全4154文字
セキュリティー対策は、世界が過去3年間四苦八苦してきた感染症対策と似ている。ウイルスの完全な封じ込めは不可能であるため、ある程度の感染を前提に対策を用意する必要はあるが、感染そのものを減らすために「検査」「隔離」「予防」に力を注ぐことも重要だ。
今日の高度化したサイバー攻撃に備えるためには、「サイバー攻撃は完全に防げない」との発想に基づいたセキュリティー対策が必要だ。その第一歩として本特集の第2回ではEDR(Endpoint Detection and Response、エンドポイントでの検知・対応)を取り上げた。
その次のステップとして今回は、米国の国立標準技術研究所(NIST)が策定したサイバーセキュリティーフレームワーク(CSF)における左側を充実させる「シフトレフト」の対策を取り上げる。NISTのCSFにおける5つの観点「識別」「防御」「検知」「対応」「復旧」のうち、「識別」「防御」にフォーカスする。
セキュリティー対策の「シフトレフト」
(日経クロステック作成)
[画像のクリックで拡大表示]
主なツールは3つある。セキュリティー脆弱性の修正状況などを「検査」してITの衛生状態を管理するサイバーハイジーン(衛生)、問題のあるデバイスやユーザーアカウントを見つけたら「隔離」して重要な業務アプリケーションやデータを利用できなくするのに使用するIDP(IDプラットフォーム)、マルウエアの感染を「予防」するNGAV(次世代ウイルス対策)だ。
ITの衛生を保つ「サイバーハイジーン」
サイバーハイジーンとは「セキュリティーを維持するために組織や従業員が行う基本的な施策や行動」(トレンドマイクロの平子正人シニアスレットスペシャリスト)だ。ハイジーン(衛生)という言葉のイメージ通り、パソコンからサーバー、アプリケーション、データにいたるすべてのIT資産を日ごろから監視・検査し、セキュリティー脆弱性を潰して安全に保つ。
具体的な確認項目としては、OSへのセキュリティー修正プログラム(セキュリティーパッチ)の適用状況、アプリケーションの脆弱性の有無、ファイルの変更履歴やユーザーのログイン情報などがある。守備対象が広範囲にわたるため、ツールを用いて一元的に管理したり、リスクを可視化したりするのが一般的だ。そもそもどこに脆弱性が存在するのか把握しない限り、打てる対策も打てない。
サイバーハイジーンの仕組み
(日経クロステック作成)
[画像のクリックで拡大表示]
主要なサイバーハイジーン用ツールとしては、米Tanium(タニウム)の「Tanium Cloud」や米Tenable(テナブル)の「Tenable One」、米Microsoft(マイクロソフト)の「Microsoft Intune」などがある。
タニウムによると、動的なサイバーハイジーンによってセキュリティーリスクの99.6%は抑止できるという。同社の楢原盛史Chief IT Architectは「端末数が数万台単位になると対処もそれだけ大変になる」と指摘する。
サイバーハイジーンのツールはエージェントをインストールしたデバイスの衛生状態を検査し、未適用のパッチを強制適用するだけではない。企業内ネットワークを隅から隅まで探索して、エージェントが未導入で管理されていないデバイスを見つけ出す機能も備える。本特集の第1回で取り上げたNTTコミュニケーションズのサイバー攻撃被害のケースでは、撤去予定だったサーバーが攻撃の入り口となった。管理されていないデバイスを見つけ出すのは重要だ。
サイバーハイジーンはアメリカで先行して普及し始めている。米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は米国の連邦政府機関に対し既知の脆弱性に対するリポートを提出することを義務付けているためだ。ほかにも米証券取引委員会(SEC)はインシデント発生時においては民間企業にも情報開示することを義務づけている。
テナブルの貴島直也カントリーマネージャーは2022年12月に開催された記者説明会で、今後「サイバーエクスポージャー管理へのシフトが進む」と予測した。サイバーエクスポージャー(露出)とは米Gartner(ガートナー)が提唱した概念で、IT資産の情報をデータレイクに蓄積して、データを分析した上で対応すべき問題に優先順位をつけるアプローチだ。すべてのIT資産を防御対象にするという考え方はサイバーハイジーンと通底する。
ユーザーアカウントの衛生管理も必要
衛生状態を保つべき対象は、ソフトウエアの脆弱性だけではない。セキュリティー設定が不十分なユーザーアカウントも、システムにとっての脆弱性になりうる。実際にランサムウエア攻撃などでは、正規のユーザーアカウントが乗っ取られて社内システムに侵入されるケースも多い。EDRベンダーである米CrowdStrike(クラウドストライク)の鈴木滋セールスエンジニアリング部部長は「サイバーインシデントの8割は認証情報を窃取されたことに起因する」と指摘する。サイバーハイジーンを考える上では、適切なID管理も重要だ。
からの記事と詳細 ( セキュリティーも「検査」「隔離」「予防」が重要、3つのツールで ... - ITpro )
https://ift.tt/awCXz84
No comments:
Post a Comment