ブログ | CTO オフィス

デジタルをデフォルトにする: 予期せぬ結果への対処

ロリ・マクヴィッティ サムネイル
ロリ・マクヴィッティ
2021年9月7日公開


デジタル変革の目標は常に「デジタルをデフォルトとする」運用モデルでした。 誰かが私の家の玄関に電話帳を置いていったのがいつだったか、あるいは、観るようにと新作映画の DVD を渡してくれたのがいつだったか、思い出せない。 新しいゲームをプレイしたいときは、コンソールのストアを使用します。 もう、起きて実際のゲーム店まで車で行き、カートリッジを眺めることは絶対にありません。 アップデートはありますか? 自動的に配信されます。  本当のところ、私のお気に入りのテーブルトップ RPG も今ではデジタル化されています。 遊ぶために、13 冊の本と数ポンドのサイコロを誰かの家まで運ぶ必要はありません。 必要なのはノートパソコンだけです。

サイコロを放棄するわけではありません。 それはただの狂った話だから。

しかし、ビジネスが私たちにデジタルをさらに提供してくれるので、私はデジタルをもっと使うようになりました。

過去 1 年間、あらゆる業界が、必要に迫られて、デジタル変革の第 2 フェーズ、第 3 フェーズへと急速に進歩しました。

デジタルをデフォルトとする

フェーズ1

タスクの自動化 

この段階では、デジタル化により、企業は人間中心のビジネスタスクをさまざまな形の「自動化」へと移行し、ビジネスフローの一部としてより多くのアプリケーションが導入または作成されるようになります。 これは、効率を向上させるために、明確に定義された個々のタスクを自動化することから始まりました。 一般的な例としては、製品やサービスに関する一般的な質問に答えるが、人間の担当者に引き継ぐ必要がある場合がある IVR システムがあります。 このフェーズでは、個々のタスクは自動化されますが、一貫して統合されるわけではありません。 

意図しない結果: その他のコード 

これは、アプリケーションの増加によってコードが増えるだけでなく、新しいアプリケーション アーキテクチャの結果としてコードが増えることにもなります。 平均的な iPhone アプリのコードは 50,000 行未満です。 グーグル? 200万以上。 ほとんどのアプリはその中間に位置します。 すべてのコードは保守、更新、保護する必要があり、組織は長年にわたってアーキテクチャ間でコード ベースを拡張してきました。 現在、彼らは 5 つの異なるアーキテクチャと、COBOL、C、JS、Go などの 3 ~ 4 つの異なるコード ベースを運用しています。

また、組織が「コードとしてのインフラストラクチャ」を採用するにつれて、JSON、YAML、Python の使用が増えていることも考慮されていません。 これは当社の年次調査に基づくと半分以上(52%)であり、AI と ML に足を踏み入れようとしている組織が「モデルとアルゴリズム」をコードとして含む運用プラクティスも採用し始めるにつれて、この割合は増加し続けるでしょう。

フェーズ2

デジタル拡張 

企業がクラウドネイティブ インフラストラクチャを活用し、独自のソフトウェア開発を通じて自動化を推進し始めると、デジタル モデルのスケーリングとさらなる拡張をサポートする新世代のアプリケーションが生まれます。 このフェーズを推進するのは、差別化や独自の顧客エンゲージメントの提供を目的としたアプリケーションの決定に関与するビジネスリーダーです。 たとえば、医療提供者は、患者の記録と請求を入院、退院、スケジュールシステムと統合するケースが増えています。 自動化された予約リマインダーにより、手動のプロセスが不要になります。 エンドツーエンドのビジネスプロセス改善に重点を置くことが、このフェーズの共通のテーマです。   

意図しない結果: より多くの接続

しかし、待ってください。まだあります。 デジタルをデフォルトとして IT を近代化するということは、アプリケーション、システム、デバイス、消費者、パートナー、API 間の接続が増えることを意味します。 これらはすべて潜在的な侵入ポイントであり、最終的には重大なシステム侵害や侵害につながる可能性があります。

