DEXの導入: 1 歩ずつ進める
従業員のデジタル体験(DEX)は、組織にとって注目のテーマとなっています。 従業員の 65% が「優れたテクノロジーを自由に使えるようになれば、生産性が向上するだろう」と答えていることを考えると、納得できることです。
しかし、投資をするためには、短期的、長期的にどのような効果があるのかを提示する必要があります。 そこで、セキュリティ製品管理担当副社長の Chris Goettl(以下、クリス) とシニア製品マネージャーの Robin Rowe(以下、ロビン) が共同で、組織における DEX の計画と測定のための段階的なガイドを定義しました。
ユーザー体験とセキュリティを両立することの重要性
Pat Ziembicka (パット・ジームビッカ:以下、パット): 従業員のデジタル体験は、ここ数ヵ月の間にかなり話題になっており、その重要性はますます高まっています。 ほとんど場合、それは大きな取り組みであり、本当に多くのリソースを確保する必要があると考えられています。 しかし、そのような必要はありません。 まさにこのスレッドのように、日常業務に取り入れることで、日々の IT 運用やセキュリティへの取り組みを改善できるようになります。
これらのステップを説明する前に、実際にどのように段階的にアプローチしていくことができるのかについて、全体の対立を見ておきましょう。 昨年半ばに向けて DEX レポートで明らかにされた点の 1 つは、過去 12 ヵ月間で 50% 近くの経営陣がセキュリティ対策の回避を実際に要求しているということです。 クリス、この点についてどのようにお考えですか。
クリス: 多くの場合、この 2 つのことは相反します。 セキュリティ対策が導入されている場合は、通常、その環境で発生していることを制限または制御することが目的であり、それには正当な理由があることを考えましょう。 つまり、これらは、脅威アクターが環境を攻撃するために使う方法です。
だから、クリスがアクセスすべきものだけにアクセスできることを保証する対策を講じたいのです。 ロビンがアクセスを許可されているものを、「職務の分離」「分けておきたい情報があるから」という理由で、彼がアクセスしてはいけないのです。 ファイルへのアクセスや管理者権限での実行など、高度な制御が必要になるかもしれません。 それらはすべて、環境の安全を低下させるため、制限されるべきです。
パスワードが良い例です。考えてみてください。 全員がパスワードを持っています。 そして、パスワードを全部覚えずに済むように、非常に簡単で繰り返せるパスワードにしたがります。 あなたが私のようであれば、家族にもパスワードポリシーを適用するでしょう。 私の子供と妻は、私が実際にすべてのものに異なるパスワードを設定し、実際にそれらのすべてを管理しなければならないという事実を嫌っています。 多くの場合、セキュリティ対策を厳しくすると、ユーザー体験が困難になります。
強力なパスワードポリシーを導入した場合は、パスワードの再利用ができないようにします。パスワードを長くする必要があります。また、特殊文字、大文字、小文字を使用する必要があります。パスワードを長くし、パスワードを再利用できなくし、90 日ごとにパスワードを変更させる必要があります。 これでは、ユーザーはストレスに感じるでしょう。 だから、これを回避する方法を見つけようとしているのです。 ユーザー体験と、その体験を確実に確保する方法のバランスは、常にトレードオフの関係にあります。
ここで最も興味深いことの 1 つは、誰もがそうであるように、セキュリティ担当者が、従業員のデジタル体験である DEX に言及することです。これもまさに説明したい問題です。
セキュリティにこだわればこだわるほど、デジタル体験に影響を与える可能性があります。 そして、今日お話したい DEX の中でも特に興味深いのが、どのように DEX でそれを可視化し、セキュリティ体験とデジタル体験全体をまとめて改善できるのかということです。
ロビン: セキュリティと運用は、その点では水平に対立しています。 その摩擦は、生産性向上のための柔軟な使い方が、厳しいセキュリティポリシーに影響されるかもしれない、あるいはセキュリティを高めるために柔軟性が犠牲になるかもしれない、という場合に発生する可能性があります。そして、生産性の問題に不満を持つ経営者が、これらのポリシーを上書きしたり回避したりすることで、危険にさらされることになります。 しかし同時に、セキュリティと運用は、異なるレベルでデジタル体験と本質的に結びついています。
そして、本当に、その最初の要素はインサイトです。 DEXは本当にデータから始まりますが、そのデータは 2 種類に分類されます。 1つ目のカテゴリーは、ユーザーに影響を与える項目、ユーザーが注意する項目です。 これらは、長いログイン時間、アプリケーションのクラッシュ、ブルースクリーンなど、ユーザーが症状を知覚し、実際に影響を及ぼしている問題です。
そして、セキュリティとの関係を考えると、これらの症状は最近のセキュリティの変更によって引き起こされた可能性があります。新しいパッチがあるかもしれない、ポリシー変更があったかもしれない、新しいセキュリティソフトウェアによるドライバーの衝突が発生しているのかもしれないのです。 DEX ツールは、新たに発生した症状を特定するのに役立つだけでなく、問題の規模や、どれだけのユーザーが影響を受けているかを示すことができ、サポートやセキュリティチームがこれらの症状と変化を関連付けるのに役立ちます。
