エッジコンピューティングのセキュリティに関する 6 つの要素

ユーザーがセキュリティを無視してデータやサービスを展開しようとする中、エッジ コンピューティングは急速にネットワーク セキュリティの新たな「最前線」になりつつあります。境界を巡回し、安全を守る準備はできていますか?

[[237934]]

2017年、カジノホテルのロビーにある水槽の温度計がハッキングされ、攻撃者がカジノのネットワークに侵入し、「ハイローラー」データベースをクラウドに転送することができた。

2018 年 5 月、ルーター、監視カメラ、デジタル ビデオ レコーダーなどの IoT デバイスを通じて開始されたサービス拒否攻撃により、ある企業の Web サイトが 4 日間オフラインになりました。

IT 部門は必然的に企業のセキュリティを維持する責任を負っており、これら 2 つの事例は、IT 部門がエッジ セキュリティの問題にますます悩まされている理由を十分に示しています。リモート施設やユーザー環境で使用される IoT デバイス、ロボット、その他のローカライズされたシステムやネットワークの形で企業のエッジに導入されるコンピューターが増えるにつれて、IT 部門がそれらを保護するための仕事はますます困難になります。この新しいエッジ コンピューティング環境では、対処して解決すべき IT ポリシーとセキュリティの問題が多すぎます。

では、エッジ セキュリティ戦略に関して注意が必要な主要な脆弱性領域は何でしょうか。また、企業の IT 部門はどのように対応すべきでしょうか。

1. 資産があちこちに散らばっている

資産管理の責任者である限り、企業 IT 部門からのものであろうとエンド ユーザーからのものであろうと、会社内のすべての IT 資産はあなたの責任となります。何か漏れがあると、ハッカーがその機会を悪用することになります。

しかし、エッジ ネットワークの展開と管理に IT 以外の担当者が関与することが増えるにつれて、脆弱性のリスクが増大します。非 IT 担当者が企業の末端でネットワークを展開および管理する慣行により、「アイランド効果」が生じ、IT 部門などの中央セキュリティ組織はすべてのデバイスとネットワークを可視化できなくなります。

あるケースでは、ホスピタリティ業界の企業の IT 部門は、同社が 400 台の新しいスマート電子レンジを導入したことにさえ気づいていませんでした。これらの電子レンジによって形成されるモノのインターネットがサービス拒否攻撃を受けた場合、ステーキが生焼けになったり、顧客が失望したりして、どれほどの損失が生じるでしょうか?

エッジコンピューティングが拡大している理由の一つは、その導入がIT部門から末端の業務部門に移行したことです。新世代の従業員は、会社のエッジでのみ業務を完了することを望んでいるため、IT を無視し、導入したシステムや IoT デバイスのセキュリティを保護する責任を怠ることに慣れています。

その結果、現在では世界中の CIO の 90% が IT 購入の決定においてビジネス ユーザーから無視されることがあり、31% は無視されることが多いのです。自社が実際にどのような技術を保有しているかを知ることは、非常に現実的な問題となっています。

この問題の解決策の 1 つは、資産管理システムを導入して、集中的に展開されているかエッジに配置されているかに関係なく、すべてのテクノロジー資産を追跡することです。ただし、このようなシステムでは資産を手動で入力する必要があることが多く、購入した資産がわからない場合は当然追跡できません。

もう 1 つの解決策は、機器検出ソフトウェアを使用して新しく追加された機器を自動的に検出し、資産の変更を適切に追跡し、適切なリスク管理ツールと戦略を適用できるようにすることです。

デバイス検出テクノロジーを使用すると、トラフィックの主なソースを確認するのにも役立ちます。 Uber はすでにデバイス検出技術を使用して大きな成功を収めています。まず、IT 部門はレベル 1 のセキュリティ リスクを特定し、すべてのシステムとデバイスが保護されていることを確認します。その後、それほど重大ではないレベル 2 のセキュリティ リスクには誰でも署名できるようになります。セキュリティ レベルが明確に定義されている限り、適切な監視およびリスク管理対策を適用できます。このアプローチの要点は、IT 部門がエッジに何が展開されているかを把握し、セキュリティ リスクを明確に分類し、適用可能なツールと操作を定義する必要があるということです。最も重要なのは、IT 部門がセキュリティの執行者ではなく推進者としてユーザーと緊密に連携する必要があることです。

