業界別Q&A:通信サービスプロバイダ(CSP)とMSSPのサイバーセキュリティの現状に対する最大の懸念事項

今日の通信事業者にとっては、企業および一般消費者向けに新たな(そして収益の大きい)ネットワークサービスを提供する機会が次々に生まれているように思われます。モノのインターネット(IoT)の拡大だけを見ても、非常に多くのビジネスチャンスを秘めています。しかし、巧妙なセキュリティ脅威も増加しており、通信事業者はリスクに直面することにもなります。そこで、フォーティネットのRichard Orgiasが業界の現状について見解を述べます。

1) 通信事業者やサービスプロバイダが現在直面している最大のセキュリティ脅威は何ですか。

通信サービスプロバイダが今直面している最大のセキュリティ脅威は、その企業にとって最大の課題に直結するものです。CSPの重要な課題として、新規サービスをサポートできるネットワークへの転換、従来とは異なる競合他社との競争、環境がオープン化する中でのセキュリティの確保、幅広い業界から寄せられるセキュリティサービスに対するニーズへの対応などが挙げられます。

いずれもセキュリティへの影響を伴う課題です。ネットワークを変革するには、新たなアーキテクチャでアプリケーションが効果を発揮できるようにセキュリティを適応させる必要があります。従来とは異なる競合他社とオープンな環境に対応するCSPは、新しい種類のトラフィック、パートナー、コンテンツへの対応を迫られます。かつては隔離されていた環境がネットワークでつながるようになりました。そのため、これまでセキュリティが導入されることの少なかった脅威の緩和やユーザ情報/データの完全性の保護の領域において、セキュリティの適用を重視することが求められています。最後になりますが、CSPが占有しているマネージドセキュリティサービスという分野に対するニーズが増大しているため、最も効果的なセキュリティを提供すること、そして利用可能なツールの中で最も効果的な管理ツールを利用して、市場でのリーダーシップと利益性を維持することが必要です。

2) 通信事業者とサービスプロバイダが現在直面しているビジネスとITの課題は何ですか(課題を知ることは、セキュリティニーズと意思決定を理解するうえで役立ちます)。その中で最も重要な課題は何ですか。

多くのCSPが、運用効率を向上させ、柔軟性を高め、新規サービスに対する顧客ニーズを満たすために自社のネットワークを変革することに重点を置いています。そうしたCSPは、デジタル通信、デジタル接続、デジタルコンテンツの提供を中心に据えた新たなビジネスモデルが必要だと考えています。このような変革によって、クラウドベースのネットワークへの移行が促進され、従来型のITネットワークとサービスネットワークの両機能に対応できるようになりました。また、移行が進んだことで、機能の仮想化および「プログラム可能」なソフトウェアとアプリケーションをベースにしたネットワークの確立に拍車がかかっています。可用性を維持することの重要性ならびに新たなアプリケーションやデータの保護を考えれば、こうしたネットワークを設計するうえで基軸となるのがセキュリティです。

3) 通信事業者およびサービスプロバイダにとって、機密データや自社の顧客を保護するために欠かせないものとは何ですか。

従来からの企業が抱えるセキュリティ上の懸案事項はすべて、CSPにも当てはまります。二者の最大の違いは、セキュリティ対策が適用される範囲の大きさです。CSPは大量の顧客データにアクセスしたり、アプリケーションに対して広範囲にネットワークをサポートしたりします。効果的なセキュリティ体制を維持することを重視するCSPは、高度な認証、監視、脅威インテリジェンス、およびDoSなどのセキュリティ機能をサポートしている必要があります。CSPのネットワークの運用は複雑であるため、効果的な管理を可能にするツール、マルチユーザ環境のサポート、そして効果的なネットワークセキュリティ設計も極めて重要です。

4) 通信事業者とサービスプロバイダが提供するプロアクティブセキュリティに関しては改善の余地があることが、調査で明らかになっています。その障害となっているのは何ですか。

CSPネットワークに効果的なセキュリティを適用する妨げとなっている2つの原因は、拡張性と管理機能です。CSPのネットワークは大規模で分散型であり、膨大な数のユーザがサービス対象になっています。こうした潜在的問題を解決するのは、パフォーマンスと運用のしやすさです。CSPネットワークの特殊なプロトコルに対応可能なスループット、レイテンシ、および機能を有する高性能なセキュリティソリューションであれば、拡張性の要件を満たすことができます。運用の問題については、複数の物理/仮想フォームファクタと共通の管理ツールを使用することで提供されるセキュリティ機能によって対処が可能です。

5) サービスプロバイダは自社のビジネスだけでなく、顧客に提供しているサービスも保護する必要があります。その結果、セキュリティに関してどのような特殊な課題が発生しますか。

CSPが自社の境界内に提供しているセキュリティとサービスデリバリネットワークに適用しているセキュリティの間にはこれまで境界線が存在していましたが、多くのCSPではこの境界線がすでに曖昧になりつつあります。CSPは総力を挙げてデータセンターをクラウドに移行し、ネットワークの仮想化とSDNの導入を推進していますが、今後は企業の顧客にキャリア(通信事業者)クラスのセキュリティを提供することが求められます。通信事業者が今後直面するであろうセキュリティ上最大の課題は、トラフィックの量と複雑さが増し続ける中で、効果的なセキュリティを維持するために高いパフォーマンスを提供することです。

6) 通信事業者はさまざまな世界的規制や業界の規制に準拠しなければなりませんが、その結果、セキュリティに関してどのような特殊な課題が発生しますか。

CSPにとって業界の規制が大きな問題となるのは、規制の対象となる業界(金融サービス、医療、小売など)の顧客にマネージドセキュリティサービスを提供するときです。このような場合、CSPは自社のセキュリティサービスが顧客ニーズに準拠していることを保証する責任を負います。そのためには、サービスとネットワークの設計証明書が必要になる場合があります。この証明書を取得するには、セキュリティ製品を十分検討した上で選択し、さらに設計に関するベストプラクティスを実践する必要があります。顧客のニーズは具体的であっても、多くのCSPが開発するサービスデリバリネットワークでは競合他社が対抗できないようなメリットが顧客に提供されます。

7) 5年後、通信事業者とサービスプロバイダはどのようなセキュリティ脅威に直面すると思いますか。

通信事業者が、IoTの実現に必要な接続性を提供できるネットワークを構築することを重視しているのは明らかです。業界アプリケーションのホームセキュリティモニタリングとM2Mコミュニケーションをサポートするための取り組みはすでに存在します。現在、自律走行車やスマートホームのサポートは計画段階にあります。その実現にはセキュリティが不可欠です。セキュリティの種類と同じく重要になるのが、セキュリティの設計方法と配備方法、そしてセキュリティが提供される環境の種類です。こうした分野にはイノベーションの余地が大いにあります。