DEX にはユーザーへ調査機能もあり、技術的な問題を把握するのにとても有効です。 つまり、これらは自動的に検出されなかったり、ユーザーがチケットを作成しなかったりする可能性がある項目です。しかし、これによってセキュリティチームと運用チームは早期に問題を可視化できるようになり、最近の大きな変更、大きな更新の展開、セキュリティ・シフト・ライト戦略の一部などについて、ユーザーを対象に調査できるようになる可能性があります。
最近、ある CISO と話をしたのですが、彼は実際に DEX の可能性に非常に期待しています。 多くの場合、セキュリティはデフォルトで非難を浴びることがあります。問題が発生した場合、それはセキュリティポリシーに違いありません。 つまり、彼や彼のチームがポリシーの影響を測定するための方法というだけでなく、誤検知を回避し、彼のチームなだめるための方法でもあります。
2 つ目のデータのカテゴリーは、まさにデバイスの全体的な正常性に関係します。 セキュリティの観点からは、サイバーハイジーン、インストールされていないパッチ、EDR、実行されていないマルウェアソフトウェア、インストールされていないエージェントなど、さまざまなものが考えられます。
そして、ユーザーが直接そのような問題を心配することはありません。 このような問題は直接ユーザーに影響しないからです。 しかし、DEX の視点からは、このような問題はすべて特定し、修正したい問題です。なぜなら、ユーザーがこの問題に関連する何らかのセキュリティの問題を経験している場合は、その問題自体からか、必要な修正の結果としてか、ユーザー体験で大きな問題が発生し、再イメージやデバイスの交換が必要になる可能性があります。
クリス: CISO とデジタル体験について話していることは、本当に良いことだと思います。 このように考えると良いと思います。CISO が新しいポリシーを打ち出したいとき、DEX を使ってそのポリシーがどの程度の影響を与えるかを判断できるようになるのです。 おそらく作成されたチケットの量でわかるかもしれません。 ですから、この新しい技術を展開する際には、このために使っているパイロットグループを注意深く観察し、この変更がそのグループにどのような影響を与えるかを全体的に確認することができます。
もしこれがうまくいけば、セキュリティグループは新しい技術や変更、ポリシーを展開することができ、その体験の可視性を高めることができます。最終的には、シャドー ITと呼ばれる、ユーザーへの影響が大きすぎるようになり始めてから、ユーザーがそれを回避する方法を見つけようとするという、多くの組織が抱える別の課題を回避できるようになります。
だから、パット、49% の経営陣が意図的にセキュリティ対策を回避しているという統計は、その直接的な結果ですね。 そこで成熟した DEX の経験が活きるのであれば、それは避けられたかもしれません。それを見て、ユーザー体験を理解した上で、改善することができたのでしょうが。
パスワードの話に戻りますが、パスワード体験を改善しようとする素晴らしいテクノロジーは、パスワードを完全に排除することです。これはデジタル体験の弱点です。 誰だって、30個のパスワードを記憶したくはありません。 誰だって、定期的にパスワードを変更したくありません。
ですから、パスワードをなくして、バイオメトリクスや証明書、トークンとしての電話など、他の強力な認証方法を使うことができれば、それらが認証メカニズムになり得るのです。 それは私にとって簡単です。 QR コードを読み取る、プッシュ通知を受信する、もうパスワードを覚える必要がないのです。
私たちは素晴らしいデジタル体験を創造し、同時にセキュリティを向上させます。 私は、私たちの進む方向と、出てくる会話の種類が好きです。
従業員のデジタル体験(DEX)の利点
パット: クリス、ロビンは DEX の構成要素としてパッチを挙げました。 IT セキュリティチームにとっての日々の利点について、視聴者の皆さんにもう少し詳しく教えてください。
クリス: これは、みなさんが日頃から抱えていることだと考えてください。 リスクを特定し、更新が必要な項目の優先度を設定し、その変更を環境にプッシュすることが継続的に必要です。 つまり、これは脆弱性やリスク管理、そのリスクの修復や変更管理などと重なっています。
環境全体のパッチ管理ほど大きな変化をもたらすものはほとんどありません。 多くの組織で聞くことの 1 つは、パッチのサイクルが再び巡ってくると、そのメンテナンスが行われている次の数週間、常に非難の的になってしまうということです。
今申し上げたように、私はこの業界に身を置き、実際にお客様と一緒に現場に出て、私たちのテクノロジーを展開してきました。 平日の昼間に、一部の対象ユーザーにパッチを適用して、実際にフロアを歩きながら、ユーザーと話をして、その反応を探るというケースはよくあることです。
ある人に声をかけて、体験はどうですかと尋ねると、「そうそう、あなたたちは何かを押したのでしょう。だって、今、全部壊れているんだから」とでも言いたそうな答えが返ってきます。 そして、あなたはそのすべてに展開されたグループにはいなかったということです。 そして、次の人に話を聞くと、「ああ、この人がパッチをインストールした人だ」と。 彼らと話をしてみましょう。
