IT セキュリティについて

IT セキュリティは、コンピュータシステム、ネットワーク、データなどの情報テクノロジーの完全性を、攻撃や破損、不正アクセスから保護します。デジタル・トランスフォーメーションの世界で競争しようとしている企業は、設計段階から始まる情報セキュリティ・ソリューションの導入方法を知っておく必要があります。これがいわゆる「セキュリティのシフトレフト」であり、インフラストラクチャや製品のライフサイクルの可能な限り早い段階にセキュリティを組み込むというものです。これにより、プロアクティブかつリアクティブなセキュリティを実現できます。

継続的なセキュリティは、日常的なフィードバックと適応のシステムによって維持されますが、多くの場合、自動チェックポイントを利用して処理されます。自動化により、製品ライフサイクルの足かせとならない、迅速で効果的なフィードバックが確保されます。このようにネットワーク・セキュリティを統合していれば、セキュリティ環境の変化に合わせて、アップデートやインシデント対応を迅速かつ包括的に実装できるということでもあります。

これまで、IT とサイバーセキュリティはデータセンターの境界の強化、維持、監視に重点を置いてきましたが、今ではその境界も消滅しつつあります。IT を開発、デプロイ、統合、管理する方法は急激に変化しています。パブリッククラウドやハイブリッドクラウドでは、コンプライアンスとデータセキュリティの責任が複数のベンダーに再分配されています。大規模なコンテナ導入では、アプリケーションのデリバリーを分析、保護、更新する新しい方法が必要となります。モバイルアプリがさまざまなデバイスに普及し、ハードウェアからソフトウェアに移行するインフラストラクチャも増えています。デバイスのネットワークやプロセスが複雑化すると、インサイダー脅威やマルウェアなど、セキュリティ侵害のリスクが増大する可能性があります。

従来のセキュリティ管理の方法では、こうした状況に対応できません。デジタル・トランスフォーメーションでは、IT セキュリティサービスおよびプログラムの変革が求められます。デジタル世界におけるセキュリティは、継続的で統合型、かつ柔軟でなければなりません。

一部の企業は、セキュリティ対策を適切に行うために、ビジネス情報セキュリティ責任者 (BISO) を新規採用することになります。BISO はビジネスに組み込まれ、設計からデリバリー、導入までの製品ライフサイクルに関与します。通常はセキュリティアナリストと協力し、最高情報セキュリティ責任者 (CISO) の下で、セキュリティの取り組みや問題がすべての段階で慎重に管理および統合されていることを確認し、セキュリティのニーズとビジネスへのリスクのバランスをとりつつ、迅速なデリバリーが計画どおりに行われるようにします。

Security-Enhanced Linux (SELinux) は、情報システムにアクセスできるユーザーを管理者がきめ細かく制御できるようにする、Linux® システム向けセキュリティ・アーキテクチャです。もともとは、Linux Security Modules (LSM) を使用した Linux カーネルへの一連のパッチとして、アメリカ国家安全保障局 (NSA) によって開発されました。

SELinux は 2000 年にオープンソース・コミュニティにリリースされ、2003 年にアップストリームの Linux カーネルに統合されました。

ゼロトラストとは、あらゆる通信は信頼できない状況で開始されるという前提に基づいてネットワーク・セキュリティ・アーキテクチャを設計する手法です。これに対し、従来型アーキテクチャは、通信がファイアウォールの内側で開始されるかどうかを基準に信頼性を判別することができます。より具体的には、ゼロトラストは、暗黙の信頼と一時的な認証に依存するセキュリティ・アーキテクチャの欠陥を補おうとするものです。

ゼロトラスト・アーキテクチャは、世界的なサイバーセキュリティ脅威の進化に伴って支持されるようになっており、ネットワーク内のアクティビティは信頼できるものだという長年にわたって前提とされてきた考えを覆しています。有能なサイバー犯罪者は内部関係者を募り、従来のセキュリティ・アーキテクチャの外殻を超えたところに足がかりを見つけます。巧妙化したハッカーや商用 Ransomware as a Service プラットフォームの利用も広範囲に広がっており、新たな金銭目的のサイバー犯罪が発生しやすくなっています。こうしたサイバー脅威はいずれも、貴重なデータを窃取し、ビジネスや商取引を中断させ、日常生活に影響を及ぼす可能性があるものです。

DevSecOps とは、組織が IT セキュリティを強化してソフトウェア環境のリスクを軽減するための手段として、DevOps 手法とセキュリティ戦略を組み合わせたものです。DevSecOps を使用すると、従来の IT セキュリティ戦略に比べて、より迅速かつ大規模で包括的なソフトウェア環境の保護が可能になります。

コンテナを使用すると、さまざまな環境やデプロイ先で、アプリケーションやサービスを簡単に構築、パッケージ化、プロモーションできるようになります。ただし、コンテナセキュリティにはいくつか課題があります。コンテナテクノロジーを導入する企業が増えるにつれて、セキュリティチームは、新たな攻撃者モデルに対処し、新たなインフラストラクチャ・コンポーネントを保護する必要に迫られています。 

固定的なセキュリティポリシーやチェックリストでは、エンタープライズのコンテナに合わせて拡張できません。サプライチェーンにはさらに多くのセキュリティ・ポリシー・サービスが必要です。チームは、コンテナにおけるネットワークのニーズとガバナンスのニーズのバランスをとる必要があります。組織のコンテナセキュリティ・プログラムを成功させるには、基盤となるコンテナ・インフラストラクチャにはもちろん、コンテナライフサイクルのビルド、デプロイ、実行フェーズ全体にも主要な制御を実装することが不可欠です。 

