エッジコンピューティングのセキュリティリスクとその克服方法

IT 管理者は、一般的なエッジ コンピューティングのセキュリティ リスクを予測、防止、克服し、エッジ コンピューティングの価値を実現するために、適切な戦略とツールを採用する必要があります。

[[347056]]

今日、コンピューティングとネットワークがセキュリティ上のリスクをもたらすことは誰もが知っており、新しいコンピューティング技術によって新たなリスクが生まれています。エッジコンピューティングでも同様です。これはほとんどの組織にとって IT パラダイムの大きな変化を意味するため、エッジ コンピューティング施設が直面するセキュリティ リスクは深刻になる可能性があります。したがって、これらのリスクを理解し、その修復を行うことは、円滑な事業運営を確実にするために不可欠です。

エッジコンピューティングのセキュリティに関する考慮事項

エッジ コンピューティングは、データ センターの外部、ユーザーの近くにデータ リソースを展開するコンピューティング 施設です。この機能を通じて、一連のネットワーク デバイスがエッジ コンピューティング デバイスを、モノのインターネットなどのユーザーまたはプロセスにリンクします。その結果、エッジ コンピューティング デバイスの展開には、データ センターの物理的なセキュリティはなく、そこに存在するソフトウェアやハードウェアによって適用されるアクセス、ネットワーク、およびデータ セキュリティ対策もありません。

エッジ コンピューティングのセキュリティ上の課題は、エッジ コンピューティング施設のセキュリティをデータ センター標準のセキュリティとコンプライアンスにまで引き上げるために必要な追加のセキュリティを提供することです。多くの場合、これは、いくつかの重要なセキュリティ対策を講じて、物理的に、またはユーザー インターフェイスを介してエッジ コンピューティング デバイスに安全にアクセスする必要があることを意味します。

エッジコンピューティングがサイバーセキュリティにもたらすメリット

エッジコンピューティングは必ずしもリスクを増大させるわけではありません。ローカル暗号化やその他のセキュリティ機能を提供することで、セキュリティを向上できます。 IoT で使用される低コストのセンサーとコントローラーには強力なセキュリティ機能が不足していますが、エッジ コンピューティングでは低コストでローカル トラフィックを保護できます。

ノートパソコン、デスクトップ、モバイル デバイスなど、強力なセキュリティ機能を備えたデバイスでも、トラフィックを組織の仮想プライベート ネットワークまたはデータ センターへの単一の接続経由でルーティングすると、セキュリティの監視と制御が向上します。エッジ コンピューティング 施設は、仮想プライベート ネットワークやグローバル インターネットへの直接接続を効果的に排除することで、ローカル デバイスをサービス拒否攻撃から隔離するのにも役立ちます。

エッジ コンピューティングには、固有のセキュリティ リスクが伴います。アクセス制御の使用と監査手順の確立は、エッジ コンピューティングのセキュリティを確保するためのほんの一例です。

エッジコンピューティングの一般的なセキュリティリスク

ほとんどの場合、エッジ コンピューティング施設は最小限に抑えられたデータ センターであり、最小限化とは通常、エッジ コンピューティング機器のコストを削減するためにセキュリティ保護機能を削除または削減することを意味します。これはエッジ コンピューティングのセキュリティ リスクの最大の原因ですが、唯一の原因ではありません。人々は特定のリスク要因とその原因を理解する必要があります。

データの保存、バックアップ、保護のリスク

前述のように、エッジ コンピューティング施設に保存されるデータには、データ センターに通常備わっている物理的なセキュリティ保護がありません。実際、サイバー攻撃者は、エッジ コンピューティング リソースからディスクを取り外したり、USB ドライブを挿入したりするだけで、データベースを盗むことができます。エッジ コンピューティング デバイスのローカル リソースが限られているため、重要なファイルのバックアップが困難または不可能になることもあります。つまり、攻撃が発生した場合、組織にはデータベースを復元するためのバックアップ コピーがない可能性があります。

パスワードと認証のリスク

エッジ コンピューティング リソースは、セキュリティに重点を置いたローカル IT 運用プロフェッショナルによってサポートされることはほとんどありません。多くの場合、エッジ コンピューティング システムの保守は IT スタッフのパートタイムの仕事であり、パスワード管理が緩くなる可能性があります。場合によっては、覚えやすい簡単なパスワードが使用されることもあります。その他の場合には、重要なアプリケーションのパスワード付きのメモを投稿することも可能です。また、ユーザー/管理者の操作の利便性のため、エッジ コンピューティング システムでは、多要素認証や二要素認証などの強力な認証手段を採用しない場合があります。

周辺防衛リスク

エッジ コンピューティングによって IT の範囲が拡大されるため、境界防御は全体的に複雑になります。エッジ コンピューティング システム自体は、データ センター内のアプリケーションを使用してアプリケーションを認証する必要がある場合があり、その資格情報はエッジ コンピューティング施設に保存されることがよくあります。つまり、エッジ コンピューティング施設でのセキュリティ侵害により、データ センター資産へのアクセス資格情報が公開され、セキュリティ侵害の範囲が大幅に拡大する可能性があるということです。

