セキュリティ制御とは？

セキュリティ制御は、堅牢なセキュリティ戦略の基盤です。組織が人、資産、データといった自社の資産を、さまざまなセキュリティリスクや脅威から守るために導入する対策を指します。これらの制御は、物理的資産、情報、コンピューターシステム、その他の重要資産に対するセキュリティインシデントの影響を防止、検知、対抗、または最小化するために綿密に設計されています。効果的なセキュリティ制御を理解し実装することで、組織は業務の安全性と完全性を確保する、強固な環境を構築できます。

CNETのシニアライターであるBree Fowler氏は、2024年のBitwarden Open Source Security Summitで、Tektit ConsultingのプリンシパルエンジニアであるSchlomo Schapiro氏と、Front Rowの生産性・IT担当マネージングディレクターであるBjoern Sjut氏によるパネルディスカッションの進行を務めました。この対話では、セキュリティレジリエンスと従業員の定着に関する現在のトレンドと課題が取り上げられました。また、戦略的で思慮深いセキュリティ制御を通じて全体的なセキュリティを向上させる方法について、両専門家からの提言も紹介されました。

Schapiro氏はまず、Software-as-a-Service（SaaS）テクノロジーがもたらす脅威を強調しました。

「ほとんどの企業は、現在のSaaS環境がもたらす脅威を完全に無視しているか、過小評価しています」とSchapiro氏は述べています。「企業は実質的にSaaSベンダーを盲信し、自社の境界に対する完全な所有権を手放してしまっています。これは企業が犯す最大の過ちの一つです。境界を穴だらけの薄いフェンスにしてしまい、その穴が最終的にハッカーに悪用されるのです。業界として、現実に追いつく必要があります。」

Sjut氏も境界の重要性を強調し、クラウドアプリケーションへの大きな移行によって境界がより不透明になっていると指摘しました。しかし同氏の主な懸念は、人々のモバイル性がはるかに高まっている点にあります。「全員に専用の特定デバイスを支給したくないのであれば、Bring Your Own Device（BYOD）環境がもたらす課題に対処しなければなりません。これらのクラウドツールと相まって、デバイス上およびアプリケーション経由の攻撃ベクトルが増えることになります。」

BYODデバイスはセキュリティリスクをもたらす可能性がありますが、組織はパスワードマネージャーのようなツールで防御を強化できます。Bitwardenはモバイル、ブラウザ、デスクトップアプリケーションに対応したクロスプラットフォームアクセスを提供し、無制限のパスワードとデバイスを利用できる環境を実現します。

ほとんどの組織は、セキュリティ強化のために多くの要素に取り組んでいます。重要なことが抜け落ちないようにするには、「企業は、技術スタックに導入されるすべてのアプリケーションが、主要なIDプロバイダーに対してフェデレーション認証を使用するようにする必要がある」とShapiro氏は考えています。最悪のシナリオの一つは、十分に把握されていないアカウントやアプリケーションが、従業員の退職後も有効なまま残ってしまうことです。

Sjut氏は、セキュリティは「エンタープライズ機能」に限定されるべきではないと強調しています。業界全体として、後から多くの異なる対策で穴埋めしなければならない状況に陥らないよう、組み込み型のセキュリティを推進すべきだと述べています。

セキュリティ専門家はすべての要素を組み合わせ、自分たちに最適な方法を見極める必要があります。制御は、ビジネスリスクを軽減し、セキリティを効果的に確保するために不可欠です。

「私たちは、セキュリティと生産性の適切なバランスを見つけたいと考えています。多くの企業が犯す過ちは、人々の生産性を妨げるようなセキュリティ目標を議題に掲げてしまうことだと思います。そうすると、従業員は会社のセキュリティ制御の範囲外にある独自のシャドーITを構築するため、長期的には安全性が低下します。私たちの見解では、リスクベースのアプローチと組み合わせたバランスが重要です。」 - Bjoern Sjut

組織がセキュリティ部門を効果的に機能させたいのであれば、ユーザーが効率的に仕事をできるよう受け入れ、支援する必要があります。

「IT部門として親しみやすい存在であることは常に重要です。ユーザーにとって最も抵抗の少ない道が、セキュリティを回避することにならない環境を作りたいのです。」 - Schlomo Schapiro

クライアントやチームメンバーと関連する業務ファイルを共有できない従業員は、セキュリティプロトコルを回避する可能性が高くなります。それを防ぐ唯一の方法は、「従業員が生産性の面で支援されていると感じられるようにすることです。重要なのは、コラボレーションと、生産性とセキュリティの適切なバランスを見つけることです（Sjut氏）。」

パスワードマネージャーは、ユーザーがセキュリティと生産性の綱渡りをうまく進めるのに役立ちます。パスワードの作成、管理、保護を迅速かつ効率的に行う手段を提供します。Bitwardenのような信頼できるパスワードマネージャーには、組み込みのBitwarden AuthenticatorやスタンドアロンのBitwarden Authenticatorアプリなど、ユーザーがセキュリティをさらに一層強化するために活用できるMFAツールも含まれています。

人は自然と、セキュリティポリシーによって生じるものも含め、摩擦を避けようとする傾向があります。Fowler氏はSchapiro氏とSjut氏に、従業員がセキュリティのベストプラクティスを回避しないよう、どのように動機付けるのが最善かを尋ねました。

