大規模な変革の推進 : 2021年、CISO はどのような課題に奔走するのか?
2020年、世界中の国々が世界的な健康リスクの問題に取り組む中、企業 (Fastly を含む) は、従業員の安全と生産性を維持するために、臨時の在宅勤務制度でこの緊急事態に対応しました。この急激な変化により、従業員が仕事に必要なすべてのサービスやアプリケーションにどこからでも安全にアクセスできるようにするという新たな課題への対応に CIO、CTO、CISO は追われました。
2021年に入り、企業はインフラやプロセスに対して実施した臨時の変更が、レジリエンスと安全性を兼ね備えていることを確認する必要があります。また同時に、その他の変革プロジェクトを引き続き推進する必要もあります。
2021年にどのようなセキュリティ問題への対応が CISCO、CIO、CTO に求められるのかという点についてセキュリティリーダーの視点を得るため、2021年に企業がどのようにワークフローを再考し、インフラを再構築していくべきかということについて、当社の Zane Lackey に話を聞きました。
「パンデミックの影響で企業は優先順位の変更を余儀なくされ、その結果、プロセスでスケールアップが必要な部分が明らかになりました。企業はデジタルトランスフォーメーションを加速させ、5年規模のプロジェクトを8か月で完了させる必要に迫られました」
Etsy と Signal Sciences で CISO を担当していた Zane は、テクノロジーやビジネスの急速な変化への適応がどれだけ重要かをよく理解しています。実際、多くの企業が自社のインフラを見直す必要があることに気づいていると、 Zane は語っています。
「何かを築いて機能させるためには、多くの障害を乗り越えなければなりません。そして今、システムを見直し、プロセスのどの部分がその場しのぎの対応だったのかを確認するときが来たのです」
会話の詳細は以下をご覧ください。
質問 : リモートワークへの移行は、アプリケーションや API にどのような影響を与えていますか?
Zane : デジタルトランスフォーメーションやゼロトラストアーキテクチャ、特にアプリケーションや API の継続的なモニタリングの必要性が注目されています。これまで物理的なアプライアンスで社内アプリケーションを保護していた企業が、リモートワークに対応するために突然アプリケーションをクラウドに移行しなければならなくなった場合、それらのアプリケーションを保護するための新しいアプローチが必要になります。
これらのテクノロジーを急いでオンライン化し、ビジネスをクラウドに移行しようとする際、開発チームが新しいテクノロジーを持ち込んで使用することはほぼ間違いありません。そのため、どのようなアーキテクチャにも対応できるセキュリティテクノロジーが重要になります。データセンターに置かれた大きなモノリスの Java アプリケーションからすでに移行している企業もあれば、今でも使用している企業があります。加えて、多くの企業がクラウドやコンテナ、サーバーレス環境で動作する多くの新しいアプリケーションも使用しているでしょう。これからは、これらすべてを一様に保護できるテクノロジーが必要なのです。
明らかな課題は、企業のプロセスとテクノロジーの両方におけるスケーラビリティです。これは、私自身のキャリアで何度も苦労した経験があります。例えば特定の検知ルールやソフトウェアツールなど、現在うまく機能しているものがあり、頭の中のロードマップでは、これらを数年後に置き換える予定であるとします。今すぐそのプロジェクトに取り組むつもりはありません。しかしある日突然、既存のツールでは対応不可能なレベルのスケール拡大が生じ、ツールが完全に機能不全に陥ったとします。こうなると、今まで To Do リストの7番目のプロジェクトだったものが、突然最優先のプロジェクトにならざるを得ません。
新型コロナウイルスをきっかけに始まったデジタル化およびリモートサービスへの移行では、このような状況が数多く見られました。多くのお客様が、スケーラビリティに欠けたレガシーシステムを突然廃棄しなければなりませんでした。ほぼ一晩で10倍、100倍に急増したトラフィックをサポートできる、拡張性のあるシステムが必要になったためです。
質問 : 企業がインフラをスケールアップする際、どのような課題がありますか?
