自動化 05-24-2021

人のための自動化 (Automatic for the People)

Brian Honan

ある年代の方にとっては、このブログ記事のタイトルを見て、REMの同名のアルバムの記憶が蘇るかもしれません。長男とアルバムコレクションを共有していた時に、このアルバムを見つけ、そのタイトルが今日のサイバーセキュリティの問題点を示唆していると感じました。

現在の脅威の環境では、私たちのシステムには、新しい脅威、古い脅威、進化した脅威が毎時間のように押し寄せてきます。これらの背後にいる脅威の主体は、我々のシステムに侵入しようとする方法において、より洗練され、持続的になっています。また、さまざまなタイプの脅威に対応するさまざまなセキュリティソリューションが普及しています。これらのソリューションは、それ自体が効果的であるかもしれませんが、比較的、独自の環境で運用されており、それらを管理するためには、独自のトレーニング、スキル、さらにはツールが必要です。多くの組織がオンプレミスシステムからクラウドへ移行する中で、ハイブリッド環境のセキュリティ確保という課題に直面しており、その課題に対応するための独自のソリューションが必要となっています。

このように、過密状態にあるサイバーセキュリティチームには、すでに十分な課題がありましたが、COVID-19パンデミックは状況をさらに悪化させました。パンデミック時には、多くの人がリモートで仕事をすることになるため、セキュリティチームは、遠隔地にいる従業員の安全を確保するための要求にどのように対処するのが最善かを判断するのに苦労しています。これまで以上に多くのスタッフがリモートでシステムにアクセスするようになったことで、セキュリティチームは、組織のシステムやデータにアクセスする者が本人であることを確実にする必要があります。

従来、仕事量の増加に対応するためには、単純に人を増やして仕事をこなすという方法がとられていました。しかし、多くの組織がサイバーセキュリティを重視するようになったことで、熟練したサイバーセキュリティの専門家の需要がそれに応じて増加しています。このように、限りある資源の中で需要が高まっていることから、サイバーセキュリティ業界では、深刻なスキルギャップとスキルクライシスが生じています。すべての組織がサイバーセキュリティの課題に対応できるだけの人材と適切なスキルを備えていないのが現状です。

以上のことから、多くのサイバーセキュリティチームでは、過労やストレスを抱えたスタッフが、課せられた要求を満たすのに必死になり、場合によっては燃え尽き症候群で、業界を去っていくという状況が発生しています。もちろん、それはただでさえ軋んでいるシステムにさらに負担をかけることにもつながります。

そこで、「Automatic for the People」への思いが浮かびました。1913年、ヘンリー・フォードは、自動車工場に初めて生産ラインを導入しました。これは、自動車業界だけでなく、あらゆる業界に大きな影響を与えることになり、このアイデアはすぐに採用され、それぞれの業界に適用されました。生産ラインは、自動車を組み立てるための多くの工程を自動化し、定型的で反復的な作業をより迅速に行うことを可能にしました。自動化された生産ラインのおかげで、ヘンリー・フォードは自動車の組み立てにかかる時間を12時間以上から90分強に短縮することができました。それから100年以上が経ち、この生産ラインは、ロボットが反復的で退屈な作業をこなし、労働者が他の複雑な作業に集中できるようにすることで、さらに効率的になりました。

サイバーセキュリティ業務においては、単純で予測可能な反復作業をどのように自動化できるか、より効果的な方法を検討する必要があります。これにより、組織が直面している脅威に対して、より適切かつ迅速に対応できるようになるだけでなく、熟練したコストのかかるスタッフのスキルを、他の価値あるプロジェクトに集中させることができるようになります。

自動化ソリューションは、重要なタスクが効率的かつ時間通りに行われることを保証することで、それ自体がセキュリティコントロールにもなります。SSL/TLS証明書の有効期限が切れると、ウェブサイトが使えなくなったり、評判が悪くなったりすることは、誰もが知っていることです。電子証明書の管理プロセスを完全に自動化することで、ウェブサイト、コードの署名IoTデバイスの管理リモートユーザーへのセキュアなアクセスなど、すべての証明書がどこにあるかを明確に把握することができます。この現状把握により、証明書が適時適切に更新され、さらには必要に応じて失効されることが保証されます。

スプレッドシートを使って上記を記録したり、電子メールやカレンダーのリマインダーを使って証明書を管理するという古いモデルに固執することは、今日の厳しい環境では通用しにくくなってきています。まだまだ手作業に重点が置かれており、それに伴うヒューマンエラーや不作為のリスクがあります。また分散型環境やクラウド環境では、あらゆる場所で電子証明書が必要とされており、手動での証明書管理は膨大な作業量となり、ミスが発生しやすい作業となっています。証明書の検知と自動化のソリューションは、組織が採用しなければならないものであり、今後6~12ヶ月の間に優先的に取り組む必要があります」と述べています。

アルバム『Automatic for the People』にインスパイアされた話に戻りますが、自動化されていない「Ignoreland」(無視する状態)に居続けると「Everybody Hurts」(みんな傷つく状態)になってしまいますが、サイバーセキュリティの自動化のための適切な「Drive」(行動)があれば、「Sweetness Follows」(安心が続く)という状況になることができます。

UP NEXT
CA/B フォーラム

SSLサーバ証明書のドメイン認証方法に関する業界標準の変更に伴い、証明書管理ソリューションの必要性が高まる

5 Min

特集記事

クラウド上で量子コンピュータをいかに保護するか

NIST PQC アルゴリズムに関する詳細な説明

従来の PKI がもたらす割高な機会損失