デジタルをデフォルトとする

ここでの賭け金は高い。 マルウェア。 ランサムウェア。 詐欺。 収益の損失。 攻撃される可能性のあるすべてのものを保護できなかった場合のコストは莫大なものになります。また、それをどのように行うかという問題も膨大になります。

フェーズ3

AI支援ビジネス 

企業がデジタル化をさらに進め、アプリケーション プラットフォーム、ビジネス テレメトリとデータ分析、ML/AI テクノロジーのより高度な機能を活用するにつれて、企業は AI 支援を受けるようになります。 このフェーズでは、これまでは利用できなかったビジネス生産性向上の新たな領域が開かれます。 たとえば、ある小売業者は、失敗したログイン試行の 10% ~ 20% が、検証プロセスに苦労している正当なユーザーによるものであることを発見しました。 デフォルトでアクセスを拒否すると、大きな収益損失が発生する可能性があります。 行動分析を使用すると、正当なユーザーとアクセスを試みるボットを区別できます。 テクノロジーと分析により、AI を活用してユーザーを識別し、入場を許可できるようになり、収益の増加と顧客維持率の向上につながっています。    

意図しない結果: 詳細情報

最後に、デジタルをデフォルトにすると、必然的にデータが増えます。 注文、製品、住所、支払いの詳細などの顧客データだけでなく、指標やログなどの運用データも含まれます。 デジタル ビジネスでは、訪問者、エンゲージメント パターン、パフォーマンス、異常なフロー、異常な動作を理解するためにテレメトリが必要です。 そのテレメトリは、少なくともすぐには分析して破棄できるものではありません。 運用ベースラインを適切に確立し、ビジネス上の意思決定につながるパターンや攻撃を示す異常を発見するには、数日、場合によっては数週間、数か月のテレメトリが必要になることがあります。

これらすべてのデータに注意を払う必要があります。 正規化、保存、処理、分析、キュレーションを行う必要があります。 また、データの一部にはコンプライアンスと規制監視を必要とする保護された顧客データが含まれる可能性があるため、セキュリティも必要です。

デジタル変革の予期せぬ結果: より複雑 

組織がこれらの段階をどれだけ速くまたは遅く進んでも、結果は同じです。つまり、複雑さが増すということです。

そして、複雑さはセキュリティの敵であることは誰もが知っています。

したがって、セキュリティ専門家にとって、デジタルをデフォルトとすることは新たな課題を意味します。 こうした一連のセキュリティ上の課題に対処する方法の 1 つは、より管理しやすいカテゴリに分割することです。

シンプルにすることで正気を保つ

セキュリティ上の課題のほとんどは、アプリケーション、インフラストラクチャ、ビジネスの 3 つのカテゴリに大まかに分類できます。 これらの上位レベルのカテゴリは、資金や経営陣のサポートが必要な場合に上位を管理するのに適しています。 また、問題を軽減するための最善のアプローチを決定する際のトリアージにも役立ちます。  

デジタルをデフォルトとする

アプリケーションレイヤー → DevSecOps

アプリ層の脆弱性は、シフトレフト アプローチ、つまり開発から展開、運用まで、あらゆるパイプラインにセキュリティを組み込むことで対処できます。 これらはほとんどの場合、意図的であれ偶発的であれ、人間の行為によって引き起こされる、不注意による脆弱性です。 それらは、個人の開発者リポジトリを通じて共有される秘密から S3 バケットの誤った構成まで、スタック全体に及びます。 ツールはサードパーティのコンポーネントやその他の依存関係の脆弱性を特定し、そのスクリプトの最新、最高、そしておそらく最も安全なバージョンを使用していることを確認できます。

WAF から DAST、RASP、SAST まで、コードのスキャンとセキュリティ保護に役立つツールは数多くあります。 それらのほとんどは、開発パイプラインと完全に統合できます。 スキャンを自動化することで、ハンドオフとそれに伴う時間の浪費を効果的に排除できます。 業界ではこれを DevSecOps と呼んでいますが、並列処理やマルチタスクと呼ぶこともできます。 つまり、チームまたは個人が利用不可または予約過剰の場合でも、タイムラインは停止しません。 これは、より徹底した分析と、プロセスの早い段階でエラーを検出できることを意味します。

