める
お客様がつまずくもう 1 つのハードルは、セキュリティ ツールに対して "最高の品種" アプローチを取ることです。 新たなセキュリティ ニーズに対応するために "ベスト オブ ブリード" ポイント ソリューションを継続的に重ね合わせ、エンタープライズ セキュリティが破壊されます。 最善の意図を持っていても、ほとんどの環境のツールは、コストがかかりすぎて複雑になるため、統合されません。 これにより、チームが処理できるよりもトリアージに対するアラートが増えるので、可視性にギャップが生まれます。 新しいツールで SecOps チームを再トレーニングすることも、絶え間ない課題になります。
"simple is better" アプローチは、セキュリティにも適しています。 「最高の品種」ツールの後を行く代わりに、既定で連携するツールで「最高の一緒に」戦略を採用することで、このハードルを乗り越えてください。 Microsoft のセキュリティ機能は、アプリケーション、ユーザー、クラウドにまたがる統合された脅威保護を使用して、organization全体を保護します。 統合により、侵入時に攻撃者を含め、攻撃を迅速に修復することで、organizationの回復性を高め、リスクを軽減できます。
セキュリティと機能のバランスを取る
長いサイバーセキュリティの背景と経験から来た私は、最も安全な構成から始め、組織が運用とセキュリティのニーズに基づいてセキュリティ構成を緩和できるようにする傾向があります。 ただし、機能が失われ、ユーザー エクスペリエンスが低下する可能性があります。 多くの組織が学習したように、セキュリティがユーザーにとって難しすぎると、アンマネージド クラウド サービスの使用など、ユーザーを回避する方法が見つかります。 私が受け入れるのは難しいので、繊細な機能とセキュリティのバランスを実現する必要があることに気付きました。
ユーザーが仕事を終わらせるために必要な作業を行うことを実現する組織は、"シャドウ IT バトル" は戦う価値はないことを認識しています。 シャドウ IT と、承認されていない SaaS アプリケーションを仕事に使用する場合、IT 従業員が最大の違反者であることを認識しています。 彼らは、(抑制する代わりに) その使用を奨励し、リスクにさらされるリスクを軽減することに焦点を当てる戦略をシフトしました。 これらのorganizationのセキュリティ チームは、すべてがブロックされ、ログに記録され、リバース プロキシまたは VPN 経由で送信されるとは主張しません。 むしろ、これらのセキュリティ チームは、重要で機密性の高いデータが間違ったパーティーや悪意のあるアプリに公開されないようにするための取り組みを倍増させます。 データの整合性を保護するために機能します。 暗号化、セキュリティで保護された多要素認証、自動リスクとコンプライアンス、クラウド アクセス セキュリティ ブローカー (CASB) 機能など、より高度なクラウド情報保護機能を最大限に活用しながら、複数のプラットフォーム間で保護された共有を許可し、促進しています。 影の IT を創造性、生産性、コラボレーションに変え、ビジネスが競争力を維持できるようにします。
方法論的アプローチを採用する
業界に関係なく、さまざまな組織でクラウド セキュリティを実装する際に経験した課題のほとんどは非常に似ています。 まず第一に、特定の機能と機能に関する優れたドキュメントは多数ありますが、それらに適用される内容、セキュリティ機能が重複する場所、および機能を統合する方法について、organizationレベルでは混乱が生じます。 また、どのセキュリティ機能がすぐに構成され、organizationによる構成が必要かについて、一定の不確実性があります。 さらに、SOC チームは残念ながら、組織が急速なクラウド導入とデジタル変革に備えるために必要な完全な露出、トレーニング、または予算割り当てを行っていません。
これらのハードルを解消するために、Microsoft では、セキュリティ戦略と実装に対する方法論的アプローチを取るために設計された複数のリソースをキュレーションしています。
| リソース | 詳細 |
|---|---|
| 自宅での作業をサポートするセキュリティ チームの主なタスク | ほとんどの職場の従業員を突然サポートしている場合は、この記事を使用すると、セキュリティを迅速に強化できます。 これには、ライセンス プランに基づいて推奨される上位のタスクが含まれます。 |
| Microsoft 365 ゼロ トラスト展開プラン | この記事では、Microsoft 365 でゼロ トラストセキュリティを構築するための展開計画について説明します。 進行状況を追跡するために使用できるダウンロード可能なポスターが含まれています。 |
| ゼロ トラスト ガイダンス センター | ゼロ トラストセキュリティ モデルとその原則、およびデプロイ 計画を使用してゼロ トラスト アーキテクチャを実装する方法について説明します。 |
| docs.security.com/security | セキュリティ戦略とアーキテクチャに関する Microsoft 全体からの技術的なガイダンス。 |
これらのリソースはすべて、出発点として使用され、organizationのニーズに合わせて調整されるように設計されています。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示