サイバーセキュリティにおいて鍵となる「データハイジーン」とは
複雑に組み合わさったサプライチェーンのなかで、サイバー脅威に対処するためには、ゼロトラストに基づくデータハイジーンの実践が鍵となります。

今日のセキュリティ対策で共通する課題は複雑さです。企業のIT環境は、かつてないほどオープンになり、サプライチェーンを構成する企業の相互依存性は高く、必要不可欠なものとなっています。そうした中、データハイジーン、つまりデータの安全性管理を徹底することは、企業が自らを守るための最善策の一つといえます。そして、データハイジーンを実現するためには、ゼロトラストが足掛かりとなります。
複雑化した今日のITに求められるデータハイジーン
今日のIT環境を複雑にしている一因には、ビジネスのオペレーションの分散化に伴って、ビジネスや部門ごとにIT計画や導入が分散化、乱立している企業の状況があります。これにより、一貫したセキュリティポリシーの実施が困難になり、セキュリティリスクが生まれています。企業内に分散する数多くのITツールを適切に管理、制御できてない場合、アップグレードは無計画、遅延しがちとなり、セキュリティリスクの深刻さが増す原因となってます。
また、IoTの普及、ITとOTの統合、セキュリティの準拠を困難にするハイブリッドワークモデル、さらにクラウド環境の進展に伴う独自の設定やコンプライアンス対応なども、IT環境を複雑化する原因となっています。
特に企業が相互に依存性の高いサプライチェーンでつながっている場合、その複雑さはいっそう増幅されます。セキュリティ担当者が取引先のネットワークや端末までコントロールすることはできません。また、取引先のサプライチェーン構成や脆弱性がどこにあるかを特定する可視性も持っていません。サプライチェーンにおいてベンダーが乱立する中では、社内に強固なセキュリティを構築した企業さえ、最も弱い部分、パートナーに翻弄されることになります。
こうした複雑でリスクの高い状況を打破するためには、ITおよびOT環境の可視化と制御、そしてセキュリティの自動化が有効になります。セキュリティの自動化は、各システムが扱うデータの品質にも依存しており、優れたデータハイジーンが大前提となります。
ゼロトラストを前提にしたデータハイジーン
ハイジーン(衛生的)なデータとは、正確性、完全性、信頼性が高く、最新であることを意味します。データハイジーンの鍵となるのが、ゼロトラストです。ゼロトラストを導入することで、データの作成、アクセス、変更、共有の厳密な管理が可能となり、データの品質が担保されます。
ゼロトラストは、いかなるリソースに対しても「それらは本質的に信頼できないもの」という前提に立っています。この場合のリソースとは、従業員個人、データセット、企業や個人向けのデバイスであり、さらにクラウドサービスやSaaSソリューションのことを指す場合もあります。これらのリソースは、無条件に憶測で信じるべき対象ではないため、企業の情報へのアクセスが要求された場合、「常に疑う」というセキュリティのポリシーが求められます。こうして誰も何も信頼することなく、無条件ですり抜けられるフリーパスも存在しないというゼロトラスト体制が実現可能となります。
また「信頼がいつまでも続くことはない」という認識に基づいたアプローチも必要です。その意味で、企業のネットワーク利用中は常に監視と再確認を怠らない体制が求められます。信頼を損なうと判断される状況が増加した場合、利用停止、アカウントリセットなど、潜在的なリスクを阻止するための措置を取ることもあります。
整理すると、以下のゼロトラストのポイントが導き出されます。
・アクセスは常にセッションごとに行われ、アクセスが許可される前に信頼が確立されていなければならず、タスクを完了するために最小の権限のみが割り当てられることが必要です。
・境界線だけのセキュリティ対策は不十分であり、こういった従来型のセキュリティアプローチは、ネットワークの出入り口および企業資産やシステムへの出入り口という「単一のドア」にリソースのアクセスを集約します。攻撃者は、単一のドアへのアクセスを悪用してネットワークに侵入し、内部活動を展開します。この点からも、リソースのアクセス情報は、常に追跡され、権限付与に際してはIDだけでなく、利用者の目的や理由に基づくことが重要です。
・アクセスポリシーは固定的ではなく動的であることが必要です。これにより、ビジネスニーズ、リスク許容度、監視データ、使用パターン、ネットワークの位置、時間帯、アクティブな攻撃の存在、その他の変数などに基づき、それぞれの文脈に応じて信頼を適応できるため、状況の変化にも柔軟に対応できるようになります。
