2019 年セキュリティ・バイヤーズ・ガイド

セキュリティは「エッジ」から始まる：

2セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

デジタル・ビジネス・イノベーションには セキュリティが不可欠である。 この当然の主張は、これまで常に真実として認められていたわけではありませんでした。かなり最近まで、デジタルセキュリティはコストセンターと見なされていたのです。 しかし、そのような時代は終わりました。

デジタルビジネスの成功にはセキュリティが欠かせません。ただし、1 つだけ確かなことがあるとすれば、それはセキュリティ侵害は必ず発生するということです。そして、セキュリティ侵害が発生すると深刻な影響が生じる場合があります。その影響はダウンタイムだけにとどまりません。セキュリティ侵害は信頼と評判の失墜につながります。

要するに、セキュリティを無視することはもはや許されないのです。CIO や CISO などのセキュリティリーダーや IT リーダーは、ビジネスとデジタルリスクの関係性について中心的な役割を担うことになります。そのような責任者は、職務の一環として、デジタル資産を確実に保護するための人材とテクノロジーを見つけなければなりません。

Gartner によると、2020 年までに大規模エンタープライズの 100% で、サイバーセキュリティとテクノロジーのリスクについて、年 1 回以上の頻度で取締役会への報告が求められるようになるとのことです。この数字は、2018 年の 40% から大きくなっています。大規模エンタープライズか小規模企業かに関係なく、社内のリーダーは継続的なセキュリティ／リスク管理／コンプライアンス戦略の一環として、自社にとって最も効果的なセキュリティソリューションを調達しなければなりません。

もちろんこれは、言うは易く行うは難しです。そこで、耐障害性の拡張、信頼の構築、収益の促進を実現する、貴社に最適なソリューションを見つけられるようにするためにこのガイドを作成しました。

セキュリティリーダーよ、汝自身を知れ。最終的な質問は、リスクを緩和するための最適なソリューションは何か？というものです。この質問に回答するためには、まず次のような質問に回答する必要があります。当社のビジネスは何か？当社の要件は？このソリューションを購入することで、どのような成果を求めているのか？そこで、まずは次の手順を実行します。

3セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

リスクを評価する。優れたリスク評価とは、組織の現在のセキュリティ体制を厳格に評価するものです。そのためにはまず、組織が直面している潜在的脅威を特定し、発生の可能性と発生した場合の潜在的影響に基づいて、それぞれの脅威にスコアを付けます。

潜在的脅威を特定したら、次に脆弱性を明らかにします。たとえば、既知のセキュリティ欠陥がありながらパッチ未適用のオペレーティングシステムをウェブサーバーで実行している、DDoS 攻撃を吸収するためのネットワーク帯域幅が不足している、などです。また、アプリケーションのクラウド移行に伴い、従業員がアプリケーションにアクセスする方法も変化しています。決して突破されることのない境界という誤った認識に基づく旧式のセキュリティモデルに則って、無制限のアクセス権を付与するやり方はもはや通用しません。

脅威と脆弱性が重なり合う領域に焦点を当てて、セキュリティ対策に取り組まなければなりません。次に必要なのが、ギャップ分析です。脅威の緩和に必要でありながら、まだ実装していないセキュリティ制御を特定します。

必要なのは、ビジネスの阻害要因ではなく、 ビジネスの促進要因としてのセキュリティ。リマインダー：ユーザー体験とセキュリティは必ずしもトレードオフの関係にはない。

必要なのは、ビジネスの阻害要因ではなく、ビジネスの促進要因としてのセキュリティです。今や、劣悪なユーザー体験は一切許されなくなりました。オンライン小売企業を保護する場合でも、組織の OTT 配信を保護する場合でも、エンドユーザーはダウンタイムや遅延のない完璧な体験を求めています。

しかし、ネットワークの保護がユーザー体験の低下を招くことも少なくありません。 これまで長きにわたって、ユーザー体験とセキュリティは基本的にトレードオフの関係にあると言われてきました。しかし、必ずしもそうではありません。

4セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

セキュリティソリューションはユーザー体験の低下を招くだけではなく、セキュリティによってアプリケーションが不必要に中断したり、開発者の生産性が低下したりする場合もあります。実際、自社アプリケーションを任意のクラウドプロバイダーに展開することを禁じているセキュリティプロバイダーもあります。しかし、これも必ずしもそうする必要があるとは限りません。

4 つの重要要素を満たすセキュリティベンダーを選択する。上記の自問自答を行い、自身の目的を完全に把握したら、次にベンダーの選択に移ります。その際にはまず、以下の重要要素に焦点を当てます。これらはいずれも高品質の

