IT セキュリティについて理解する

IT セキュリティは、コンピュータシステム、ネットワーク、データなどの情報テクノロジーの完全性を、攻撃や破損、不正アクセスから保護します。デジタル・トランスフォーメーションの世界で競争する企業は、設計から始まる情報セキュリティ・ソリューションの導入方法を理解する必要があります。これは「セキュリティを左にシフトする」、つまり、セキュリティを可能な限り早期にインフラストラクチャと製品のライフサイクルの一部に組み入れることを意味します。これにより、セキュリティの事前対応と事後対応の両方が可能になります。

継続的セキュリティを実現するには、フィードバックと適応をルーチン的に行う必要があり、多くの場合、自動チェックポイントを使用して行われます。自動化によって、製品ライフサイクルを遅延させることなく、確実、迅速かつ効果的なフィードバックが可能になります。このような方法でネットワークセキュリティを統合することで、セキュリティを取り巻く状況が変化しても、更新とインシデント対応をすばやく全体的に実装することができます。

従来の IT とサイバーセキュリティは、データセンターの境界を強化、維持、警備することに重点を置いていましたが、今日ではこの境界がなくなりつつあります。IT の開発、デプロイ、統合、管理の方法は劇的に変化しています。パブリッククラウドとハイブリッドクラウドにより、規制へのコンプライアンスとデータセキュリティの責任が各ベンダーに分散して課されます。大規模なコンテナを採用するには、アプリケーションのデリバリーを新たな方法で分析、保護、更新する必要があります。モバイルアプリは多数のデバイスに展開されており、ハードウェアからソフトウェアに移行するインフラストラクチャは増加する一方です。デバイスまたはプロセスのさらに複雑なネットワークにより、内部脅威やマルウェアなどのセキュリティ侵害のリスクが高まる可能性があります。従来のセキュリティ管理方法では、この変化に対応することができません。デジタル・トランスフォーメーションによって、IT セキュリティサービスとプログラムへの変更が求められます。柔軟で、統合された継続的セキュリティがデジタルの世界には不可欠です。

一部の企業にとってセキュリティとは、ビジネス情報セキュリティ担当者 (BISO) を雇用することを意味します。BISO は事業の一部として、設計から提供、導入までの製品ライフサイクルに携わります。セキュリティアナリストとともに、BISO は情報セキュリティ最高責任者 (CISO) の直属で、セキュリティ上の取り組みや懸念をあらゆる段階で慎重に管理、統合し、セキュリティのニーズとビジネス上のリスクとのバランスを取りつつ、機能を予定通りに提供できるようにします。

SELinux (Security-Enhanced Linux) は、情報システムにアクセスできるユーザーを管理者がより詳細に制御できるようにする Linux® システム 用のセキュリティ・アーキテクチャです。もともとは、Linux Security Modules (LSM) を使用した Linux カーネルへの一連のパッチとして、アメリカ国家安全保障局 (NSA) によって開発されました。

SELinux は 2000 年にオープンソース・コミュニティにリリースされ、2003 年にアップストリームの Linux カーネルに統合されました。

ゼロトラストとは、あらゆる通信は信頼できない状況で開始されるという前提に基づいてネットワーク・セキュリティ・アーキテクチャを設計するアプローチです。これは、その通信がファイアウォールの内側で開始されたかどうかで通信の信頼性を判断する場合がある従来のアーキテクチャとは対照的です。より具体的には、ゼロトラストは、暗黙の信頼と一時的な認証に依存するセキュリティ・アーキテクチャのギャップを解消しようとするものです。

ゼロトラスト・アーキテクチャは、サイバーセキュリティの世界的な脅威の進化によって支持されるようになり、ネットワーク内のアクティビティは信頼できるものだという長年にわたって前提とされてきたことを見直しています。有能なサイバー犯罪者は内部関係者を募り、従来のセキュリティ・アーキテクチャの外殻を超えたところに足がかりを見つけます。また、洗練されたハッカーや商用サービスとしてのランサムウェア・プラットフォームも広く浸透しており、金銭を要求する新しい種類のサイバー犯罪が発生しやすくなっています。これらのサイバー脅威はすべて、貴重なデータを盗み出し、ビジネスや商取引を混乱させ、日々の生活に影響を与える可能性があります。

DevSecOps とは、組織が IT セキュリティを強化し、ソフトウェア環境のリスクを低減する手段として、DevOps のプラクティスとセキュリティ戦略を組み合わせたものです。DevSecOps は、従来の IT セキュリティ戦略と比較して、より迅速に、より大規模に、より包括的に、ソフトウェア環境を保護できるようにするものです。

コンテナによって、各種の環境およびデプロイターゲットに対して、アプリケーションやサービスのビルド、パッケージ、プロモーションが簡単になります。しかし、コンテナセキュリティには解決すべき課題があります。ますます多くの企業がコンテナ技術を導入する中、セキュリティチームは新たな敵対モデルと戦い、新たなインフラストラクチャ・コンポーネントを保護する必要があるのです。 

