出典: mediacolor’s via Alamy Stock Photo
サイバーセキュリティの2つの特定分野、バックアップとアイデンティティ・アクセス管理(IAM)が、サイバーセキュリティ業界の気候影響のほぼ半分(45%)を占めている。
めったに議論されないが、他のあらゆる技術と同様に、サイバーセキュリティ保護も地球に対する独自のコストを伴う。プログラムは電力で動作する。サーバーは水を必要とする。デバイスは天然資源から作られ、最終的には廃棄される。
WavestoneのサイバーセキュリティおよびデジタルトラストパートナーであるGérôme Billois氏は、企業環境でさまざまな持続可能性運動を目にしながら、なぜサイバーセキュリティが会話の一部になったことがないのか疑問に思ったと振り返る。
「CISOは、セキュリティルールの書き方によって、持続可能性に関して状況を改善したり悪化させたりすることができます」と彼は言う。「そのため、私たちは調査を開始しました。CISOが自社の持続可能性プロセスの一部となり、同時にリスクを増やすことなくCO2消費を削減する実行可能な方法を見つけられるようにするためです。」
来月サンフランシスコで開催されるRSAC Conferenceで、Billois氏は、サイバーセキュリティ対策の相対的な気候影響に関するWavestoneの調査結果を共有する予定だ。その結果の一部は驚きだった。
サイバーセキュリティ保護の気候影響
調査の実施にあたり、Billois氏は「最初のフェーズを理論的に行い、次に10以上の非常に大規模な企業や公的機関で現地調査を行いました。彼らのサイバーセキュリティシステムを評価して、最も気候消費が大きい場所を特定し、次にそれらを非常に具体的に削減する方法を見つけました」と語る。
実験に入る前、彼と同僚たちは気候影響のリストで上位にランクされる可能性があるものについていくつかの推測を持っていた。おそらく企業支給のデバイス、特に必要のない契約者に支給されたデバイスが大きな要因になるだろう。暗号化も仮説の1つだったが、「暗号学者と話した後、過去50年間の暗号学の主な推進力は、主にパフォーマンス上の理由から、暗号化システムを非常に効率的で、非常に高速で、非常に軽量にすることだったことがわかりました。そして、それには副次的なメリットがあり、最終的に暗号化はCO2排出量への影響が低くなりました。非常に軽量であれば、多くのCO2を生成しないからです」と振り返る。
実際、サイバーセキュリティ技術のカテゴリーの中で環境に最も有害なのは、かなりの差をつけてレジリエンス(回復力)である。これは、バックアップサーバーやコンピューター、およびデータの冗長性を確保するために取られたその他の対策を意味し、調査対象組織のサイバー気候影響の約29%を占めた。
次に近いカテゴリーはIAMで16%だった。「これは非常に驚きでした。なぜなら、これはシンプルなシステムだと思っていたからです。ユーザーのすべてのアイデンティティを持つシンプルなデータベースがあり、認証、パスワード、そのようなものがあります」とBillois氏は言う。実際には、主に2つの理由で思ったよりもはるかに大規模だったことが判明した。
第一に、「大規模組織内のIAMランドスケープを見ると、3つ、4つ、5つのアイデンティティシステムがあることが多いのです。なぜでしょうか?合併や買収、古いシステム、重複システムがあったためで、最終的には大混乱になっています」と彼は言う。
IAMがデータで目立った2番目の理由は、ハードウェアトークンのためだとBillois氏は言う。「それはCO2の膨大な消費を引き起こします。なぜなら、それらを製造し、プラスチック、電子機器、バッテリーを使用する必要があるからです。」
気候変動に平均以上に寄与する他のサイバーセキュリティ活動には、イベントログ、ペネトレーションテスト、脆弱性スキャン、パッチ管理、契約者ワークステーションが含まれる。興味深いことに、業界の大騒ぎやベンダーのマーケティングギミックにもかかわらず、超電力消費型の人工知能(AI)は調査に目立った影響を与えなかった。
「26年末、おそらく27年半ばに何が起こるかを見るのは非常に興味深いと思います」とBillois氏は言うが、「サイバーにおいてAIシステムをあまり見かけません。これまで展開されているのを見たのは、かなり影響が少なく、使用率の低いツールです」と指摘する。
カーボンフットプリントが少ないサイバーセキュリティカテゴリーには、アプリケーションセキュリティ、電子メールセキュリティ、セグメンテーション、マッピング、分散型サービス拒否(DDoS)対策ツールなどのネットワーク技術、暗号化を含む転送中および保存中のデータ保護などのデータ保護が含まれる。
サイバーセキュリティをよりグリーンにする方法
組織がサイバー準備態勢を犠牲にすることなく、少なくともわずかにカーボンフットプリントを削減できる方法はたくさんある。
たとえば、組織が明日にでも実施できる最も迅速なポリシー変更は、サードパーティの契約者に専用ワークステーションを自動的に提供しないことだ。CISOは契約者に自分のマシンを使用させることができるが、仮想デスクトップインフラストラクチャ(VDI)に移行することで依然としてセキュリティを確保できる。
一方、ログは削減の余地が多い領域である。
「私たちは多くのログを収集していますが、常に理由を正確に知っているわけではありません。保持期間はインフラストラクチャの点で、またCO2の点で膨大なコストです」とBillois氏は言う。「したがって、ある時点でログ収集とログ保持を見直すことができ、法的問題がなければ、ボリュームを削減するために圧縮することを検討できます。これは、かなり簡単にできることだと思います。
さらに良いことに、IAMシステムを統合することで、一部の組織は排出量、コスト、リスク、従業員の不満を同時に削減できることに気づくかもしれない。
とはいえ、残念ながら、最大のサイバー汚染源は、リスクを負うことなく削減するのが最も難しい。一部の企業は、まだ実施していない場合、十分に活用されていない物理インフラストラクチャを、電力消費の少ない仮想化バックアップに交換できる。しかし、サイバーレジリエンスをより効率的にする他の優れた方法はほとんどない。
「バックアップからのCO2は非常に簡単に削減できます。2台のサーバーの購入を停止するか、すべてのデータの複製を停止すればよいのです」とBillois氏は言う。「しかし、リスクに関しては、冗長性を排除することは良いアイデアではありません。したがって、この点については、できることはあまりありません。」
翻訳元: https://www.darkreading.com/application-security/cyber-industry-defenses-co2-emissions