「私の個人的なおすすめは、ユーザーをシチズンデベロッパーとして捉えることです。従業員が提供されたシステムを活用できるようにすることが重要です。親しみやすく、手を差し伸べ、ユーザーの有効化を最優先にすることが大切です。」 - Schlomo Schapiro

Sjut氏は、多くの企業では、ユーザーが必要なツールにどのようにアクセスすればよいのかを把握するのが難しい場合があると指摘しました。これは特に中規模企業でよく見られます。利用可能なすべてのツールを見失うほどには会社が大きい一方で、企業としての監督体制が整うほどには大きくない場合があるためです。

「私の考えでは、多くの企業はITの管理方法を誤っています。現状維持を守る存在として管理しているのではありません。むしろ、業務を止めないための設備管理部門のように管理しています。人々の生産性を高めることを目標に掲げているIT組織はごくわずかです。」 - Bjoern Sjut

Schapiro氏は、SaaSの境界を管理下に置くこと、そしてバックアップを復元するための確固たる計画を用意しておくことの重要性を強調しました。これには、全員が自分の役割を理解していることを確認するための定期的なテスト実行も含まれます。組織は、侵害を防ぎ、潜在的な攻撃に対しても機能性と安全性を維持できるよう、重要なシステムの保護と維持に注力する必要があります。

Sjut氏は、バックアップに加えて、多くの企業はフリーランサーなど協業相手も含め、IDについて十分に堅牢な理解を持っていないと述べました。

「Google アナリティクスのデータ管理に個人のGoogleアカウントが使われている数の多さには驚かされます」とSjut氏は述べました。「ほとんどの企業はデジタルIDに対応する必要があります。私の全般的な感覚では、組織内でデジタルIDに責任を感じている人はほとんどいません。企業は、自社の中核となるIDプロバイダー、IDの仕組み、そしてそれらを管理下に置けているかを理解する必要があります。雇用主がそのIDを把握しないまま、個人所有のデバイスでクラウドアプリケーションにログインする人が増えるほど、被害を軽減することは難しくなります。」

セキュリティ制御策は、大きく物理的、技術的、管理的制御策の3つの主要なタイプに分類できます。それぞれのタイプは、包括的なセキュリティフレームワークを構築するうえで重要な役割を果たします。これら3種類の制御策を統合することで、組織はさまざまなセキュリティ面に対応する多層防御戦略を構築できます。

• 物理的制御策には、アクセス制御システム、監視カメラ、警報システムなどの対策が含まれます。

• 技術的制御策には、パスワードマネージャー、ファイアウォール、侵入検知システム、暗号化などのツールやテクノロジーが含まれます。

• 管理的制御策には、組織全体のセキュリティ態勢を管理し統制するために設計されたポリシー、手順、トレーニングプログラムが含まれます。

技術的セキュリティ制御策は、コンピューターシステム、ネットワーク、データなど、組織のデジタル資産を保護するうえで極めて重要です。これらの制御策には、暗号化、ファイアウォール、アクセス制御、ウイルス対策、マルウェア検知など、サイバー脅威を防止、検知、対応するために設計された幅広いテクノロジーと実践が含まれます。ハッキング、マルウェア、ランサムウェアなどのサイバー脅威から保護し、デジタル資産の完全性と機密性を確保するために不可欠です。

Bitwardenのようなパスワードマネージャーは、パスワードの健全性に関するレポート、流出済みまたは使い回されたパスワード、弱いパスワード、安全でないウェブサイト、無効な2段階ログイン、既知のデータ侵害に関する情報を提供します。

管理的セキュリティ制御策は、ポリシー、手順、トレーニングを通じて組織のセキュリティ態勢を管理し統制するために設計された対策です。これらの制御策は、従業員の行動を導き、セキュリティ標準への準拠を確保するために不可欠です。管理的セキュリティ制御策は、内部脅威、ソーシャルエンジニアリング、コンプライアンス不備から保護し、セキュリティ管理への包括的なアプローチを確保するうえで重要です。

• セキュリティポリシーと手順に関する明確なガイドラインは、従業員がセキュリティ維持における自分の役割と責任を理解するのに役立ち、セキュリティ対策の一貫した適用を確保します。

• セキュリティのベストプラクティスや潜在的な脅威について従業員を教育することで、セキュリティ意識の高い文化を醸成し、人的ミスのリスクを低減できます。

• インシデント対応計画により、組織はセキュリティインシデントに迅速に対応し、被害を最小限に抑え、協調した対応を確保できます。

• HIPAAやPCI-DSSなどのコンプライアンスおよび規制要件を遵守することで、組織は法的義務を果たし、機密情報を保護できます。

• セキュリティリスクを定期的に特定して軽減することで、組織は潜在的な脅威を回避し、堅牢なセキュリティ態勢を維持できます。

セキュリティ制御策は、組織がさまざまなセキュリティリスクや脅威から資産を保護するために導入しなければならない不可欠な対策です。物理的、技術的、管理的というセキュリティ制御策の種類とその機能を理解することは、効果的なセキュリティ戦略を策定するうえで重要です。さらに、セキュリティ意識向上トレーニングや物理的セキュリティ制御策など、見落とされがちな領域を認識しておくことで、組織は潜在的な脆弱性に対処できます。これらの制御策を組み合わせた包括的なアプローチを採用することで、組織は情報と資産の機密性、完全性、可用性を確保し、全体的なセキュリティレジリエンスを強化できます。