彼らは、「そうですね。すべて順調に進んでいますよ。うまくいっていますね。 完璧ですよ」と答えます。「あなたはコンピューターにパッチがインストールされたことに気付きましたか」と尋ねると、「まさか。そんなことはないでしょう。 何もわからかなったよ」という感じです。ご存知のとおり、パッチは、環境内で問題を引き起こす弱点ではありません。 しかし、その責任者はいつも、その問題のすべての責任を負わされます。
面白いのは、Ivanti Neurons DEX をいち早く導入したあるお客様のことです。 このお客様は、組織内でパッチサイクルがどの程度進んでいるかを測定する方法として DEX を活用しています。 パッチをプッシュ配信するときには、すべてのセットアップが完了し、その環境の 1% のサンプリングのような最初に始めるパイロットグループを立ち上げました。 そして、アーリーアダプターのグループは、環境の 9% を占めています。 そして、本番に移行し、数週間の間に他のグループにも導入されます。最初の 48 時間以内に、最初の 1% にパッチが適用されます。 そして、そのグループを非常に細かく監視しています。
DEX を使うことで、サービスデスクの情報を取り込むことができるため、より深いレベルでの可視化が可能になったのです。 その中にチケットを登録しているユーザーがいるかどうかがわかります。 その中に、更新したことに関連するチケットはありましたか。 エージェントやエージェントレスエージェントツリーから、システムの安定性に関する情報が返されるのを確認できます。 それを見て、クラッシュは起きていないのでしょうか。 他にも何か発生しているのでしょうか。
セキュリティの取り組みに対する DEX スコアリングの重要性
パット: このスコアリングはどの程度有効なのでしょうか。 付け加えると、セキュリティデータは DEX スコアに影響するのでしょうか。
クリス: そうですね。セキュリティデータは DEX スコアに絶対的に影響します。 さまざまな異なる情報の断片を引っ張ってくることができます。 パッチの例をもう少し詳しく説明すると、ベンダーのリリース、ベンダーの重要度、その脆弱性の CVSS スコアなどの情報だけでなく、その脆弱性がどのようなものであったかという情報もあります。 また、リスクベースの脆弱性管理プラットフォームを通じて、露呈した脆弱性がもたらす現実のリスクに関するデータを入手しています。 環境に、それに対する既知のエクスプロイトが存在する脆弱性があるかどうかを知ることができます。
ここに興味深い事実があります。ランサムウェアの脅威アクターが使用する脆弱性の 73% 以上は、ベンダーによってクリティカルな脆弱性だと評価されていません。 つまり、これらの脆弱性は、従来の方法で優先順位をつけるとすれば、ベンダーの重要度や CVSS スコアで優先順位をつけることになり、現実世界の側面を非常に効果的に考慮することができないのです。
2021 年を見ると、マイクロソフトは 23 件のゼロデイ脆弱性を解決していますが、そのうち 15 件は、マイクロソフトはそれらが活発に悪用されていることを十分に知っていたにもかかわらず、スコアリングアルゴリズムの仕組み上、重要な脆弱性だとしか評価されていません。 ほとんどの組織は、間違った脆弱性に注意を払っていました。
このようなケースでより強固なリスクスコアを提供することで、クリティカルな脆弱性が露呈している可能性のあるデバイスがあることを具体的に示すことができます。さらに重要なのは、その脆弱性に対する悪用が知られていてランサムウェア脅威アクターの間でトレンドとなっている 3 つの重要な脆弱性があることです。 そのため、より強固なスコアリングアルゴリズムを提供し、可視化する必要があります。自分の環境のデバイスを見ていると、その DEX スコアに非常に充実したセキュリティ面を提供することができます。
今、私はそのデバイスに対する現実的なリスクを可視化し、測定することができるようになったのです。 そして、実際にそれを活用しているお客様もいます。 環境に対する実際のリスクを活用し、積極的に悪用されている数百の脆弱性に SLA を集中させるだけでなく、すべての脆弱性に対応することは不可能な数千の脆弱性にも対応できるようにするだけでなく、更新をプッシュアウトすることで運用上の利点も得ることができます。
すでに、そのお客様の話をしましたが、彼らの第一の目標は、運用上の影響ではなく、リスクの軽減でした。 チケットが作成され、例外が発生していて、運用に影響を及ぼすため、環境が長期的なリスクにさらされていることがわかりました。 DEX はそれを可視化して把握することを可能にしました。
パッチ適用時の運用上の影響が軽減されただけでなく、より効率的にパッチを適用し、運用上の影響が軽減されたことで、環境への全体的なリスクも軽減されました。
.
ローマは一日にして成らず。優れた従業員のデジタル体験にも同じことが言えます。だからこそ、段階的なアプローチで DEX に投資することが、短期的に IT およびセキュリティチームを支援し、将来の成功に向けて組織を整えるうえで最善の方法なのです。
すべてのインサイトにアクセスするには、従業員のデジタル体験(DEX)の計画と測定のための段階的なガイドのウェビナーをご覧ください。