2. ヒューマンファクター

厳しい生産スケジュールのプレッシャーの下では、工場の管理者は生産の進捗状況のみを気にしてしまいがちで、CNC 旋盤がハッキングされるかどうかは考慮に入れません。生産環境では、パスワードが共有され、独自の情報が引き渡され、ロボットや IoT システムがロックされるべき部屋のドアが開かれます。

これに対処する方法の 1 つは、ハードウェアと IoT デバイスのセキュリティを強化し、それらが保存/処理するデータを暗号化することです。もう 1 つのアプローチは、ゼロ トラスト ネットワーキングを採用することです。

ゼロ トラストの概念は、2010 年に Forrester Research によって初めて提案されました。その中核となる考え方は、企業内外のすべてのユーザー/デバイスは信頼できないため、ネットワークにアクセスする前にすべてのセキュリティ標準を満たす必要があるというものです。

ゼロ トラスト ネットワーキングは、企業ネットワークを移動する異常なデータ フローを検出してブロックします。非常に限られたユーザーのみが許可されているため、この検出は簡素化されています。ゼロトラスト ネットワーキングは優れたエッジ テクノロジーでもあり、エンタープライズ エッジ コンピューティングは IT によってホストされるのではなくリモートで管理する必要があるという欠点を補います。

3. シャドーIT

ガートナーの調査によると、シャドー IT は現在、企業のテクノロジー支出の 30 ～ 40% を占めています。戦略コンサルティング会社エベレスト グループの研究者は、シャドー IT が企業コンピューティングの半分を占めていることを発見しました。ほとんどのシャドー IT は企業のエッジに導入されます。 IT 部門がこれらのシャドーテクノロジーを発見すると、当然、それらにセキュリティポリシーを実装したいと考えるようになります。

• IT 部門は、根本的な原因ではなく症状のみを治療することで、問題解決へのアプローチを変更する必要があります。このような状況は、潜在的な安全上の問題としてではなく、むしろそれを解決する機会として捉えるべきです。
• IT 部門は、エンドユーザーが自らのシステムを保護するために使用できるセキュリティ ツールとサービスを確認し、推奨する必要があります。

IT 部門は、企業のエッジにあるかどうかに関係なく、あらゆるシステムにエッジ コンピューティング セキュリティと ID 管理テクノロジを組み込むこともできます。

次の操作を実行できます:

すべての新しいテクノロジーは、セキュリティ保護を実装したゼロトラスト ネットワークにリンクされる必要があると規定されています。ネットワークがすでに確立されているため、IT 部門はエンドユーザーと直接やり取りする必要がなく、エンドユーザーは自ら技術を進化させることができます。さらに、IT 部門は、エンドユーザーのセキュリティを自主的に管理できるポリシーとツールセットを公開できます。たとえば、テクノロジー ベンダーは、アプリケーション層、オペレーティング システム層、ユーザー層、物理層デバイスのセキュリティを積極的に強化することはありませんが、エンド ユーザーが提案依頼 (RFP) 段階でこれらのセキュリティ機能が必要であることを認識している場合は、テクノロジー ベンダーはセキュリティ基盤を真剣に強化する必要があります。これが早期 IT ガイダンスの役割です。

4. パッチが適用されていないオペレーティングシステム

エンドユーザーがさまざまなデバイスやシステムを独自に導入する慣行は、主に IT 部門がこれらのあまり知られていないオペレーティング システムを十分に理解していないという事実に反映され、大きなリスク管理上の問題を引き起こします。

