COVID-19パンデミックは、間違いなく今世紀で最も労働力に混乱をもたらした出来事の1つです。 混乱は、組織がリモートワークへの対応を余儀なくされ、それが可能であるだけでなく、生産的である可能性があることに気づいたときに始まりました。
過去 18 か月で、リモート ワークに関する組織の姿勢は大きく変化しましたが、今後このようなモデルを完全に受け入れるほどには至っていません。 はい、「完全リモート」モードで運用しており、今後も継続する予定の組織があります。 しかし、より可能性が高いのはハイブリッドモデル、つまり、一部の従業員が自宅で働き、他の従業員がオフィスで働き、さらに他の従業員が両方の組み合わせで働くモデルです。
従業員が特定の日にどこで働くべきか、また何日オフィスにいるべきかを誰が決めるべきかについては激しい議論が交わされているが、一般的には、完全にハイブリッドな労働力という概念は、それをサポートできる業界全体で受け入れられている。
私自身は、こうした議論を客観的な関心を持って見守っています。なぜなら、私はオフィスにいたことは一度もないし、これからも行くつもりはないからです。 I94からシアトルまでのドライブは本当に長いです。
正直に言うと、ハイブリッド ワーク モデルの実装の詳細は結果ほど重要ではありません。つまり、従業員は週 7 日、自宅とオフィスの両方で働くことになります。 ハイブリッドワークが新たなデフォルトです。
この一見単純な声明は、アクセス戦略の将来に大きな影響を与えます。
ご存知のように、従来の IP ベースのテクノロジーは、固定されたネットワーク範囲とアドレスのセットに大きく依存しています。 ポリシーは、IP に基づいてネットワークおよびアプリケーション リソースへのアクセスを拒否または許可します。
これが VPN の目的です。つまり、企業ネットワーク内で自由に使用できる IP アドレスの範囲の一部である「ローカル」 IP アドレスを効果的に割り当てます。
今、私たちはそれを続けることができます。 しかし、少なくとも労働者の大半についてはそうはなりません。 VPN によって提供されるようなネットワーク アクセスを必要とするオペレーターやエンジニアは常に存在しますが、正直に言うと、Confluence や SharePoint を閲覧したり、Slack でアーキテクトに質問したりするのに VPN は必要ありません。 生産性とコミュニケーションのニーズがアプリケーションによって完全に満たされる場合、ネットワークにアクセスする必要はありません。
率直に言って、マルウェア、ランサムウェア、その他の悪質なウェアの事件が増加していることを考えると、ネットワークへのアクセスを制限することは、現時点で私たちが実行できるセキュリティ戦略の最良の転換であると考えられます。 これらの破壊的な構造がアクセスできるリソースが少ないほど、良いです。
これは本当の脅威です。なぜなら、ハイブリッドな(主に一時的な)労働力が何らかの悪質なウェアを入手し、ある日 VPN にログインすると、突然、事態が悪化する可能性が高いからです。 困ったもんだ。 これが、優れた VPN ソリューションに何よりもまずスキャンとヘルス チェックが含まれている理由の 1 つです。 しかし、すべての VPN ソリューションが優れたソリューションであるわけではなく、VPN ソリューションがスキャンを提供できる場合でも、スキャンを必要としない組織もあります。
これは、アプリケーション アクセス ソリューションにとって、すべてが順調に進むという意味ではありません。 それらの多くは IP に基づいており、企業では管理すべき IP アドレスが多数あるためです。
単一の NetOps が管理しなければならないネットワーク デバイスの数は、それだけでも膨大です。半数以上が 251 ~ 5000 台のデバイスを管理しています。 ( NetDevOps 年次調査)
これに、私の個人的、プライベートな自宅の IP アドレスと、今日自宅で仕事をしている可能性のある他の全員の個人的、プライベートな自宅の IP アドレスを追加します。 ああ、そして、セキュリティ保護が必要なマシン間通信の増加も忘れてはいけません。 シスコの年次インターネットレポートでは、 「2023年までに、地球上のネットワーク接続デバイスの数は人間の3倍以上になる」と予測しています。 世界の接続の約半分はマシン間接続になります。」
その結果、オペレーター、セキュリティ チーム、そして最終的にはポリシーを適用する必要があるサービスとシステムに負担をかける、維持不可能なモデルが生まれます。
ハイブリッド ワークに関連するセキュリティ上の課題は、急速なデジタル化によって生じる課題にさらに拍車をかけます。 これらの課題により、セキュリティ モデルは ID 中心のアプローチへと移行することになります。 このアプローチでは、人間のユーザーだけでなく、ワークロード、デバイス、スクリプトの形でのマシン ユーザーも考慮します。 結局のところ、仕事量は人々と同様に一時的なものになりつつあります。 そして最終的には、どの IP を使用していても、ワークロード A はワークロード A のままです。 自宅のオフィスでも、ミネアポリスの空港でも、シアトルのオフィスでも、私は私のままです。
確かに IP は ID 中心のセキュリティ ポリシーの一部となる可能性がありますが、リソースへのアクセスを許可する主な要因または決定要因ではありません。 むしろ、どのようなレベルの身元確認が必要かを判断するのに役立つ属性になります。
VPN/企業ネットワーク上にいる場合は、資格情報で十分かもしれません。 しかし、そうでない場合は、資格情報と 2 番目の要素が必要になる可能性があります。 また、これまで見たことのない IP アドレスからアクセスしようとしている場合は、3 番目の要素がある可能性があります。
IP アドレスがどのように使用されるかに関係なく、IP アドレスを単独で使用することはできなくなります。 ワークロードに対しても同様です。 結局のところ、悪質なソフトウェアは企業ネットワーク上に存在している可能性がありますが、アプリケーションやリソースへのアクセスは決して許可されるべきではありません。
さらに、アイデンティティに関する理解を、人だけにとどまらず、私たちがますます依存するワークロード、アプリケーション、デバイスにまで広げていく必要があります。
SolarWinds の大失敗については言うまでもないだろう。 しかし、「Web サーバーとデータベースの既知の脆弱性を悪用して Kubernetes ノードを侵害し、クラスターにバックドアを仕掛けるマルウェア」と説明されているSiloscapeや、誤って構成された管理コンソールの脅威などの脅威についてご存知でしたか。 多くの管理コンソールは主に IP ベースの制御によって保護されていますが、今日のハイブリッド ワーク モデルでは必須であるリモート アクセスを妨げるため、最終的には無効になってしまいます。 より堅牢な ID ベースのアクセス制御セットにより、発信元に関係なく、ハイジャックや不正使用に対する保護が提供されます。 さらに、強力なアイデンティティ中心のセキュリティにより、「企業ネットワーク」の安全性から他のリソースを感染、乗っ取り、またはその他の方法で悪用しようとする侵害されたシステムから保護されます。
私たちは長い間、アイデンティティベースのセキュリティに向けてゆっくりと前進してきました。 しかし、自動化とデジタル化の爆発的な成長、そしてハイブリッドな作業モデルへの傾向により、その動きは加速し、最終的にはアクセス制御の主な方法として IP アドレスが廃止されるでしょう。
アイデンティティ中心のセキュリティこそが道です。