サイバーセキュリティアーキテクチャについて知る
学習の目的
この単元を完了すると、次のことができるようになります。
- サイバーセキュリティアーキテクトの役割について説明する。
- サイバーセキュリティアーキテクチャの目標を説明する。
- サイバーセキュリティアーキテクチャの重要性について説明する。
サイバーセキュリティアーキテクトとは?
サイバーセキュリティアーキテクトは、組織が重要な情報を保護するためにコントロールが必要となる場所に優先順位を付け、どの程度のリスクを許容するかを定義できるようにします。ビジネスがセキュリティに関する疑問を抱いたとき、その答えを示すのがサイバーセキュリティアーキテクトです。サイバーセキュリティアーキテクチャの構築を依頼される場合、通常は質問という形で求めているものが示されます。たとえば、次のような質問です。
- 最も安全なメールテクノロジーはどのようなものか?
- 極めて価値の高いアセットを保護するにはどうすればよいか?
- ソフトウェアの安全性を最大限に高めることができるのはどのアプリケーション開発アプローチか?
- 脆弱性をテストし、システムのセキュリティを評価する責任を担うのは誰か?
- セキュリティ侵害から速やかに復旧できると、どの程度確信をもって言えるか?
ここで、ビルを設計する建築家の役割について考えてみましょう。建築家が超高層ビルを設計するときは、自然災害に耐え、屋根と重厚な壁で屋内の人々を守り、入り口に防犯ゲートやバッジスキャナーといったセキュリティ強化策を設置して、安全な建造物にするための構造や対策を多角的に検討します。建築家は建築技師から建物の要件を収集して質問し、計画を文書化して、設計図を作成します。
サイバーセキュリティアーキテクトも同様に、最新テクノロジーの開発やデプロイに取りかかる前に、プロダクト、セキュリティ機能、使用効率に関するビジネス面やテクノロジー面の質問を検討します。フォローアップの質問をし、要件を記録して、そうした要件とセキュリティ条件を突き合わせます。こうした事項に基づいて、テクノロジープロダクトのセキュリティ標準やポリシーを定めます。セキュリティアーキテクチャの設計では、このどれもが極めて重要なステップです。
サイバーセキュリティアーキテクトの究極の目標は何でしょうか? その目標は、プロダクトに企業のリスクを軽減する適切なセキュリティコントロールが配備されるようにして、ビジネスを保護することです。そのために、ビジネスシステムの機密性、整合性、可用性 (CIA) を保護するために実装するセキュリティコントロールを配置したセキュリティアーキテクチャを設計します。具体的な方法を詳しく見ていきましょう。
- 機密性: サイバーセキュリティアーキテクトは、知的財産や顧客の財務データ、従業員のパスワードなど、貴重な情報が不正開示されないように組織のアセットを保護します。
- 整合性: サイバーセキュリティアーキテクトは、攻撃者、あるいはユーザーの過ちによってデータが不正に改ざんされないように、整合性コントロールを実装します。こうしたコントロールにより、ビジネスシステムに保存されている情報の信頼性と正確性が確保されます。
- 可用性: サイバーセキュリティアーキテクトは、サイバー攻撃によってビジネスが被る最大のコストの 1 つであるダウンタイムの防止に取り組みます。システムを必要とする人々が確実に使用できるようにします。攻撃によって従業員が作業できなくなったり、顧客が購入できなくなったりすれば、企業が多額の収益を失うことをセキュリティアーチストは認識しています。
セキュリティアーキテクチャの要素
組織のセキュリティアーキテクチャは、サイバーセキュリティ対策の基本で、内外の脅威からビジネスを保護するためのツール、テクノロジー、プロセスで構成されます。サイバーセキュリティアーキテクチャでは、ネットワーク、アプリケーション、セキュリティ機能などからなるコンピューティング環境の組織構造、機能動作、標準、ポリシーと、こうした要素の相互作用を指定します。それぞれ見ていきましょう。
- ネットワーク要素: ノード、通信プロトコル、トポロジーなどのコンポーネントが該当します。アプリケーションは、ワープロソフトウェアやモバイルバンキングインターフェースなど、エンドユーザー向けに設計されたプログラムです。
- セキュリティ要素: サイバーセキュリティのデバイスやソフトウェア、暗号化方式などのコンポーネントが該当します。アーキテクトはまた、ID とアクセス管理サービスなど、組織全体で使用され、セキュリティ上のメリットをもたらすツールやサービスのデプロイメントも設計して実装します。