キッチンにスマート電子レンジを設置しているホテルや、患者モニター、インスリンポンプ、その他さまざまな IoT デバイスを多用している医療施設は、これらのデバイスがエンドユーザー自身によって設置、使用されることが多く、オペレーティング システムが一般的に一般的ではないため、特に攻撃に対して脆弱です。

この場合、IT 部門は次の 2 つのことを行う必要があります。

• 新しい資産が追加されたときに自動的に検出するネットワークを通じて、またはエンドユーザーと緊密に連携して、新しく追加された資産を即座に検出または識別します。
• これらのデバイスまたはシステムのベンダーと協力して、これらの一般的でないオペレーティング システムで定期的なソフトウェア更新を実行する手順を作成します。

一般的なオペレーティング システムを実行するデバイスの場合、IT 部門は自動プッシュ更新ソフトウェアを使用して、ソフトウェアの脆弱性がタイムリーに修正され、ソフトウェア パッチがリアルタイムで管理されるようにします。

もう 1 つのオプションは、「プル」更新戦略を採用して、エンド ユーザーがパッチまたはオペレーティング システムのバージョンをいつインストールするかを自由に決定できるようにすることです。ただし、更新を「プルする」か「プルしない」かは、エンド ユーザーが更新をインストールすることを覚えているかどうかによって決まるため、これはベスト プラクティスではありません。

5. リスク管理と災害復旧

企業の IT セキュリティ対策は、ゼロトラスト ネットワークを構築し、セキュリティ管理ツールとポリシーをエンド ユーザーに引き渡すだけでは終わりません。エッジ コンピューティングをエンタープライズ リスク管理および災害復旧計画に組み込むことも、エンタープライズ IT の責任です。

調査データによると、正式かつ継続的な事業継続計画を策定している企業はわずか 27% です。これは、ほとんどの企業が災害復旧を適切に行うことが難しいと感じているという事実を反映しています。

企業は、エッジ コンピューティングの災害復旧計画の更新に関しては、少し遅れをとっています。エッジに展開されるミッションクリティカルなシステム、ネットワーク、デバイスは事前に特定し、侵害された場合に対応できるように準備しておく必要があります。侵入が実際に発生した場合、攻撃者はすでにデバイスに侵入し、しばらく調査を続けていた可能性があります。このような状況は、セキュリティ インシデントが企業とそのブランドに与える影響を特定するために、リスク管理フレームワーク内で処理する必要があります。その影響としては、顧客やパートナーから職務怠慢の疑いをかけられたり、さらには企業価値が数千万ドルも下落したりすることが考えられます。誰もこのような状況が起こることを望んでいないので、効果的なエッジ コンピューティング セキュリティ戦略を策定することが不可欠です。

6. サプライヤーレビュー

ファイアウォールで保護された分離されたネットワークを設定し、双方向認証とトランザクション ペイロードの暗号化を提供して、エッジ デバイスのアクセス ポイントを管理できます。さらに、センサーを使用して各トランザクション グループに関する情報を収集し、センサー データ パターンが価値があるかどうかを判断することもできます。

エッジ テクノロジー ベンダーには、上記の機能を提供することが期待されています。もちろん、企業はサプライヤーとセキュリティ問題について話し合い、自社のソフトウェアやハードウェアにどのようなセキュリティ機能が備わっているかを確認する必要があります。次に、これらの安全機能を活用してください。サプライヤーが適切なセキュリティを提供できない場合は、サプライヤーを変更したほうがよいでしょう。

結論

ユーザーは常にデータとサービスを展開することに熱心ですが、セキュリティは二の次になっています。 IT 部門は、エッジ コンピューティングのセキュリティ保護および検出プロジェクトに ID 管理、データ暗号化、ゼロ トラスト ネットワーク、パッチ管理などのチェックポイントを導入することで、企業全体のセキュリティ戦略の成功率を向上させることができます。

【この記事は51CTOコラムニスト「Li Shaopeng」によるオリジナル記事です。転載する場合はAnquannui（WeChat公開アカウントID：gooann-sectv）を通じて許可を得てください。

この著者の他の記事を読むにはここをクリックしてください