エッジコンピューティングのセキュリティ問題で計画が狂わないように

エッジは、IT プロフェッショナルが不安を感じる場所です。従業員が社外でモバイルデバイスを使用して仕事をこなすことは、こうした不安を生み出す始まりにすぎません。モノのインターネットは企業があらゆる種類の機械の効率を測定する方法を変え、自動運転車は私たちの運転方法を変え、IT チームはエッジ デバイスとセンサーを追跡するために懸命に取り組む必要があります。

[[283395]]

業界関係者の何人かは、エッジコンピューティングのセキュリティ問題を排除することはできないが、企業はエッジコンピューティングの利点を放棄すべきではないと述べた。彼らは、慎重に実装すれば、企業はエッジでのセキュリティを確保できると指摘しています。

たとえば、ガートナーの副社長兼著名なアナリストであるニール・マクドナルド氏は、エッジ セキュリティについて顧客にアドバイスする際、次のように語っています。「自社のデータ センターであっても、AWS や Azure などのパブリック クラウドであっても、どのような状況でも常にリスクは存在します。常にリスクは存在します。」企業がこれを認識したら、考えられるすべてのリスクと、それを軽減するためのすべての可能な制御を検討する必要があります。

これは単純なアドバイスのように思えるかもしれませんが、企業がデータを含む IT 資産の価値を十分に認識していない場合があります。また、必要なサイバーセキュリティ対策を常に講じているわけではありません。ただし、データがエッジにある場合（攻撃に対して脆弱な場合）、企業はその価値を十分に評価し、データを保護するためにどのような対策を講じるかを決定する必要があります。

「収集しているデータの性質は何か。データが盗まれたり改ざんされたりしたら、ビジネスにどのような影響があるか。こうした問題と、そこに存在するリスクを認識しておく必要がある」とマクドナルド氏は語った。

エッジコンピューティングは消えない

集中コンピューティングを保護するのは、エッジを保護するよりもはるかに簡単なようです。集中型コンピューティングは使い慣れていて快適であり、ユーザーは統一されたシステム プロトコルに従い、IT スタッフはセキュリティをより簡単に監視できるため、データ侵害やその他のインシデントの可能性が軽減されます。

企業では引き続き中央処理が重要な役割を果たしますが、エッジでの魅力的な機会も増えています。企業は、モバイル デバイスによる生産性向上の可能性、自動運転やコンピューター支援運転による潜在的な安全性の向上、モノのインターネットによる効率性の向上の可能性に期待を寄せています。

エッジ コンピューティングが爆発的に普及する兆しは数多くあります。現在、集中型データセンター外で生成および処理される企業データはわずか 20% 程度ですが、2025 年までにその数は 75% に増加し、90% に達すると予想されています。

それでも、エッジ コンピューティングは、上級管理職にとって大きな懸念事項である集中管理には程遠い状態です。現場に何千ものテレメトリ デバイスを設置し、車両の性能やドライバーの安全性に関する大量のデータを収集している運送会社について考えてみましょう。あるいは、遠隔地にある何万もの風車に何千もの IoT センサーを配備したエネルギー会社を想像してみてください。これらのデバイスはいつでも物理的および仮想的な改ざんの対象となる可能性があるため、エッジ コンピューティングのセキュリティは無視できない問題となります。

電子機器製造サービスプロバイダー Morey の技術マネージャーである Alan Mindlin 氏は、企業はまず、保存時および移動中のデータを処理するすべてのエッジ関連デバイスのセキュリティを検討することを推奨しています。

「デバイスのストレージにはすでにかなりの暗号化が施されているため、攻撃者がハッキングしてメモリを読み取ることはできない。また、送信されるデータも暗号化されている」とミンドリン氏は語った。 「そこから出発すると、自分の位置を特定するのに役立ちます。」

基本的に、企業はエッジでのデータの軌跡を追跡し、アプリケーション層とストレージ層でのデータ暗号化の有効性を検証する必要がある、とガートナーのマクドナルド氏は述べた。しかし、それはほんの始まりに過ぎません。組織はネットワーク接続も保護する必要があり、これは多くの点で最新のソフトウェア定義 WAN の保護と同じです。

「その場所にあるローカルデバイスが何であれ、理想的にはネットワークアクセス制御を通じて証明され、何らかの身元保証が提供されるべきである」とマクドナルド氏は述べた。

