COVID-19の世界的な感染拡大が私たちの働き方を大きく変えたことは、周知の事実です。世界中の企業は、事実上一夜にして10%程度のリモートワークから100%の在宅勤務へと急変しました。ITチームはリモートアクセス環境や仮想プライベートネットワーク(VPN)を強化し、新たに分散した従業員にシームレスなアプリケーションへのアクセスを提供するために奔走しました。
そして、これはうまく行きました。小売業から銀行まで、数百万もの企業が、変化への期待に応えてピボットすることができたのです。この1年半の間にデジタルトランスフォーメーションが加速したことは、現代の経済史において前例のないことであり、急速に変化する世界における私たちの回復力の高さと敏捷性を浮き彫りにしました。
しかし、因果は巡ります。ITチームがアクセシビリティの向上に注力する一方で、セキュリティの問題は事業継続の名の下に後回しにされてしまったのです。攻撃者はますます巧妙になり、デジタル化やクラウド化の加速による攻撃可能な領域の拡大とセキュリティ管理の甘さを利用して、管理もセキュリティ保護もされていないデバイスに侵入しようとしてます。彼らはいったんこれらのデバイスに侵入すると、数日、数週間、あるいは数ヶ月もの間潜伏し、ペイロードのアップロードやデータの流出、そしてさまざまな混乱を引き起こすまで、検知されずにネットワーク内を横方向に広がっていきます。
問題なのは、VPNには本質的にスケーラブルでなく、今日の在宅勤務の企業文化の中で分散したユーザーが必要としている保護を提供できないことです。いったんVPNで認証されれば、攻撃者はネットワーク全体に無制限にアクセスできるようになり、セキュリティ上大きな問題が生じます。このようなセキュリティとアクセシビリティの相反は、すぐには解消されません。メンロ・セキュリティの調査に基づく新しい研究によると、米国と英国のセキュリティ専門家は、ユーザーの半数以上が今も自宅から仕事をしているか、ハイブリッドなアプローチを採用していると述べています。
後れを取るセキュリティトランスフォーメーション
セキュリティ専門家は、セキュリティとアクセシビリティの相反について明確に認識しています。従業員数1,000人以上の企業のセキュリティ担当のIT意思決定者545人を対象とした調査によると、回答者の83%がリモートユーザーのアプリケーションへのアクセスを制御するという戦略に自信を持っています。そして同時に、ほぼ同じ割合(75%)の回答者が、新しい働き方やクラウドアプリケーションの利用拡大を受けて、セキュリティ戦略の見直しを検討しています。
衝撃的だったのは、全ての組織の4分の3(従業員数1万人以上の組織では81%)が欠陥のあるVPNに依存し続けているにも関わらず、アクセス制御にゼロトラストのアプローチを取り入れているのは1/3強(36%)に過ぎなかったことです。ただ、回答者の75パーセントが、ハイブリッドワーカーやリモートワーカーが管理されていないデバイスからアプリケーションにアクセスすることは組織のセキュリティにとって大きな脅威であると考えていることは、明るい材料でした。
ゼロトラストは、今なら実現可能です
過去18ヶ月間にわたって継続し、そして今後も続くであろうビジネストランスフォーメーションに追いつくために、企業はセキュリティトランスフォーメーションへの取り組みを進めなければならず、またそれが可能な環境にあります。そしてそのためには、通常の業務に支障をきたさないように、実用的で段階的なアプローチでゼロトラストを導入する必要があります。これはパンデミックの初期段階では不可能でしたが、分散化が進む従業員をどのように保護するかを今こそ時間をかけて真剣に考え直す必要があります。
多くの企業は、既存のVPN環境を強化あるいは置き換えるためにZero Trust Network Access(ZTNA)ソリューションを導入しています。これらのZTNAツールは、クラウドをベースとする高度に分散した従業員とアプリケーションとの間のスケーラブルな接続手段として機能します。
組織は、ポリシー管理のための集約されたアクセスポイントとして機能するZTNAツールの導入を検討する必要があります。これにより、物理的な場所、基礎となるインフラ、または接続の種類にかかわらず、データセンターのセキュリティポリシーがすべてのネットワークトラフィックに適用されるようになります。これにより、パンデミックの初期に攻撃者が自由に利用できたVPNインフラの重要なセキュリティ上の問題が解消されるとともに、リモートユーザーやハイブリッドユーザーに、オフィスからログインしているのと同じアプリケーション体験を提供することができます。
クライアントレスアーキテクチャの採用
エンドポイント上のクライアントやエージェントは、アプリケーションへの信頼性の高いアクセス手段を提供しますが、すでに過大な負担を強いられているITチームに、さらなる責任と運用コストが上乗せされます。しかしクライアントレスアーキテクチャなら、エンドポイントに手を加えることなくアプリケーションへのアクセスを拡大することができ、ネットワークの肥大化や運用コストの増加を招くことなく、セキュリティ態勢を向上させることができます。
ZTNAツールは、セキュアWebゲートウェイ(SWG)、データ漏洩防止(DLP)、Cloud Access Security Broker(CASB)など、組織の既存のセキュリティスタックとシームレスに統合できる必要があります。これにより、企業はSecure Access Service Edge(SASE)セキュリティの目標を達成することができます。
今回の調査では、IT担当者が直面している苦しい戦いに光を当てています。セキュリティ戦略を後回しにしてアプリケーションのアクセシビリティに注力することで、パンデミックの際にも迅速な対応ができ、ビジネスを継続することができたかもしれませんが、攻撃者は確実にそれに気付いています。今こそ、セキュリティトランスフォーメーションがビジネストランスフォーメーションに追いつくときです。企業は、データセンターでの体験をネットワークのエッジにいるユーザーにまで広げるためにZTNAツールの導入を検討すべきです。これには、アクセシビリティ、パフォーマンス、そしてもちろんセキュリティが含まれます。
今回の調査で得られた主要な結果をまとめたインフォグラフィックをぜひダウンロードしてご覧ください。また、Menlo Private Accessがどのようにしてユーザーに高速で信頼性の高いセキュアなWebアプリケーション・アクセスを提供することができるかについては、こちらをご覧ください。