Zane : これには2つの側面があります。まずは、量的なスケーラビリティです。誰もが一日中ニュースを更新しているようなニュースサイトであれば、トラフィック量は100倍になります。もう一つのスケーラビリティは、テクノロジープラットフォームの数です。CISO は、新型コロナウイルスや在宅勤務によるトラフィックの変化に対応しなければなりません。これは、あるレベルのトラフィックにしか対応していないテクノロジーから、大規模なトラフィックの急増にも対応できるスケーラブルなテクノロジーへの移行を意味します。
スケーラビリティの課題や、社内対応または外部委託の選択といった問題に対する各社の取り組み方はさまざまです。企業によっては、単にリモートで業務を進める方法が分からないというケースもありました。また、すでに24か月かけてビジネス変革に取り組んでいたため、デジタル化プロジェクトを迅速に進めることができた企業もあるでしょう。
可視性の変化も、企業が前進する上で課題のひとつです。同じオフィスの中で一緒に仕事をする人がいなくなった今、可視性は特に重要です。以前はオフィスにいるだけでさまざまなレベルの可視性を自然に得ることができました。今、私たちは自分の部屋の中にいて、他の部署からの情報をふと耳にするようなことはありません。新しいプロジェクトを知るきっかけとなるような、いわゆる井戸端会議のチャンスがなくなってしまったのです。セキュリティの観点から言えば、可視性が限られていたり、セキュリティチームをサイロ化するレガシーテクノロジーから企業は早急に移行する必要があります。その代わりとして、組織全体を可視化し、開発者と IT チーム、セキュリティチームが協力して何が起きているのかを確認できるようなセキュリティソフトウェアが求められています。
質問 : このような変化は、API やアプリケーション開発に対する考え方にどのような影響をもたらしていますか?
Zane : API への重要性が格段に高まっています。モバイルアプリが突然必要不可欠なものとなりましたが、API がそれらを支えています。例えば、オンライン注文された商品の店舗での引き渡しや配送サービスを提供するお店を想像してみてください。モバイル注文用の API、パートナーが在庫を確認するための API、倉庫や店舗から引き渡し場所まで注文状況を追跡するための API など、API は非常に多くのコンポーネントで必要です。また、商品が飛ぶように売れる場合、1日に50回は信頼性の高いデータを取得できる必要があります。現在これらの分野では、API が重要な役割を果たしています。
API の問題点として、プロダクトチームとセキュリティチーム両方が API を後回しにしがちであったことが挙げられます。テストが困難なためです。しかし企業は API の重要性の高まりを認識し、API を考慮して戦略を再調整する必要があります。今や API はセキュリティ戦略に欠かせない要素です。
質問 : このような変化は、エンジニアリングチームとセキュリティチームの関係にどのように影響していますか ?
Zane : 実はこの関係性は、ほとんどの大企業でかなり政治的で難しいものでした。これまで、セキュリティチームはアプリケーションチームの賛同を得るのに苦労していました。というのも、新しいセキュリティ技術を導入すると、開発チームが作成していたアプリケーションや API に不具合が生じることが多かったためです。そして今、アプリケーション開発者はセキュリティチームとオフィス会うこともなくなりました。法的な理由でセキュリティを無視できないような規制の厳しい業界でない限り、「セキュリティチームを無視することがかつてないほど容易になっている」というのが現状です。とくにセキュリティチームが価値を提供していない場合はなおさらです。皆がオフィスにいる状態で「ノー」と言うのとリモートでプロジェクトを進めているチームに「ノー」と言うのでは全く異なります。
重要なのは、セキュリティチームは「言われたとおりにしなさい」というアプローチに頼るだけではダメだということです。セキュリティチームは価値を提供する必要があります。最先端のアプリケーションや開発アーキテクチャをサポートするテクノロジーを提供し、可視性を提供しなければなりません。CISO は、最先端のセキュリティプラットフォームを使用し、ツールが DevOps やその他のビジネス関係者のニーズと連携できているかを確認する必要があります。これはステップアップのチャンスです。