固定的なセキュリティポリシーやチェックリストでは、エンタープライズのコンテナに合わせて拡張できません。サプライチェーンにはさらに多くのセキュリティ・ポリシー・サービスが必要です。チームは、コンテナによるネットワークとガバナンスのニーズを調整する必要があります。組織のコンテナセキュリティ・プログラムを成功させるには、コンテナ・ライフサイクルの構築、デプロイ、実行の各段階と、基盤となるコンテナ・インフラストラクチャに主要な管理策を導入する必要があります。 

では、どこから始めたらよいのでしょうか。

この Web セミナーシリーズをご覧ください。コンテナアプリケーション・スタックとライフサイクル全体を通じたセキュリティの必要性と価値について、専門家の視点を紹介します。

コンテナのセキュリティの詳細はこちら

多くの人がクラウドサービスのメリットを理解している一方で、セキュリティ脅威を理由に、移行に踏み切れずにもいます。確かにそのとおりです。インターネットと物理サーバーを介して送信される、形のないリソース間のどこかに存在するものを理解するのは簡単ではありません。クラウドは、物事が常に変化している動的な環境です。そして、セキュリティの脅威も同様です。

クラウドネイティブ・テクノロジーの導入は、セキュリティ上の新たな課題を生む一方で、既存のセキュリティ戦略を強化する機会も生み出します。効果的なクラウドネイティブ・セキュリティ戦略の目標は、より安全なシステムを構築しながら、より高いレベルのソフトウェアデリバリーを達成できるようにすることです。 

ハイブリッドクラウド環境では、ユーザーはさまざまな選択肢を柔軟に指定できます。重要な情報や機密情報はパブリッククラウドから除外し、同じ種類のリスクを持たないデータについてはクラウドプロバイダーのメリットを活用することができます。ハイブリッドクラウド・セキュリティの課題の一部と、その解決に必要なツールを紹介します。 

貯金を布団の下に隠しておく人は、おそらくいないでしょう。ほとんどの人が信頼できる環境 (銀行) に預けて、支払いの承認と認証に別の方法を使用します。API セキュリティはこれに似ています。つまり、承認と認証のポリシーを有する信頼できる環境が必要です。

API セキュリティのベストプラクティスは、トークン、暗号化と署名、クォータとスロットリング、API ゲートウェイを使用することですが、優れた API セキュリティに最も重要なのは、優れた API 管理です。

マルウェアとは、malicious software (悪意のあるソフトウェア) の略で、ユーザーの利益に反して動作するソフトウェアのことです。ランサムウェアからアドウェアやボットネットまで、マルウェアはデータの破壊やプライバシーの侵害といったさまざまな行為によって生産性を奪い、膨大の時間が失われます。マルウェア (フィッシング詐欺などの手段で配信される) は、感染したコンピュータやラップトップ、デバイスだけでなく、感染したデバイスと通信可能な他のデバイスにも影響を及ぼす可能性があります。マルウェア攻撃は深刻な脅威ですが、効果的な IT セキュリティを活用することで、組織の脆弱性やサイバー攻撃を受ける危険を減らすことができます。

Kubernetes (k8s または「kube」とも呼ばれる) は、オープンソースのコンテナ・オーケストレーション・プラットフォームで、コンテナ化されたアプリケーションのデプロイ、管理、スケーリングに伴う多くの手動プロセスを自動化します。IT セキュリティチームは、Kubernetes とクラウドネイティブ技術を十分に理解し、効果的な予防策とリスク管理を確立する必要があります。 

Kubernetes ネイティブのセキュリティは、より深い知見、より迅速な分析、よりシンプルな運用を実現し、セキュリティの実装に必要な時間、労力、人員などの全体的な投資を削減します。

共通脆弱性識別子 (CVE) とは、一般公開されているコンピュータセキュリティの欠陥のリストのことです。CVE は、セキュリティ欠陥に割り当てられた CVE ID 番号の略として使用されることもあります。CVE は、IT 専門家たちが協力し合って脆弱性に優先順位をつけて対策を探り、コンピュータネットワークをより安全なものにしていく役に立っています。

コンテナとハイブリッドクラウド・テクノロジーによって、セキュリティを取り巻く環境は以前に比べてはるかに複雑になりました。これらのテクノロジーがもたらすリスクの変化、コンプライアンス要件、ツール、およびアーキテクチャの変更にセキュリティチームが対応することはますます困難になっています。境界を守ることを中心とした従来のネットワークセキュリティは、それ自体ではもはや効果的ではないため、セキュリティチームのアプローチには再考が必要です。

Red Hat の階層化された多層防御の Security as code (SaC) アプローチなら、インフラストラクチャ、アプリケーションスタック、およびライフサイクル全体でセキュリティを実装できるようになります。

Red Hat は継続的セキュリティ戦略の効果をお客様に体感していただきたいと考えています。Red Hat はそのために、エンタープライズ向けのオープンソースを提供しています。Red Hat の目標は、各企業が IT セキュリティ保護とコンプライアンスへの順守を継続しながら、ビジネスの競争力、柔軟性、適応性を維持することです。

Red Hat では、専任のエキスパートチームが 24 時間体制で Red Hat テクノロジーをサポートする独自のサブスクリプション・モデルを提供しています。以下は、オープンソースのセキュリティ・ソリューションの一部として提供できるサービスのごく一部です。