Web3.0の世界とSec3.0(Security3.0)の世界に向けて

多くのメディアや紙面上において、Web3.0に関連する記事を見る機会が増えました。Web3.0が存在するということは、Web1.0〜2.0の時代があり、そして同様にSecurityも1.0〜2.0、そして今回テーマでもありますSec3.0(Security3.0)の時代に突入しようとしております。以前の記事で、多くの組織がDXの取り組みを本格化する中で、Securityもトランスフォーメンションが求められるというSXについて解説させていただきましたが、今回はSXを実現する上で要ともなりますSec3.0について解説して参ります。

まずWeb1.0〜3.0の世界についてですが、Web1.0の世界は静的なWebコンテンツを閲覧するといった一方向型で、IEやネットスケープといったブラウザを活用し、利用デバイスはPCが主体の世界でした。要約しますとサーバ主体の一方向型コミュニケーションとも言えるでしょう。Web2.0はFacebookやYouTube ,TikTok等に代表されるクラウド主体の双方型コミュニケーションとなり、利用デバイスはスマートフォンが主体となりました。そしてWeb3.0はVRやXR、あるいはMRといったブロックチェーンやメタバースによるAIを活用した分散型コミュニケーションに変わろうとしております。

さてSecurityはどのように変化してきているのでしょうか？変化の評価軸として、セキュリティ概念と犯罪者(組織)に狙われる脆弱性の変化で整理してみますと、Sec1.0は境界型防御で狙われる脆弱性は主に、OSの脆弱性であり、Sec2.0では境界型からゼロトラスト型に変遷し、狙われる脆弱性はOSにとどまらず、多くのアプリケーションの脆弱性も狙われました。そしてSec3.0はゼロトラスト型が主流となり、狙われる脆弱性はOS、アプリケーション、そしてオープンソース(OSS)が積極的に狙われ始めています。

実はSec1.0〜Sec3.0への変遷を分析しますと、Web1.0〜3.0のように目に見て分かりやすい変化ではなく、Sec1.0〜Sec3.0が重なり合って変化しているということです。何を言っているかと申しますと、例えば犯罪者(組織)に狙われる脆弱性の一つとして、OSの脆弱性は過去も現在も、そして未来も狙われ続け、同時に脆弱性の対象がアプリケーションやオープンソースといった、時代と共に拡大し続けている点です。

もちろん、我々はこの変化に追従すべく、防御方法も境界型からゼロトラスト型へ強化してきている訳ですが、実はここに気づいているようで気づいていない、重要なポイントがあります。一例を挙げますと、米国の大手サービス業の組織において、DX戦略の一環として、全てのネットワークアクセス方法をゼロトラスト型にシフトする、という壮大なプロジェクトが実施されましたが、結果として現状業務やガバナンス範囲のグループ間の業務連携を踏まえると、100％のゼロトラスト化に向け、現在はオンプレミス型が60％、ゼロトラスト型が40％程度といったハイブリットな環境となってます。いわゆるレガシーITはITの最先端を走っているような組織であっても必ず残り続け、同社のCEOのITチームに対するメッセージは、戦略を共存型にシフトした、という状況です。これは今後の日本の先進的な組織でも必ず起こりうる事象ではないかと私も感じています。

Sec3.0におけるセキュリティコントロールの勘所としては、守るべきデバイスが多様化する、守るべき情報資産はデバイス内やクラウド上へ分散する、そして組織のガバナンス責任範囲は年を追うごとに本社からグループ、そしてサプライチェーン(ソフトウェアサプライチェーン)に拡大し続けるという、“多様化、分散、拡大”が一層進んでいくという点です。そしてWeb3.0の世界では、ネットワークインフラが5Gから6Gへ変化し、より高速なネットワーク環境に変遷していきますが、これは同時に組織のITオペレーションにリアルタイム性が必ず要求されてくる、という点です。

よく弊社がイベント等でお伝えする、全てのITオペレーション業務(セキュリティオペレーション業務も含む)は “網羅性” ＋ “リアルタイム性”を確保し本社が常に “定量的な統制” が可能である必要性がある、という点はこう言った環境の変化を見据えたメッセージでもあります。よくリアルタイム性の必然性がよくわからない、というご質問を頂きますが、Web3.0の世界を見据えつつ、3年、5年先を見据えたITインフラ構築の戦略が極めて重要になっていくでしょう。

---

ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。