クラウドサービスのメリットについては多くの人が理解しているものの、セキュリティへの脅威によってその利用を思いとどまっています。それも仕方ありません。インターネットを介して送信される無定形のリソースと物理サーバーの間に存在している何かを理解することは困難です。この動的環境では、セキュリティへの脅威のように、あらゆるものが常に変化しています。

クラウドネイティブ・テクノロジーの導入は、既存のセキュリティ戦略を強化する機会だけでなく、新たなセキュリティの課題も生み出します。効果的なクラウドネイティブ・セキュリティ戦略は、チームがより高度なソフトウェアデリバリーを実現しつつ、より安全なシステムを構築できるようにすることを目的とします。 

ハイブリッドクラウド環境では、ユーザーにさまざまな選択肢と柔軟性が提供されます。重要な情報や機密情報についてはパブリッククラウドを使わず、そうしたリスクのないデータについてはクラウドプロバイダーを活用することができます。ハイブリッドクラウド・セキュリティに関する課題の一部と、解決に必要なツールをご紹介します。 

ハイブリッドクラウド環境の保護についてさらに詳しく

お金をマットレスの下に隠しておく人は少ないはずです。ほとんどの人は信頼できる環境 (銀行) に預金し、異なる方法で決済の認可や認証を行っています。API セキュリティも同様です。認証と認可のポリシーを備えた信頼できる環境が必要です。

API セキュリティのベストプラクティスには、トークンの利用、暗号化と署名、クォータとスロットリング、API ゲートウェイなどがあります。ただし、最も重要なのは、API セキュリティが適切な API 管理を利用していることです。

マルウェアとは、malicious software (悪意のあるソフトウェア) の略で、ユーザーの利益に反して動作するソフトウェアのことです。ランサムウェアやアドウェア、ボットネットなどのマルウェアによってデータが破壊され、ユーザーのプライバシーが侵害され、莫大な生産性の損失が生じています。マルウェアは、フィッシング詐欺を通じて送り込まれる場合もあり、感染したコンピュータ、ノートパソコンやデバイスだけでなく、感染したデバイスと通信可能な他のデバイスにも影響を及ぼす可能性があります。マルウェア攻撃は重大な脅威ではありますが、効果的な IT セキュリティにより、組織の脆弱性とサイバー攻撃への露出を軽減することができます。

Kubernetes (k8s または「kube」とも呼ばれる) は、オープンソースのコンテナ・オーケストレーション・プラットフォームで、コンテナ化されたアプリケーションのデプロイ、管理、スケーリングに伴うさまざまな手動のプロセスを自動化します。IT セキュリティチームは、Kubernetes とクラウドネイティブ・テクノロジーについて理解したうえで、効果的な予防措置とリスク管理を確立する必要があります。 

Kubernetes ネイティブセキュリティは、より深い知見、迅速な分析、シンプルな運用を提供し、セキュリティの実装に必要となる時間、作業、人員への投資全般を削減します。

CVE とは、Common Vulnerabilities and Exposures (共通脆弱性識別子) の略で、一般公開されているコンピュータセキュリティの欠陥のリストのことです。CVE は、セキュリティの欠陥に割り当てられた CVE ID 番号の省略表現でもあります。CVE は、IT の専門家たちが協力しながら脆弱性に優先順位をつけて対処し、コンピュータネットワークのセキュリティを高めるのに役立っています。

脆弱性管理は、サイバー攻撃やセキュリティ侵害のリスクを軽減するために、デバイス、ネットワーク、アプリケーションのセキュリティ上の欠陥を特定、評価、修復する IT セキュリティプラクティスです。脆弱性管理プログラムは、セキュリティチームが脆弱性のスキャンやパッチ適用などの検出および修復プロセスを自動化するのに役立ちます。

SPIFFE と SPIRE は、動的で多様なコンピューティング環境における ID 管理のためのオープンソース・プロジェクトです。SPIFFE (「スピッフィ」と発音) は、Secure Production Identity Framework for Everyone の略です。ID の構造と、ID を暗号的に検証して信頼できると見なす方法を確立します。SPIRE は、SPIFFE Runtime Environment の略です。SPIRE は SPIFFE のリファレンス実装です。

コンテナとハイブリッドクラウド・テクノロジーによって、セキュリティを取り巻く環境は以前に比べてはるかに複雑になりました。これらのテクノロジーがもたらすリスクの変化、コンプライアンス要件、ツール、およびアーキテクチャの変更にセキュリティチームが対応することはますます困難になっています。境界を守ることを中心とした従来のネットワーク・セキュリティは、単独では役に立たなくなったため、セキュリティチームはアプローチを見直す必要があります。

Red Hat は、お客様がインフラストラクチャ、アプリケーションスタック、そしてライフサイクル全体にセキュリティを実装するのに役立つ、階層化された多層防御の Security as Code アプローチを採っています。

Red Hat は、お客様に自信を持って継続的なセキュリティ戦略を導入していただきたいと考えています。そのために、エンタープライズ向けのオープンソースをご用意しています。 Red Hat が目指しているのは、お客様が IT セキュリティとコンプライアンスを維持しながら、高い競争力、柔軟性、適応性を保持できるように支援することです。

Red Hat 独自のサブスクリプションモデルでは、Red Hat のテクノロジーを 24 時間年中無休でサポートする、専任のエキスパートチームによるサポートが受けられます。オープンソース・セキュリティ・ソリューションの一部としてお客様に提供できるサービスの例を以下に示します。