セキュリティの強制は行き詰まる:従業員を信頼する登録型アプローチが不可欠

Enforcement vs. Enrollment-based Security: How to Balance Security and Employee Trust

2023/01/03 TheHackerNews — セキュリティに対して強制を重視するアプローチは、セキュリティ・コントロールに裏打ちされたセキュリティ・ポリシーから始まる。多くのケースにおいて、危険な行動に走る従業員を引き止め、不注意による攻撃対象領域の拡大を抑制するよう、強引な設計が施されている。

ほとんどの組織では、強制ベースのセキュリティ管理のみを使用しており、通常は Cloud Access Security Broker (CASB) や Security Services Edge (SSE) をネットワーク・レベルで実行している。CASB は、オンプレミスとクラウドのアーキテクチャ間でデータを保護し、認証ルールを検証し、企業のセキュリティ・ポリシーに照らしてアクセス制御を行う。また、CASB を用いて SaaS アプリケーションをブロックする組織もあるが、SSE と同様に、CASB は一部のアプリケーションしかサポートしていない。


強制を重視するアプローチの課題

これらのツールによりサポートされないアプリは、認証用の SAML やユーザー管理用の SCIM といった、一般的なセキュリティ標準を満たしていないため、最もリスクが高くなる場合が多くなる。Cerby では、このようなアプリを「管理不能なアプリケーション」と呼び、同社の調査によると、SaaS アプリの 61% が管理不能であるとしている。その一方で、管理不能なアプリは人気があり、COVID 後の世界においては、それらを従業員がを購入/展開する割合が高みに達している。

COVID 以前は、主に IT 部門が、組織全体のアプリ購入とデプロイメントを担当していた。しかし、リモートワークへの移行に伴い、組織全体において、従業員たちは自らツールを選択するようになった。それと同時に、急速なデジタル化により、従業員が選択するツールの選択肢はますます広がり、管理しきれないほどアプリが急増している。

まず、一般的なユーザーは、セキュリティについて考えることはない。ほとんどの人々は、アプリが安全であると思いがちであり、その中にはセキュリティについて全く気に留めない人もいるかもしれない。ほとんどのユーザーは、ユーザー・フレンドリーな機能、デザインの美しさ、利便性に関心を持つ。このような要求の変化に対応するため、アプリ・ベンダーは製品ロードマップを変更している。そして、セキュリティは、もはや最優先事項ではなくなった。

従業員が知っていようといまいと、管理されていないアプリは、組織のセキュリティに悪影響を及ぼし、技術チームの仕事を増やしてしまいがちである。 管理できないアプリを監視し、2FA などの機能を手動で有効にさせ、強力なパスワードを強制する必要が生じる。

このような負担を軽減するために、多くの組織では、管理できないアプリに対してブロック/禁止を実施している。なぜなら、緊急かつ懸念される問題に対して、迅速かつ一貫した方法が、他には無いからである。しかし、長期的かつ包括的な解決策について考えるなら、端的に言って強制的なシステムは、持続可能でも現実的でもない。

Enforcement and Enrollment


従業員は仕事用のアプリを選択することが好きであり、92% の従業員と管理者はアプリの選択を完全にコントロールすることを望んでいる。このような行動の変化は、強制的なアプローチを用いる組織にとって、予期せぬ問題を引き起こす。

たとえば、禁止/ブロックされたアプリを使用している多くの従業員は、たとえ十分な能力がない場合でも、アクセスを手動で管理しようとする。 調査によると、従業員や管理職はアクセス管理を自ら構築しており、あらゆる場面で組織にリスクをもたらしている。

では、どのような解決策があるのだろうか。それは、より実用的で前向きな姿勢であり、従業員によるアプリの選択と、セキュリティ/コンプライアンスといった雇用者側の優先事項の、バランスをとることである。

登録というアプローチのメリット

登録制のサイバー・セキュリティ・アプローチは、より自由に従業員が、個人の自律性と選択を持てるようにするものである。それにより、企業全体のセキュリティとコンプライアンスの取り組みに、彼らが積極的に参加するようにしていく。強制力のあるシステムとは異なり、登録制のアプローチでは、従業員が業務で使用するアプリを選択できる。

Cerby が主張するのは、強制と登録のバランスを取り、セキュリティと自律性を平和的に共存させるものであり、また、これまでは手つかずだったニーズから誕生したソリューションの必要性である。このバランスをとることが、組織と従業員の双方にとって最良の答えとなる。従業員はアプリを選択できるようになるべきであり、雇用主側はセキュリティを心配する必要がなくなる。

アプリの選択には責任が伴うことを従業員が理解し、それを実現するための適切なツールが直ぐに利用できるならば、セキュリティが全員の関心事になる。自己登録とアプリ登録が可能になれば、アプリの選択に関するポリシーに反発していた従業員も、より簡単で強化されたセキュリティに進んで賛同し、コンプライアンス上のメリットも得られるようになるだろう。

このレポートでは、Cerby を用いることで、従業員によるアプリの自由な選択と、セキュリティを簡単な維持を実現する、方法について詳しく説明している。

たしかに、CIOVID-19 以降の世界では、境界防御の限界を超える状況になっているのだと思います。もし、仮に、RDP でクラウドの Windows デスクトップを使い、アプリのデプロイメントを一元管理していても、そこまで労力を使って保護した有業員たちが、フィッシングに引っかからないという保証はありません。それぞれの従業員を、自身の環境やアプリのセキュリティを管理できるレベルまで引き上げるのと、フィッシングに引っかからないレベルまで引き上げるのとでは、後者のほうが遥かに難しいはずです。その意味でも、強制オンリーのセキュリティ・ポリシーは、すでに破綻しているのかもしれません。よろしければ、以下の記事も、ご参照ください。

2021年8月:セキュリティを押しつけるな!ネットワークさんが怒ってます!
2022年3月:ゼロトラスト環境の実践:どのようにして人の信頼を構築していく?