CSOでさえも誰も信用しない

ほとんどの企業は、アイデンティティ管理がセキュリティの成否を左右することに同意しているが、フォレスター社の副社長兼主席アナリストであるブライアン・ホプキンス氏は、同社ではアイデンティティ管理は悪い考えだと考えていると述べた。

「我々のシステムを保護する基本的な方法は完全に間違っていた」と彼は語った。 「我々の考えは、誰にもハッキングされたり破壊されたりしてほしくない一連のサービスが必要だった。そして、それを保護する方法は、その周りに円を描き、ファイアウォールの層を設けて、それを使用する人だけがアクセスできるようにするというものだった。」

問題は、サイバー攻撃者が身元を認知されると、検知されずにシステム内を自由に動き回れるようになることです。その結果、フォレスターはエッジコンピューティングに厳格だが効果的なセキュリティ哲学、つまりゼロトラストセキュリティを採用することを推奨しているとホプキンス氏は述べた。厳しい嗅覚テストに合格しない限り、CSO であっても誰も信用しないでください。

「ゼロトラストとは、サイバー犯罪者が設置されているほぼすべてのファイアウォールを突破できるため、アイデンティティ管理が間違っていることを意味する」とホプキンス氏は述べた。 「認証されれば、組織内に侵入して大混乱を引き起こす可能性があります。しかし、誰も信用できない場合は、すべてを調べ、すべてのパケットを検査して、そのパケットに何が含まれているかを把握する必要があります。」

ゼロ トラストでは、より正確なネットワーク セグメンテーション、つまり、攻撃者がネットワーク全体を横方向に移動するのを防ぐためのいわゆるマイクロ境界の作成が必要です。多くの組織では、自動化、暗号化、ID およびアクセス管理、モバイル デバイス管理、多要素認証など、ゼロ トラスト戦略を展開するための基盤がすでに整っています。さらに、これらのプロセスには、ソフトウェア定義ネットワーク、ネットワーク オーケストレーション、および仮想化が必要です。

しかし、企業は依然としてゼロトラストの導入に躊躇しています。「根本的に異なるものであり、企業にとって大きな問題である」からです。

同様に、エッジ コンピューティングのセキュリティを強化するのは簡単だと主張する人は誰もいません。ホプキンス氏はさらにこう付け加えた。「ネットワークの背後には信じられないほど多くの接続が存在するため、クラウド内のデータセンターにあるものを物理的な世界にあるものとどのように接続するかを考えると、非常に困難です。ゼロ トラストを展開するのは非常に困難です。」

エッジの基盤を築く

エッジ コンピューティングは現在、主流のテクノロジになりつつあり、このテクノロジの背後にいる人々 (開発者) がエッジに対して認められた業界標準を開発する必要があることを示しています。その一例が、ハードウェア、シリコン、クラウド、OS に依存しない、エッジ コンピューティングのためのオープンで相互運用可能なフレームワークを確立することを目指す Linux Foundation 組織の Project EVE (Edge Virtualization Engine) です。

エッジ仮想化企業 Zededa は、Project EVE を開始するためのシード コードを寄付しました。エッジに対する正しいアプローチは、それを従来のコンピューティングとはまったく異なるものとして考えることだと、Zedada の共同創設者である Roman Shaposhnik 氏は語った。 「今のところ、クラウドを 1 つだけ実行している人はいません」と彼は言いました。

仮想化により、企業はコンピューティング リソースの分割方法と保護方法を完全に制御できるようになると Shaposhnik 氏は述べています。例えば、Project EVE はエッジデバイスのハードウェア信頼ルートを通じて更新とアクティビティを検証し、なりすまし、マルウェアの注入、その他の悪意のある動作を防ぐと彼は述べた。 EVE は仮想化を通じてソフトウェアを基盤となるハードウェアから切り離すことで、ユーザーが無線によるソフトウェア更新を実行できるようにし、企業がセキュリティ パッチをより迅速に適用できるようにします。

組織がエッジコンピューティングのセキュリティを確保するためにどのようなアプローチを取るにしても、データの価値を認識する必要がある、と Mindlin 氏はアドバイスしています。データの価値は、通常、そのデータの保護に費やされるお金とリソースに比例します。

「あなたのデータの価値はどれくらいで、それを保護するためにいくら支払うつもりですか？ 時には人々は自分のデータの価値を理解していないことがありますが、それはまた別の問題です」と彼は指摘した。