データ侵害の被害に遭う可能性が最も高い機関は何でしょうか?サイバー犯罪者が徘徊する昨今、標的として思い浮かぶのは、銀行、小売チェーン、病院ネットワークといった、大規模で豊富なデータを持つ機関です。では、地元の警察本部はどうでしょうか?
米国には約18,000の地方、州、連邦の法執行機関があり、そのほとんどが、犯罪者が売却したり身代金目的で保持したりしようとする可能性のある機密性の高い個人データで溢れています。さらに、ほとんどの法執行機関のIT部門は十分な資金が確保されておらず、防御体制も不十分な場合があります。残念ながら、バンク・オブ・アメリカのような大手金融機関やユナイテッド・ヘルスケアのような医療保険会社のようなサイバー予算は確保されていません。
参照: 採用キット: クラウド エンジニア (TechRepublic Premium)
しかし、法執行官もまた、特異な脆弱性を抱えています。彼らは、建物の壁が厚く、職員が銃を携えて廊下を歩いているから、データは安全だと錯覚しているのです。実際には、職員が一人、間違ったウェブサイトにアクセスしたり、フィッシングメールをクリックしたりするだけで、サイバー犯罪者は最も機密性の高いデータにアクセスできてしまいます。そのデータには、数千件もの犯罪記録、社会保障番号、そして闇市場で価値のあるその他の識別情報が含まれている可能性があります。
法執行機関にとっての解決策の一つは、オンプレミスのシステムからクラウドネイティブのシステムに移行することです。これはどういう意味でしょうか?
オンプレミス システムとクラウドネイティブ システムとは何ですか?
物理サーバーをローカルで管理するオンプレミスでは、通常、サーバーを施錠された部屋に保管する必要があります。これはセキュリティ上の課題とコストを伴います。法執行機関は、オンプレミスサーバーを24時間365日体制で保護、保守、維持する必要があります。
対照的に、クラウドネイティブ技術は、設計、構築、運用がすべてクラウド内で行われます。これにより、ベンダーからのアップデート情報に基づき、各機関は最新のアップグレードやコンプライアンス要件を常に把握できます。テクノロジーはアップデートと導入が完了するため、最新のアップグレードを何年も待つ必要はありません。クラウドコンピューティングモデルを最大限に活用できます。このモデルでは、オンプレミスサーバーや自社管理サーバーの運用、アップデート、セキュリティ確保のためのスタッフは不要になります。
しかしながら、十分なリソースを持ち、現在の人員、プロセス、テクノロジースタックに自信のある機関は、オンプレミスソリューションを好むかもしれません。オンプレミスでは、機関が自社のネットワークと資産上でこのテクノロジーを運用することを決定するため、リスクに対する責任の所在が非常に明確になります。
クラウドネイティブシステムを使用する理由は何ですか?
クラウド ネイティブ システムには、オンプレミス ソリューションに比べて他にもいくつかの利点があります。
より優れたセキュリティ
地方の法執行機関でオンプレミスサーバーを管理するチームは、洪水から気温の変化、マルウェアからサービス拒否攻撃に至るまで、数え切れないほどの脅威、弱点、脆弱性について懸念を抱いているに違いありません。これらの脅威はすべてダウンタイムにつながる可能性があり、重要なインフラではダウンタイムは避けなければなりません。多くの機関にとって、これらの対策を適切に実施するための資金も人員も不足しており、これは大きな課題となっています。
さらに、機関のITシステムは、同じ市、郡、または州内の他の機関と連携している場合もあります。法執行機関は、自機関のITシステムは安全だと考えていても、ハッカーが他の接続機関を通じて侵入すると、システムへの不正アクセスに遭う可能性があります。
コスト削減と利便性
一見すると、オンプレミスやセルフマネージドシステムからクラウドネイティブシステムへの移行は、よりコストのかかる選択肢のように思えるかもしれません。しかし、オンプレミスやセルフマネージドシステムには、隠れたコストが数多く存在します。サーバーの設定や保守、脆弱性の修正、その他の基本的なセキュリティ対策といった機能は、クラウドネイティブシステムに移行されます。サーバーの保守・メンテナンスに専念していたスタッフは、より重要な業務に集中できるようになります。
オンプレミスシステムでは、アップデートやセキュリティパッチの適用といった作業には、システムを1時間ほど停止させる必要があるかもしれません。何か問題が発生した場合、さらに長い時間停止させる必要があるかもしれません。クラウドネイティブシステムでは、すべての作業がバックグラウンドで自動的に実行されます。
リスクと責任
法執行機関がクラウドネイティブシステムに移行する主なメリットの一つは、ITミッションに専念する企業に多くの責任が委譲されることです。クラウドネイティブプラットフォームは機関のITチームの延長となり、ITチームはベンダーに多大なリスクを移転することになります。
クラウドネイティブシステムは完璧なソリューションでしょうか?
クラウドネイティブシステムは完璧なソリューションではないと主張する批評家もいます。例えば、クラウドサービスプロバイダーが攻撃を受けた事例があります。これはすべてリスク管理の問題です。専用のクラウドネイティブプラットフォームを信頼するのと、警察本部のクローゼットに閉じ込められた物理サーバーを信頼するのとでは、どちらが良いでしょうか?
一部の法執行機関にとって、クラウドネイティブ技術への移行は容易な決断ではありません。警察署のリーダーの中には、データ移行の見通しに懸念を抱き、移行中にデータが失われたり破損したりするのではないかと懸念する者もいれば、既存の職員への影響を懸念する者もいます。また、レガシーシステムに投資した経験のある部署のリーダーは、過去の技術投資を踏まえて、新たな支出をどのように正当化すればよいのかと頭を悩ませるかもしれません。
こうした懸念は理解できるものの、一般的には根拠がありません。適切に行われれば、データ移行は非常に安全です。ほとんどの場合、技術職員は機関の使命を直接支える他の業務に再配置できます。クラウドネイティブシステムへの移行は、今後何年にもわたって人件費やその他のコストを節約することにつながります。
法執行機関がサイバーセキュリティに関して直面する最も重要な問題は、消費者が何世紀にもわたって直面してきた問題と似ています。お金をマットレスの下に隠しておいた方が、銀行に預けた方が夜ぐっすり眠れるでしょうか?ほとんどの人は銀行を選ぶでしょう。
ラリー・ゾリオは、クラウドネイティブの公共安全テクノロジー企業であるMark43の最高情報セキュリティ責任者(CIO)です。20年にわたり、上場企業と非上場企業の両方を率いてきたサイバーセキュリティとリスクマネジメントの経験を有しています。Mark43はニューヨークに本社を置き、120を超える地方、州、連邦の公共安全機関と連携しています。
