セキュリティに対するリスクベースのアプローチを採用するには、セキュリティとデジタル資産に関する考え方を大幅に変える必要があります。 しかし、デジタル脅威が急速に進化し、既存のセキュリティ モデルでは脅威を軽減できない (ましてや脅威に対応することができない) ことを考えると、この変化は必要です。

従来のエンタープライズ アーキテクチャ フレームワークは、セキュリティを考慮せずに作成されました。 一般的に、セキュリティは後付けであり、主に反応型モデルで開発されているというのはまったく真実です。 つまり、悪意のある人物が攻撃を仕掛け、ベンダーやテクノロジーリーダーがそれに対する緩和策を構築したのです。 これはデジタル変革の性質によるものです。 初期の段階では、アプリケーションを通じて生産性と効率性を高めることに重点が置かれていました。 これらのアプリケーションは大部分が固定され静的であり、分離されたデータ センターに存在していました。 インターネットの時代が始まるまでは、データセンターへの侵入口がなかったため、外部からの攻撃のリスクはほとんどありませんでした。

初期のセキュリティは、テクノロジー スタックの最下層であるネットワークでインターネットに公開されるアプリケーションの保護に重点が置かれていました。 1 秒あたりのパケット数が多すぎるため、何らかのサービス拒否攻撃が発生している可能性があります。 セキュリティ対応は？ 攻撃の発生源をブロックできるファイアウォール。 ポートとプロトコルはセキュリティ ポリシーの基礎となり、何らかのアプリケーションの使用を試みるパケットの量と速度に基づいてしきい値が設定されます。 この段階でのセキュリティの焦点は、単純で静的なルールを使用して攻撃を遮断し、混乱を防ぐことでした。

強力な防御に直面して、攻撃は急速に進化した。 アプリケーションがより豊富で高性能になるにつれて、攻撃者はソフトウェア スタックの脆弱性をすぐに発見しました。 業界では、ユーザーとアプリケーション間で交換されるメッセージのペイロードに埋め込まれた攻撃が見られるようになりました。これらの攻撃は、停止を引き起こしたり、不正アクセスを可能にしたり、データを盗み出したりする既知の脆弱性を悪用しようとします。 セキュリティ業界は再びこれらの新しい形態の攻撃に対応し、埋め込まれた攻撃を検出して無力化できるソリューションを構築しました。 この段階でのセキュリティの焦点は、トランザクションに埋め込まれた攻撃を検出し、無力化することでした。

デジタル経済が拡大し、私たちの生活のあらゆる側面に深く広く浸透するにつれて、攻撃者にとっての機会も拡大しました。 データの価値と消費者および企業のアカウントへのアクセスは飛躍的に増加しています。 Steam、EA Sports、Epic などのビデオゲームのアカウントが「毎月数千件盗まれ、大量のアカウントデータベースがプライベート Telegram チャンネルで10,000 ～ 40,000 ドルで取引されている」と推定されています ( BitDefender )。 今日、アカウント乗っ取りは、ゲームから金融、医療、政府サービスに至るまで、あらゆる業界で蔓延しています。 2021年、詐欺により米国政府は推定870億ドルの連邦給付金を失った（ CNBC ）。 この損失は主に、主にデジタルサービスを通じて運営されていたパンデミック失業プログラムによるものだ。

リスクベースの考え方でセキュリティに取り組むことで、組織は攻撃に対する慌ただしい対応から脱却できます。 代わりに、ビジネス成果に沿ったセキュリティ上の決定を意図的に行い、ビジネスのリスク許容度を考慮することができます。

今日のデジタル企業は、最新のアプリケーションを介してデジタル エクスペリエンスを提供することで、顧客やパートナーとつながります。 したがって、アプリケーションの保護は、セキュリティの最新化というタスクにとって最も重要です。 これらのアプリケーション、そしてさらに細かいレベルでは、それらの構成要素であるワークロードとサービスは、企業のデジタル資産を何らかの方法で作成、強化、および/またはアクセスできるようにすることで価値を提供します。そのため、これらは現代のセキュリティの考え方の中心となります。 今日一般的にサイバーセキュリティと呼ばれているものは、あらゆるタイプのユーザーをデジタルビジネスを推進するデジタル資産に接続するためにアプリケーションとそれらのアプリケーションを公開する API の保護に重点を置いています。

テクノロジーリーダーは、リアクティブおよびプロアクティブなセキュリティを実装するために必要なツールとテクニックを十分に理解しています。 質問は次のとおりです: 「アイデンティティと資産に大きく依存するリスク評価に基づくアプローチに組織をどのように移行しますか？」 

この変化の中心となるコアテクノロジーは、認証とアクセス制御の 2 つです。 認証は ID コンポーネントにポリシーを提供し、アクセス制御はデジタル資産のガバナンスを提供します。 

認証とは、本質的には、アプリケーション コンシューマーの ID を決定して検証するプロセスです。 これまでは、プライベート データ センターにあるモノリシック アプリケーションへのアクセスを求める人々が主でした。 その結果、すべての認証システムとサービスが同じデータセンター内に存在できるようになります。 今日の最新のアプリケーションは分散アーキテクチャと公開 API を使用しているため、認証は進化する必要があります。 認証では、人間の消費者だけでなく、自動エージェントなどの人間の代理人も認識する必要があります。 さらに、分散アプリケーションは複数のクラウドから提供されるサービスから構成されるため、認証はフェデレーションされた企業間 ID ストアの世界で存在する必要があります。 つまり、認証は依然として基本的な防御の中核要素ですが、今日のデジタル サービスの拡張された性質により、アイデンティティとアイデンティティの検証方法についての進化した見方が求められています。