セキュリティプラットフォームであれば必ず備えているものです。

プラットフォーム： セキュリティプラットフォームの価値は、セキュリティ責任者やビジネスニーズによって異なります。必要なプラットフォームを選択する際には、以下の自問自答を行います。セキュリティ責任者として、セキュリティプラットフォームに何を求めているのか？どのような機能を備えているか？ビジネスの迅速化につながるか？どのように資産を保護するのか？どれだけ簡単に管理できるか（または困難か）？

サービスおよびサポート： 高度なトレーニングを受けたセキュリティエキスパートを通じて、脅威分析やパーソナル化された戦略を提供するベンダーを選択します。多様かつ絶えず進化するセキュリティ脅威を防御するためには、テクノロジーだけでは不十分です。矛盾のあるビジネス目標や限られた IT 予算に直面し、サイト、アプリ、API に最適なセキュリティを提供するための時間、リソース、専門家を確保できない場合もあります。そこで、マネージド・セキュリティ・サービスを利用すれば、貴社とベンダーで共通のアプローチを活用することで、応答時間を短縮し、緩和の品質を高めることができます。

コンプライアンス： 検討中のベンダーが、貴社の業界に該当するコンプライアンス規則に対応していることを確認します。これには、EU General Data Protection Regulation

（EU 一般データ保護規則、GDPR）、Payment Card Industry Data Security Standard（PCI

DSS）、Health Insurance Portability and Accountability Act of 1996（1996 年医療保険の携行性と責任に関する法律、HIPAA）、Federal Risk and Authorization Management

Program（FedRAMP）、ISO 27002、Service Organization Control（SOC）2 Type II などが含まれます。

5セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

そして最後に、検討中のソリューションは以下の機能をすべて備えていますか？： すべてのセキュリティベンダーに欠かせない機能がいくつか存在します。それらの機能が高品質で貴社の要件を満たしているかを確認します。以下の機能は、ベンダーを選択する際に最優先で考慮すべき基本的な必須機能です。

必要なのは、貴社の従業員やアプリをボットや 詐欺から保護するセキュリティソリューション。すべてのソリューションが提供すべき包括的なメリットは何でしょうか？

セキュリティソリューションの場合は、規模、可視性、インテリジェンスの 3 つです。加えて、貴社の従業員やアプリをボットや詐欺から保護しなければなりません。必要なのは、ゼロトラスト・モデルに移行して従業員を保護し、収益や顧客体験をボットや詐欺から守り、そして何より、今日のデジタル体験の要となるアプリや API を保護するソリューションです。

規模： 攻撃の規模とスピードは増しています。そのため、脅威の進化に対応できるソリューションを選択することが重要です。2018 年には、memcached リフレクションを利用した 1.3 Tbps の DDoS 攻撃により、大惨事が発生するところでした。この記録的な攻撃は、2017 年に起きた有名な Mirai ボットネット攻撃の 2 倍以上の規模でした。

私たちは現在、悪意のあるボットトラフィックがかつてないほど高度化している時代に生きています。今日のハッカーはボットを使用して攻撃前のスキャンを行い、脆弱性を悪用し、貴社の Web 上のプロパティに対してさまざまな攻撃（コードインジェクション、DDoS、

DDoS 緩和 アプリケーションセキュリティ

API セキュリティ フィッシング予防 Credential Stuffing 防御

ボット検知 セキュアなアプリケーション

アクセス マルウェア保護

6セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

パスワード類推ハッキングなど）を実行します。また、これらのボットは Credential

Stuffing を通じて、購入／購入キャンセルの繰り返し、インベントリの取得／利用、サイトのスクレイピング、情報の盗み取りなど、さまざまな不正活動を行います。最悪の場合、悪意のあるボットによってアプリケーションや API が停止し、収益の損失につながることもあります。

大量の不正トラフィックを回避するための最良の方法は、貴社の Web サイトに到達する前に、エッジでトラフィックを排除することです。しかし問題はそれほど単純ではありません。なぜなら、インターネットには正当なボットトラフィックも存在するためです。そこで、悪意のあるボットから防御し、正当なボットトラフィックを管理できるソリューションを選択しなければなりません。

もう 1 つの問題が規模です。企業アプリを管理できるだけの規模が必要です。また、高度な分散型アプリケーションについては維持やサポートがさらに難しくなっており、ユーザーのニーズも高度化しています。アプリはあらゆる場所に分散しています。従業員が広範囲（場合によってはグローバル規模）にわたって分散しているため、アプリも高度に分散しています。