インフラストラクチャの脆弱性 → 分散防御

ボリューム型 DDoS や DNS 増幅などの従来の脆弱性は、インフラストラクチャ層に存在します。 これらを軽減するためにシフトレフトを行うことは実際には不可能であり、攻撃者を制御できないため、これらを排除することは絶対にできません。 あなたがコントロールできるのは、あなたの反応だけです。

インフラストラクチャ層の脆弱性には、より包括的なシールド アプローチが必要です。つまり、セキュリティ サービスがライブ攻撃を防御します。なぜなら、脆弱性を「処理」する方法があるからです。

今日ではアプリが境界となっており、組織は世界中にアプリを持っています。 SaaS を除くと、組織は既存のデータセンターを拡張する平均 2.7 種類のパブリック クラウドを使用しています。 それは複数形です。

また、私の会社のラップトップのように、分散エンドポイントも多数あります。 在宅勤務がほぼ恒久的なものになる前から、人々は旅行していました。つまり、モバイル分散エンドポイントを意味していました。

これにより、インフラストラクチャとアプリケーションを保護するための分散型アプリと ID 中心のソリューションの必要性が高まっています。 これは、SASE とゼロ トラスト、そしてエッジを使用してインフラストラクチャ防御サービスを攻撃の発生源に近づけることを意味します。 SASE と ZTNA は、ポリシーを IP アドレスとネットワークからユーザーとデバイスに移行し、アプリケーションとリソースにアクセスするために ID の証明を要求します。

ビジネスの脆弱性 → AI支援

最後に、ビジネス層の脆弱性があります。 インフラストラクチャ層の脆弱性と同様に、これらは固有のものであり、処理によって排除することはできません。 ログイン ページやパスワード リセット プロセスを実際に排除することはできないため、防御を必ず破る攻撃から身を守るしかありません。

そして彼らは彼らを打ちのめすだろう。 F5 Labs の調査によると、過去 1 年間で DDoS 攻撃の平均規模は 55% 増加し、2021 年初頭には教育業界が最も標的となった業界の 1 つとなっています。 2020 年には、ビデオ ゲーマーに対して 1 時間あたり 50 万件を超えるクレデンシャル スタッフィング攻撃が発生しました。 これらはリアルタイムで処理する必要があります。

そのため、新しい攻撃や古い攻撃を実行する新しい方法が驚異的な速度で開発され、実行される状況に対応するために、AI 支援セキュリティが猛烈なペースで導入されているのも不思議ではありません。

覚えておいてください、科学によれば、人間は 1 秒あたり約 50 ~ 60 ビットしか処理できません。 だからこそ、マルチタスクを実行するのは非常に難しいのです。 システム、デバイス、アプリケーション、クライアント、ネットワークから、人間が処理できる速度よりもはるかに速い速度でデータが流入しています。 そのためにダッシュボードや視覚化機能があるのですが、それらは実際に何が起こっているのかを知らせてくれません。 それらはある瞬間のスナップショットであり、多くの場合、上昇、下降、速い、遅いといった二元的な指標のみに基づいています。 潜在的な攻撃を正確に処理して予測する能力は、当社の年次調査の回答者の 45% が、現在の監視ソリューションには「欠けている」と回答しました。 AI は、攻撃の可能性を検出して警告できるトレーニング済みモデルを介してデータをリアルタイムで分析できるという点で、その答えの 1 つです。

デジタルがデフォルトになるのが新たな常識 

結局のところ、こうしたデジタル化によって分散型でデータ主導の世界が生まれます。 デフォルトではデジタルです。 つまり、攻撃者がアクセスし、データを盗み出し、全体的に混乱を引き起こす方法が増えるということです。 デジタルがデフォルトの世界では、セキュリティにはデジタル スタックが必要であり、それは DevSecOps、分散防御モデル、AI 支援セキュリティを意味します。

デジタルをデフォルトとする