危機モードでは、セキュリティバイデザインの原則が不可欠です

「計画に失敗した場合、失敗することを計画しています。」 —現代のことわざ

短期的なCOVID-19の混乱に非常に焦点が当てられているため、テクノロジーの採用による長期的な影響についてはあまり議論されていません。

考えられるシナリオの1つは、パンデミックにより、産業機械から暖房換気および空調（HVAC）システム、サプライチェーンに至るまで、資産の自動化とリモート管理が長期的に増加することです。ヘルスケアでは、仮想ケアと遠隔医療が長期的に上昇する可能性があります。予算のプレッシャーにさらされている多くの組織が業務を停止している一方で、パンデミックは、より良い位置にある組織がプロセスを自動化するための道を開くでしょう。

3月初旬、世界保健機関がCOVID-19をパンデミックとして分類した後、企業はビジネスプロセスやその他の業務を再考し始めました。経営コンサルティング会社のGrayHeronのマネージングディレクターであるChrisKocherは、次のように述べています。電話会議のベンダーも急速に成長しています。 「遠隔医療向けのTeladocも大幅な成長を遂げています」とKocher氏は付け加えました。

[ IoTの世界 は、ストラテジスト、技術者、実装者がつながり、IoT、AI、5G、エッジを業界全体で行動に移す、北米最大のIoTイベントです。 今すぐチケットを予約してください。 ]

Shodanのデータによると、産業用制御システム（ICS）へのリモートアクセスも、過去数年間のドロップオフに続いて、最近増加しています。現在、米国だけでも50,000台近くのICSデバイスがインターネットに接続されています。 Windowsユーザーがワークステーションまたはサーバーをリモートで管理できるようにするリモートデスクトッププロトコルの使用も、セキュリティの脆弱性の結果としてプロトコルが2019年後半に支持されなくなった後、増加しています。

OneTechのCEOであるYasserKhanは、多くの産業組織がすでに「基本レベルのリモート監視を実施しています」と述べています。このような比較的単純な機能は、作業者がまだ機械を直接検査できる場合に十分でした。しかし、多くの施設が基幹要員に引き下げられたため、優先順位が変わりました。プラント管理者は、「リモートで、マシンの状態についてさらに洞察を得る方法を決定する」ことをますます求めています。

Appnomicの最高経営責任者であるNitinKumar氏によると、多くの組織が災害復旧計画も再考しています。 「自然災害やコンピュータウイルスが組織を襲い、そのシステムがダウンしたときに何が起こるかは、ある種の手動モードに切り替えることがよくあります」とKumar氏は述べています。 「ビジネスは継続しますが、速度は遅くなります。」しかし、COVID-19は通常の災害ではありません。 「現在、マニュアルとデマンドの容量が不足しており、システムの容量が詰まっているか、アクセスできません。したがって、より多くの人員ではなく、より多くのシステムまたは自動化が必要です。」自動化を拡張する余裕のある組織は、ディザスタリカバリ計画と事業継続計画を再考するときにそうする可能性があります。

もちろん、接続性と自動化の普及は目新しいことではありません。 2016年、セキュリティの第一人者であるBruce Schneierは、人間の介入がますます不要になることに気づきました。 「インターネットは今、感知し、考え、行動している」と彼は書いた。 「私たちは世界規模のロボットを構築していますが、それを実現することすらできません。」シュナイアーは、彼が「新しい世界にまたがるロボット」と呼んだものを検討することが重要であると結論付けました。

ソフトウェアの社会的役割は何十年にもわたって拡大していますが、自動化または半自動化されたIoT対応デバイスが普及している世界のセキュリティへの影響は深刻なものになる可能性があります。 LinuxFoundationの戦略プログラムのシニアディレクターであるKateStewartは、次のように述べています。 「何がうまくいかないのかを理解し、害を軽減し、ソフトウェアの信頼性を高める方法を見つけ出す必要があります。」

S 設計によるキュア

組織が危機対応モードにある場合、設計によるセキュリティなどの従来のサイバーセキュリティの概念が途方に暮れることがあります。ベライゾンのサイバーセキュリティ戦略のグローバル責任者であるジョン・ラブランドは、COVID-19は「設計によるセキュリティ保護の原則を順守することを困難にする」と述べています。 「誰もが非常に速く動いています。」危機の際に組織がリモートワーキングおよび自動化機能を拡張しようとすると、ミスを犯す可能性が高くなります。 「テクノロジーと新しいビジネスプロセスのどちらも、その背後にあるセキュリティを上回ることはできません。社内のセキュリティチームが、新しいテクノロジー、プロセス、または作業方法に関して行うすべての決定の一部であることを確認する必要があります。」

専門家は、テクノロジの展開を計画する際に、可能な限り早い段階でセキュリティを考慮することを推奨しています。インダストリアルインターネットコンソーシアムのソフトウェア信頼性タスクグループの共同議長であるボブマーティンは、次のように述べています。

ULのセキュリティおよびテクノロジー担当ディレクターであるAndrewJamiesonは、次のように述べています。正しい基盤の構築を怠った組織は、基盤を再構築するか、「少なくとも、以前ははるかに簡単に修正できたはずの問題を修正するために多大な時間と労力を費やす」リスクがあるとジェイミーソン氏は述べています。

それでも、組織が突然リモート作業、資産のリモート制御に移行し、自動化機能を拡張する可能性があるため、設計によるセキュリティの原則が優先リストの上位に入る可能性は低いです。 「安全なテクノロジーを安全に適用する時間がないため、安全なテクノロジーを使用している場合でも、これは確かに大きなセキュリティ問題です」と、独立したセキュリティコンサルタントのFrankHißen氏は述べています。

設計によるセキュリティの原則には、多くの場合、一連のハードウェアとテクノロジーが組み込まれています。それらを組み立てることは、パズルのようなものになる可能性があります。 OneTechのソリューションエンジニアリングディレクターであるChrisCattertonは、次のように述べています。 IoT展開のリモートアクセス機能の範囲を拡大すると、「クラウド経由かVPN経由でアクセスするオンプレミスシステムかを問わず、エンドポイントとシステムレベルでセキュリティを含める」必要性が高まります。

>

F セキュリティバランスの特定と再発見

製品やプロセスにセキュリティ機能を組み込むことは不可欠ですが、将来起こりうるすべての脅威を予測することは不可能です。 「プロジェクトの早い段階でセキュリティに関する設計上の決定を常に下し、それらを有効に保つことはできません」とJamieson氏は述べています。

多くの場合、ソフトウェアに新しい機能を追加することと、ソフトウェアを安全に使用して安全に保つこととの間には緊張関係があります。 「私たちの携帯電話にはランダムにクラッシュする機能がたくさんあり、その結果は迷惑ではありますが、生命を脅かすことはありません」とスチュワート氏は述べています。 「ソフトウェアが信頼できない場合、誰かを傷つける可能性があるアプリケーションでオープンソースが使用されることがますます見られています。」

最終的に、システムの保護は、回復力と敏捷性に帰着します。 「回復力のためだけに構築すると、新しいセキュリティの脆弱性が表面化したときに問題が発生します」とJamieson氏は述べています。 「したがって、今日の世界では、敏捷性も必要です。状況が変化したときに、システムをすばやく変更、パッチ適用、更新、またはその他の方法でリファクタリングする機能です。」

セキュリティの敏捷性は、設計によるセキュリティの原則にもつながります。 「最初からセキュリティを強化する必要があります。そのセキュリティアプローチには、回復力と敏捷性の側面を含める必要があります」とJamieson氏は述べています。 「セキュリティを考慮して設計しない場合は、失敗を考慮して設計していることになります。」