加えて、アプリを構築するためのソースも多様化しています。たとえば、フレーム

ワーク、スクリプト、コンテンツソース、さらには各場所からリアルタイムで実行される

コードなどです。したがって、これだけの規模に対応できるソリューションが必要です。

可視性： 攻撃を可視化できなければ、お客様をリアルタイムで保護し、将来の脅威を緩和するための実用的な知見を獲得できません。最も強力なセキュリティプラット

フォームとは、1 日に数十億ものデバイスと数億もの IP アドレスに対応し、年間

数十億もの DDoS 攻撃を検知できるプラットフォームです。これだけの対応力を備え、既存の脅威環境を可視化できるソリューションを選択する必要があります。

重大なセキュリティ侵害が発生した際、次のような文言をよく耳にします。「ハッカーたちは見つかることなく、X か月にわたって不正を働くことができた。一度侵入に成功すると、その後は自由にネットワーク内を動き回ることができた」。必要なのは、アプリケーションへの詳細なアクセス記録／制御と、DNS ベースの脅威保護の両方の機

能を備えたソリューションです。このようなソリューションがあれば、可視性を高めてセキュリティ侵害を迅速に検知できます。

7セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

さらに、攻撃後の可視性とリアルタイムサポートも必要です。つまり、Security

Operations Center が単一の専用窓口として、さまざまな攻撃や脅威に対するサポートをリアルタイムで提供するべきです。攻撃後は、攻撃の概要をダッシュボードで確認するだけでなく、攻撃後のフォレンジック調査および根本原因の分析結果を詳細に確認できる必要があります。

単一の統合ポータルを通じて複数のソリューションを管理し、攻撃とポリシー制御を

可視化できるソリューションかどうか調査することをお勧めします。また、既存の

SIEM（セキュリティ情報およびイベント管理）ツールと統合でき、自社のすべてのセキュリティソリューションの認識と可視性を強化できるソリューションでなければなりません。

インテリジェンス： かつてないほど高度化するボリューム型 DDoS 攻撃の脅威に対応するためには、ネットワーク容量だけでなく専門知識も必要になります。そのため、Security Operations Center を通じて 0 秒で DDoS を緩和し、業界エキスパートが監視やスクラビング、DDoS 緩和などのサービスを常時提供するソリューションが最適です。

アプリ、API、ユーザーを保護するためには、ネットワーク容量だけでなく脅威インテリジェンスが必要です。セキュリティ体制を強化するためのインテリジェンスを獲得する上では、人工知能と機械学習が重要な役割を担うことになります。そこで、プラットフォームを選択する際には、インターネットの可視性と規模に優れ、グローバルな分散に対応し、最先端のデータサイエンス機能を備えたものを選びます。

上記の条件を満たすベンダーであれば、優れた機械学習エンジンを活用して、適応型脅威／アクセス保護と詳細な脅威インテリジェンスを提供できるはずです。人間とアルゴリズムが、構造化データと非構造化データの統計分析、傾向分析、パターン分析を実行することで、新しい攻撃ベクトルを誰よりも早く特定して緩和できます。

8セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

エッジセキュリティを展開することで、攻撃の 発信源に近い場所で資産を保護し、ユーザーの 近くからデジタル体験を提供することができる。

セキュリティソリューションに不可欠な 8 つの特長。

ここまでは、セキュリティプラットフォームの選定プロセスを開始するための枠組みと、調査の際に検討すべき重要要素について見てきました。そして、ここからが核心部分です。セキュリティソリューションに不可欠となる主な特長とは何でしょうか？

ビジネスを中断させない：パフォーマンスは重要ですが、可用性は不可欠です。ダウンタイムや機能停止が発生すれば、収益、生産性、評判に被害が及びます。つまり、企業そのものの存続が危機に直面するのです。デジタルビジネスやイノベーションにおいて、セキュリティは妥協が許されません。したがって、セキュリティ侵害を迅速かつ正確に緩和し、脅威を特定および撃退できるソリューションを選択しなければなりません。 これについては議論の余地はありません。

アプリと API のセキュリティを確保する：API は、最新のアプリケーションの構成要素でもあり、最新かつシームレスなユーザー体験を提供する企業同士をつなぐ結合要素でもあります。今日の組織は数百もの API を使用しているため、アタックサーフェス（攻撃の対象となり得る領域）が従来より拡大しています。各 API が、安全性、安定性、拡張性を脅かす潜在的障害点となります。それを解決するのが、クラウドベースの Web

Application Firewall（WAF）です。WAF が、データにアクセスする消費者とクラウド環境の間のセキュリティレイヤーとなり、いつ起こるかもしれない執拗な標的型攻撃

から Web サイトと API を保護します。

ゼロトラスト環境を達成する：次のようなフレームワークを備えたセキュリティプラットフォームが必要です。承認を受けた正式なユーザーにのみアプリやデータを配信する、トラフィックの記録とインライン検査を実行できる、マルウェアと DNS ベースの侵害を防止する、エンドユーザーをフィッシング攻撃から保護する、ボットトラフィックを特定してブ