・認証および承認のプロセスは厳格に実施し、多要素認証など、個人情報、認証情報、アクセス管理(ICAM)を扱うシステムに基づいている必要があります。アクセスポリシー同様、認証および承認のプロセスも動的であるべきで、脅威のスキャンや評価を一貫して実施し、文脈やリアルタイムの状況に応じてポリシーを再評価できる体制が求められます。
・分析活動は、セキュリティをより強固なものにする上で有効です。リソースや資産のセキュリティの状態、トラフィックのパターン、アクセスリクエストなどの情報を長期的に収集し、傾向などを分析することで、企業はセキュリティおよびそれに必要なデータの品質を継続的に強化することができます。
このようなゼロトラストの原則を維持することで、システム内の情報は信頼できるソースからのものとなり、精度の高い追跡が可能となり、より優れたデータハイジーンを実現することができます。
データハイジーンのメリット
高品質なデータが確保できれば、セキュリティ部門は、自信を持って自動化を進めることができます。自動化された判断に基づいた確認、承認、修正などが実現され、人間による不確かな判断への依存も軽減されます。
信頼性の高い自動化により、企業の規模に応じたリアルタイムのセキュリティが可能になり、何千人ものユーザ、デバイス、資産が関与する場合でも、「いつでも、どこでも」ゼロトラストのセキュリティが確保されます。より広範なセキュリティ体制への適用も可能となります。認証情報のリスク評価がその一例といえます。例えば、新規のパートナーが追加された場合、その身元が知られていない状況でも、既定のリスク閾値に基づき、当該ユーザのアクション実行許可へ適切な判断を下すことが可能となります。ゼロトラストにより、データの信頼性が高くなり、アクセスの許可もしくは保留かといった判断が正確になります。
また、企業が保持するデータの品質が高ければ高いほど、精度の高い少数のデータで、意思決定が可能になります。これは、決定の迅速化にもつながります。また、データ処理に必要なリソースや保存容量も少なくなるため、ITやクラウドのコスト削減も可能となります。こうした節約は、企業のビジネスモデルおよび技術コスト構造に応じて、運用コスト(OPEX)か資本コスト(CAPEX)、もしくは双方での実現が可能となるでしょう。
データハイジーンが支援するビジネス
ゼロトラストに基づくデータハイジーンは、業務上のセキュリティ対応の他、ビジネスを推進するという高次の役割も担っています。
Gartnerによると、半数以上(64%)の取締役が、デジタルインフラはビジネスゴールにとって戦略的に重要であると認識しており、88%がサイバーセキュリティをビジネスリスクと見なしているとのことです※1。同社の別のレポートでは、2023年までに、最高情報セキュリティ責任者(CISO)の3分の1近くがビジネス価値を生み出す能力で評価されるようになると予測しています※2。ゼロトラスト、そしてその結果として得られる高品質なデータは、ビジネスの生産性を制約することなくのデジタルインフラの安全策を確保することで、ビジネス価値の創出を支援するものになるでしょう。
たとえば、ゼロトラスト、それによるデータハイジーンが実現された企業であれば、パートナーやITツールの選定における制約は少なくなり、選択の柔軟性があがるはずです。遠く離れた中で高い相互依存関係にあるサプライチェーンを保持する企業にとって、ゼロトラストは、パートナーの脆弱性やデータ品質に関する懸念の多くを排除してくれます。この場合、他の企業がどのようなセキュリティモデルを採用しているかは問題ではありません。なぜなら、ゼロトラスト体制下の企業は、セキュリティモデルに関係なく、自社のアクセス、認証、承認管理が強固であり、自社のデータハイジーンが保証されているからです。
※1:CISO for Digital Business(Gartner、2022)
※2:Top Priorities for IT: Leadership Vision for 2021(Gartner、2020)
ゼロトラストに有効なソリューション
統合サイバーセキュリティプラットフォームTrend One
本記事は2023年1月にUSで公開された記事の抄訳です。
翻訳:Core Technology Marketing, Trend Micro™ Research

Security GO新着記事
2025年の個人情報保護法改正はどうなる?
(2025年2月12日)
大阪万博(大阪・関西万博2025)で警戒すべきサイバー攻撃と対策
(2025年2月7日)
AIの発展とその影響:2024年の世界の動向まとめ
(2025年2月6日)