- フレームワークと標準: サイバーセキュリティアーキテクトは、フレームワークや標準のほか、セキュリティポリシーや手順を使用して、上記のすべての要素を結び付けます。一般的なフレームワークや標準には、オープン Web アプリケーションセキュリティプロジェクト (OWASP) のソフトウェア保証成熟度モデル (SAMM)、米国標準技術研究所 (NIST) のサイバーセキュリティフレームワーク、情報セキュリティ管理に関する ISO/IEC 27000 規格シリーズなどがあります。MITRE も一般的なサイバーセキュリティプロセスのリストを管理しており、組織はこのリストを各自のサイバーセキュリティプログラムの土台として利用できます。
サイバーセキュリティアーキテクトは、セキュリティ対策と、それをいつ、どこで、なぜ使用するのかを定義するためのセキュリティアーキテクチャフレームワークを設計してデプロイします。侵入検知・防止システム (IDPS) などの検知型セキュリティコントロールの結果を監視し、新しいプロダクトの設計に役立てるほか、追加する必要のある検知型コントロールを特定します。また、将来の変更をどのように統合するかも検討し、組織の一貫したセキュリティアーキテクチャ設計でテクノロジーや脅威環境の変化に適応できるようにします。オンプレミス環境やクラウド環境、あるいは両者のハイブリッドを採用している組織向けにセキュリティアーキテクチャを設計することもあります。こうしたアーキテクトは、コンサルティング企業、政府機関、新興企業、調査会社のほか、さまざまな業界で仕事をします。
サイバーセキュリティアーキテクチャの重要性
サイバーセキュリティアーキテクチャはなぜ重要なのでしょうか? 組織は攻撃にさらされており、その頻度と侵害の深刻度は悪化の一途をたどっています。データ、プロダクト、プロセスのデジタル化に伴うサイバーセキュリティの課題や脆弱性も生じています。さらに、IT 環境の複雑化により、侵入者が悪用できるインターフェース (攻撃対象領域) が拡大しています。今日の組織は通常、オンプレミスとクラウドの両方にリソースを保有し、多数のサードパーティに接続し、リモート勤務のモバイルワーカーを抱えているほか、その環境にモノのインターネット (IoT) デバイスを設置していることもあります。このすべてにより、ビジネスシステムのセキュリティを確保しながら技術革新や成長を可能にする慎重な設計アプローチが求められます。
サイバーセキュリティアーキテクトは、さまざまな方法で組織に顕著なインパクトをもたらします。まず、ビジネスやサイバーセキュリティの課題を解決するセキュリティソリューションを設計してデプロイします。さらに、企業のデジタルフットプリントのあらゆる側面に関与するため、ビジネスの成功に向けて重要な役割を担います。サイバーセキュリティアーキテクトは、組織が重要な情報を保護するためにコントロールが必要となる場所に優先順位を付け、どの程度のリスクを許容するかを定義するほか、IT セキュリティをビジネス計画と調整して現在の脅威から防御できるようにします。
サイバーセキュリティアーキテクトは、業界標準に基づいて組織全体に一貫したセキュリティ原則を適用するためのアーキテクチャを設計してデプロイするという方法で、組織にセキュリティポリシー、プロセス、手順を実装します。また、機密性の高い情報やシステムへのアクセスを制限し、多層化セキュリティで防御を強化して侵害を封じ込めるうえでも重要な役割を担います。
さらに、サイバーセキュリティアーキテクトは組織の収益にも直接的な影響を及ぼします。強固なセキュリティアーキテクチャを配備すれば、関係者や顧客、潜在的なビジネスパートナーから信頼を得ることができます。堅牢なセキュリティアーキテクチャが整備された組織は、テクノロジーや脅威状況の将来的な変化にも適応することができます。確固たるセキュリティアーキテクチャは、セキュリティへの潜在的な投資や既存の投資を分類して、不十分な部分を見極め、バランスの取れたセキュリティアプローチを実現するフレームワークとして機能します。
習得度チェック
では、これまでに学んだ内容を復習しておきましょう。この習得度チェックは簡単な自己診断テストで、採点対象ではありません。左側の説明を右側の対応するカテゴリにドラッグしてください。全項目を結び付けたら、[送信] をクリックして習得度をチェックします。もう一度挑戦する場合は、[再開] をクリックしてください。
おつかれさまでした。これで、サイバーセキュリティアーキテクチャがどのようなもので、なぜ重要なのかについて理解を深めることができました。次の単元では、組織がビジネスのセキュリティロードマップを作成するうえでサイバーセキュリティアーキテクトが果たす責務について学習し、サイバーセキュリティアーキテクトとして成功するために役立つスキルを確認します。