アクセス制御は、これまでも、そしてこれからも、企業リソースにアクセスできるユーザーまたは対象を決定するプロセスです。 しかし、認証と同様に、アクセス制御に必要な機能もエンタープライズ アプリケーションとともに進化してきました。 アクセス制御の最初の実装はネットワーク層で行われ、潜在的なアプリケーション コンシューマーは、ネットワーク IP アドレスによって定義された境界の「内側」または「外側」のいずれかにいました。 しかし、今日では、モバイル コンシューマーが複数の配信ポイントに渡って配信される分散アプリケーションにアクセスするため、内部と外部の概念を定義する明確で静的な境界は存在しません。 したがって、アクセス制御は、認証によって検証されたユーザー ID に基づいて表現される必要があります。 最新のアプリケーション コンシューマーは、ネットワークの場所に基づいて分離できなくなり、代わりにIDに基づいて分類されます。 

これらのテクノロジーは、すべての主要なデジタル資産の完全なインベントリと組み合わせることで、特定の資産へのアクセスを許可するリスクに関して下された決定を実行するために使用できます。 これらの決定は、それらの資産がどのように公開されているか、またそれらの資産を誰に公開すべきか、あるいは公開すべきでないかを理解した上で行われます。

したがって、セキュリティを最新化するための最初のステップは、資産にアクセスする手段とその理由に重点を置いて、資産インベントリを作成または強化することです。 さらに、テクノロジー リーダーは、アプリケーションがすべてのデータにアクセスする主な手段であり、そのためインベントリでは資産と、それらと対話するアプリケーションをマッピングできる必要があることに留意する必要があります。 

次に、テクノロジーリーダーはビジネスリーダーと協力して、主要資産のリスク/報酬プロファイルを確立する必要があります。 結果として得られるリスク/報酬プロファイルは、セキュリティ アクションとビジネス成果を一致させる必要があります。 たとえば、 AiteNovarica の調査によると、「誤った拒否によって商店主が失う収益は、詐欺による収益の 75 倍に上る」とのことで、いわゆる誤った拒否のリスクは、取引を許可するリスクを上回る可能性があります。

したがって、そのトランザクションに関連するやり取りは、組織のリスク許容度に基づいて許可または拒否される必要があります。 決定に影響を与える可能性のある要因には、取引の価値とユーザーの正当性に関連する確実性が含まれます。 システムはユーザーが正当であると 50% 確信していますか? もっと確実ですか? 少ない？ 各組織はリスクの許容度を決定し、その許容度に基づいてプロファイルを調整し、その制限内でセキュリティを適用します。 リスク/報酬プロファイルは、人間とシステムが潜在的なリスクに対処する方法を決定するためのガイドとなります。 リスク回避志向の強い組織は、リスクをより重視し、リスクを回避するための制御を適用する傾向があります。 逆に、リスクに対する許容度が高い組織では、セキュリティ制御の適用方法を決定する際に報酬をより大きな要素として評価します。

ここでの粒度（トランザクション レベルでの評価）は、デジタル インタラクションを継続的に評価し、ポリシーに照らして評価されたリアルタイムのコンテキストに基づいてセキュリティの決定を適応させる能力を意味します。 このアプローチは、ゼロトラストアプローチの重要な機能であり、このホワイトペーパーで説明されているように、認証（誰）とアクセス制御（何）という決定を強制するために使用される主要なテクノロジーも同様です。ゼロトラストセキュリティ: 「ゼロ トラストが重要な理由 (アクセスだけの問題ではない) 」

デジタルインタラクションを継続的に評価する能力は、エンタープライズ レベルのデータと可観測性戦略に依存します。つまり、組織が戦略を持ち、フルスタックの可観測性を実現する方向に向かっていること、および単一のストアにデータを集中管理していない場合は、異なるストア間でのインタラクションを接続および相関させる手段を備えていることが必要です。

したがって、リスク管理への移行は、実行を管理する包括的なゼロ トラスト アプローチを備えた、アイデンティティ、可観測性、アクセス制御という 3 つの特定のテクノロジの採用を中心に展開されます。

デジタル ビジネスの主要な機能はセキュリティです。つまり、デジタル資産、データ、顧客の財務情報や個人情報のセキュリティです。

デジタル ビジネスでは、ほぼすべてのやり取りがデジタルで行われるため、セキュリティはビジネスにとって、また IT にとってはエンタープライズ アーキテクチャにとって最重要事項となる必要があります。 ほとんどの場合、これは、増加する攻撃や新たな脅威に対抗するためにアドホックに導入されることが多いセキュリティ対策、ツール、ポリシーを、主にデジタル環境でも適切であるかどうかに着目して評価することを意味します。 組織がデジタル経済で成功するために必要なすべてのデジタル資産とやり取りを完全に保護するには、より慎重で包括的なアプローチが必要になります。

組織がエンタープライズ アーキテクチャの形でテクノロジ基盤を導入する際には、デジタル ビジネスとしての運営の側面の多くは考慮されていませんでした。 セキュリティは十分に考慮されていない側面の 1 つです。

デジタルがデフォルトの世界に向かって突き進む中、組織は IT を近代化して、変化のスピードをサポートし、将来の繁栄に必要なデータ主導の意思決定を可能にする必要があります。 重要なステップは、エンタープライズ アーキテクチャを最新化することです。 これには、セキュリティに対するより広範で包括的、そして最終的には適応型のアプローチ、つまりリスク管理アプローチを含める必要があります。  

デジタル ビジネスに対応するためにアーキテクチャ、特にセキュリティを最新化する方法について詳しくは、O'Reilly の新しい書籍『 Enterprise Architecture for Digital Business 』をご覧ください。

レポートをダウンロード