クラウド導入のリスク

全体として、クラウド コンピューティングは IT の最もホットなトピックであり続けているため、エッジ コンピューティングとクラウド コンピューティングを組み合わせるリスクは特に重要です。これらのリスクは、エッジ コンピューティングとクラウド コンピューティングの特定の関係によって異なりますが、さまざまなクラウド コンピューティング ソフトウェア プラットフォームとサービスがエッジ コンピューティングの要素をさまざまな方法で処理するため、簡単に見落とされてしまう可能性があります。エッジ コンピューティング デバイスが単純なコントローラーである場合 (よくあることですが)、クラウド コンピューティング リソースやアプリケーションへの安全なアクセスを提供することは困難です。

エッジコンピューティングセキュリティのベストプラクティス

エッジ コンピューティングのセキュリティには 6 つの基本的なルールがあります。まず、アクセス制御と監視を使用して、エッジ コンピューティングの物理的なセキュリティを強化します。次に、中央の IT 運用からエッジ コンピューティングの構成と運用を制御します。 3 番目に、エッジでホストされているデータとアプリケーションへの変更を制御するための監査手順を確立します。 4 番目に、デバイス/ユーザーとエッジ コンピューティング施設の間に可能な限り最高レベルのネットワーク セキュリティを適用します。 5 番目に、エッジ コンピューティングを IT 運用のためのパブリック クラウドの一部として考えます。最後に、すべてのエッジ コンピューティング アクティビティ、特に操作と構成に関連するアクティビティを監視してログに記録します。

組織は、エッジ コンピューティング施設の全体的な安全性を保証することはできないため、エッジ コンピューティング施設へのアクセスを確保する必要があります。ケージへのアクセスが制御され、ビデオ技術によってアクセスの試みを識別できる場合、機器を安全なケージ内に置き、人員の出入りをビデオ監視することは良い戦略です。安全ケージを開くと、組織の IT 運用またはセキュリティ センターでアラームがトリガーされます。この目的で使用されるツールは、センサーとアラームを使用したデータセンター施設のセキュリティに使用されるものと同じです。

組織の IT 運用に関しては、すべてのエッジ コンピューティングの構成と運用を監視する必要があり、オンプレミスのデータ センターのスタッフが重要なシステム機能を実行すると、パスワード制御や運用エラーが発生する可能性があります。

エッジ コンピューティング アプリケーションとデータ ホスティングも集中管理され、コンプライアンス監査の対象となる必要があります。これにより、重要なアプリケーション コンポーネントまたはデータ要素を安全にホストすることが認定されていないエッジ コンピューティング施設に移行することを減らしたり、防止したりできます。

エッジ コンピューティングへのネットワーク接続は、すべてのエッジ コンピューティング情報とすべての運用プラクティスおよびメッセージの導管となるため、ネットワーク接続は安全でなければなりません。これは、安全性の低いエッジ コンピューティング システムにキーを保存することを避ける、高品質の暗号化技術を使用することを意味します。すべてのネットワーク、アプリケーション、および運用アクセスに多要素認証を適用する必要があります。

これらすべてを監視し、エッジ コンピューティング操作に関連するすべてのイベント (すべての展開、構成の変更、ローカル キーボード/画面またはリモートからの監視モード アクセスなど) をログに記録して監査する必要があります。理想的には、変更が行われる前に IT 運用とセキュリティの運用スタッフに通知し、予期しない状況が報告された場合に経営陣に通知するためのエスカレーション手順を作成する必要があります。

主要なエッジ セキュリティ ベンダーと製品

ファイアウォール、トンネリング、および安全な通信のベンダーと製品には、すべてのソフトウェア定義 WAN ベンダーが含まれます。このテクノロジは、ローカル コンピューティング機能を備えた施設を含む、あらゆるエッジ コンピューティングからの安全な通信をサポートできるためです。さらに、主要ベンダーの Cisco、Juniper Networks、Palo Alto Networks のセキュリティ/ファイアウォール製品は、エッジ コンピューティング施設を攻撃から保護するのに役立ちます。

エッジ コンピューティングのアプリケーション制御とセキュリティは、DevOps (Chef、Puppet、Ansible) や Kubernetes などのコンテナ オーケストレーション ツールなどの IT 運用ツールの機能である必要があります。製品は、HPE、IBM Red Hat、VMware などのさまざまなチャネルを通じて入手できます。

エッジでの脅威検出は、ネットワークおよびシステム監視の機能として考えることができます。また、特定のアプリケーション セットによってサポートされる場合もあります。現在主流の監視ツール (Argus、Nagios、Splunk、SolarWinds Security Event Manager、OSSEC、Snort、Suricata など) はすべて、侵入検知と侵入防止のための特別なサポートを提供します。

エッジ コンピューティングのセキュリティには、優れた問題追跡および管理システムが不可欠です。特に、エッジ コンピューティングの施設が多数あり、地理的に分散している場合はなおさらです。現在、OSSEC、Tripwire、Wazuh など、そのようなシステムがいくつかあります。