ロックできる、最新の SaaS アプリケーションと従来型のデータ・センター・アプリに接続できる、WAF とシームレスに統合してアプリケーションレイヤーへの攻撃を緩和できる、アプリケーションの高速性と信頼性を確保しながらクライアントレスでアプリケーションにアクセスできる。つまり必要なのは、自社固有のニーズに合致し、データとユーザーの間で許可されたインタラクションのみを実行できるプラットフォームです。

9セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

エッジセキュリティを実現する：エッジセキュリティを展開することで、攻撃の発信源に近い場所で資産を保護し、ユーザーの近くからデジタル体験を提供することができます。つまり、インフラストラクチャの拡張機能として、企業（およびそのユーザーとデジタル体験）と、常に変化する現代のデジタル環境との間に、一枚のガラスを置くようなイメージです。ある意味では、物理的なトポロジーの問題です。ユーザーがオンデマンドのシームレスなデジタル体験を期待しているときは、インタラクションをエッジの近く、つまり生成されるデータのソースの近くに置きます。これは、より良い体験を提供するためだけではなく、広範囲に分散しているデジタル体験のユーザーや消費者とビジネスの間の安全装置を構築するのに最適な場所であるからです。

高度な脅威の一歩先を行く：脅威の中には、セキュリティツールの裏をかくように設計されたものも存在します。そのような高度な脅威の一歩先を行き、対応できるセキュリティプラットフォームを選択する必要があります。どのセキュリティベンダーを選択するにせよ、最前線に立って攻撃者の手口を調査しているセキュリティエキスパートによって支えられたテクノロジーを選ぶことが重要です。テクノロジーと人間の専門知識を活用して将来のゼロデイ攻撃に対応できるソリューション、さらには事前に予測できるソリューションが必要です。

セキュリティ制御を合理化する：自動化とスクリプティング（オーケストレーション）を通じて俊敏性を強化できるセキュリティソリューションが必要です。デジタルセキュリティはビジネスイノベーションの基盤であり、ビジネス成長のための基盤です。デジタル変革を効率的に推進して、迅速に価値を創出できるソリューションが必要です。

24 時間／ 365 日体制のサポートを利用できる：自動化された DDoS 対策ツールや、DDoS の検知と防御のための予約帯域幅を利用するだけでは、十分とは言えません。緩和のエキスパートによる 24 時間／ 365 日体制のサポートを利用できれば、必ず役立つはずです。世界規模に展開している、24 時間体制の Security Operations Center を利用できれば、時間や場所を問わず、さまざまな攻撃に対応できます。そして、世界規模に展開しているスクラビングセンターを利用できれば、堅牢なセキュリティ体制を確立して、最大かつ最先端の攻撃さえも阻止できます。人間とテクノロジーの力を組み合わせることで、通常のセキュリティを卓越したセキュリティへと強化できます。そのため、マネージドサービスの必要性の有無を検討します。

10セキュリティは「エッジ」から始まる：2019 年セキュリティ・バイヤーズ・ガイド

自社のブランドを保護して、顧客の信頼を獲得する：信頼はビジネスの生命線です。 ビジネスを保護して、リスクを緩和するのは、この信頼を守るためです。

ビジネスの中断を完全に避けることはできません。そこで、セキュリティリーダーは、中断から回復するための習慣、リソース、計画を整備しなければなりません。エコシステム内のいずれかの場所でセキュリティ侵害が発生すれば、ビジネス全体が甚大な被害を受けることになります。セキュリティはもはや単なるコストセンターではありません。セキュリティリーダーは、デジタル変革を推進し、収益を高め、ビジネスとイノベーションにおける自身とチームの役割の重要性を確立できるのです。

Akamai は世界中の企業に安全で快適なデジタル体験を提供しています。Akamai のインテリジェントなエッジプラットフォームは、企業のデータセンターからクラウドプロバイダーのデータセンターまで広範に網羅し、企業とそのビジネスを高速、スマート、そしてセキュアなものにします。マルチクラウドアーキテクチャの力を拡大させる、俊敏性に優れたソリューションを活用して競争優位を確立するため、世界中のトップブランドが Akamai を利用しています。Akamai は、意思決定、アプリケーション、体験を、ユーザーの最も近くで提供すると同時に、攻撃や脅威は遠ざけます。また、エッジセキュリティ、ウェブ／モバイルパフォーマンス、エンタープライズアクセス、ビデオデリバリーによって構成される Akamai のソリューションポートフォリオは、比類のないカスタマーサービスと分析、365 日 /24 時間体制のモニタリングによって支えられています。世界中のトップブランドが Akamai を信頼する理由について、www.akamai.com/jp/ja/、blogs.akamai.com/jp/ および Twitter の @Akamai_jp でご紹介しています。全事業所の連絡先情報は、www.akamai.com/jp/ja/locations.jsp をご覧ください。公開日：2019 年 5 月。