ITエコシステムは常に変わり続けています。特に次の3つのトレンドは、CTO、CIO、およびCISOが組織のITレジリエンスに取り組むきっかけとなります。
ITレジリエンスの構築が重要なのは、脅威を取り巻く環境が激しく変化しているためです。
従来、ハッカーの狙いはクレジットカード番号、個人情報、銀行口座情報など、ハッカー自身にほぼ即座に価値をもたらすものでした。しかし、ランサムウェアの時代には、組織にとって価値のあるデータを狙うようになりました。つまり、Tier 0資産、契約書、SharePoint、OneDrive、Eメール、コーポレートシステムなどです。データは、組織外ではほとんど価値がなくても、組織内で突然利用できなくなると価値が高騰します。
ほぼすべての組織が、脅威を取り巻く環境のそのような変化による影響を受けています。それほどリスクが高いため、74パーセントの企業がサイバー攻撃への対策が十分でないと報告しているのもうなずけます。
Active Directory(業務に不可欠なインフラストラクチャの中枢)に依存している企業では、サイバー攻撃を受けた後、素早く安全にリカバリできることがITレジリエンスの要となります。10社のうち7社以上が、重要なアプリケーションについてはわずか2時間のダウンタイムも許容できないとしており、ADのスピーディなリカバリは極めて重要です。ITレジリエンスには、保護とリカバリの自動化により、人的エラーが発生して最初からやり直す必要が生じるリスクを減らすことや、ADのバックアップを攻撃者の手が届かず、マルウェアに感染しないところに保管することが含まれます。
ITレジリエンスは、Eメールの添付ファイルやフィッシングサイトなどに対する最初の防衛線から、アプリケーションやデータの全社的なバックアップという最後の防衛線にまで及びます。それは、バックアップ/リカバリのために堅牢なソフトウェアと手順を用意するだけでなく、攻撃者がバックアップデータを変更および使用できないようにすることを意味します。
ITレジリエンスの利点は、脅威を取り巻く環境の変化に遅れを取らずに対応できるだけではなく、その一歩先を行くことができる点です。さらに、レジリエンスに関する作業を自動化することで、可用性の向上、安全なインフラストラクチャ、IT資産のパフォーマンス改善などの恩恵をすぐに享受できます。
ITレジリエンス戦略を取ることにより、ITエコシステム全体のあらゆる面でサイバーセキュリティを強化し、徹底したセキュリティを構築できます。
ITレジリエンス計画を作成する最初のステップの1つが、Zero Trust戦略を策定することです。Zero Trustでは、クラウド優先でIDを中心とするアプローチを取って、企業にとって重要な人、アプリケーション、およびデータを保護します。このアプローチでは、要求されたすべてのリソース(オンプレミス、クラウド、およびハイブリッド)へのアクセス権(人とマシン)を継続的に検証し、ユーザのアクションをベースラインの行動分析と比較することで、脅威から保護します。
Zero Trustでは、組織は不要になった脆弱な権限とアクセス権を取り除き、明確な委任と細部にわたる適切なプロビジョニングに基づいてアクセスに関する決定を下します。管理パスワードを共有する代わりに、すべての管理アクションを個別かつ動的に認証します。最小特権の原則に従って、作業を行うために必要な権限のみを管理者に付与します。
Zero Trustは、ネットワーク中心のアプローチでは対応しきれなかった領域に対応しています。ネットワーク中心のアプローチでは、ログイン時に一度、「あなたはこのネットワークに入る権限を持っていますか?」と尋ねるのみです。新しい環境ではリスクが格段に増えているため、Zero Trustでは、「あなたはそのファイル/アプリケーション/デバイス/リソースにアクセスする権限を持っていますか?」と絶えず質問します。これにより、セキュリティ体制が大幅に強化されます。
ITレジリエンス計画によってITオペレーションが合理化されて拡張可能になり、目まぐるしく変化し続ける顧客やユーザの使用パターンに適応できるようになります。ユーザとグループの管理、グループポリシー管理、Active Directory正常性モニタリング、ディザスタリカバリ計画、およびOffice 365バックアップなどの管理タスクを自動化することによって、時間を節約し、セキュリティリスクを最小化しましょう。
ITレジリエンス計画を堅牢なものにするには、サイバーセキュリティの強化と共に、データ保護とディザスタリカバリについても考慮する必要があります。通常、このステップは少なくとも3つの要素、つまりスコープの決定、ビジネス影響分析による要件の確立、および詳細なリカバリ手順の作成で構成されます。ただし、このステップは見過ごされがちです。自社のリカバリ能力はCIOの期待を満たしている、または期待を上回っていると自己評価している企業でさえ、これら3つの要素すべてを実施しているのは、そのうちのわずか27パーセントに過ぎません。