SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press(AD)

IT運用とセキュリティ運用は統合できる――企業のセキュリティ対策体制の強化で注目される「サイバー・ハイジーン(衛生管理)」とは?

 2017年、ワーム型ランサムウェア「WannaCry」が猛威をふるった。世界各国で大きな被害が発生したのはまだ記憶に新しい。現在、WannaCryのような“ばらまき型”のランサムウェアだけでなく、特定の組織内の情報を狙う標的型攻撃でも深刻な被害が出ている。これまでは存在しなかった脅威が次々と現れており、企業には新たなセキュリティ対策の体制が求められる。そんな中、有効なアプローチとして重要視されているのが「サイバー・ハイジーン(衛生管理)」だ。企業経営の視点から現在の脅威動向と今重視すべきセキュリティ対策の論点、そしてサイバー・ハイジーンを実現する方法についてエンドポイントにおける脅威検索プラットフォームを提供するタニウム合同会社に話を聞いた。 

今企業が注目する「サイバー・ハイジーン」とは

 WannaCryだけでなく、最近表面化した攻撃には仮想通貨を狙う「不正マイニング」などもある。新たな攻撃のターゲットには、もちろん日本企業も含まれる。

 「日本企業もグローバルで活躍するようになり、あらためて攻撃者のターゲットとなっています。日本では問題が顕在化するまで即座に対応を行わない場合もあるため、十分に脆弱性対策がなされていないものがあると分かれば、益々狙われることになります」と語るのは、タニウム合同会社 代表執行役社長の古市力氏だ。

タニウム合同会社 代表執行役社長  古市 力氏

 WannaCryなどランサムウェアによる被害は、表面化していないものも含めれば国内でもかなり発生している。インターネットには接続していない、工場のライン制御装置にのみつながっているPCなどでは、Windows Updateなどを適用していないことも多い。そういった端末がインターネット以外の経路からランサムウェアに感染してしまう。結果、数日間にわたり工場ラインを止めざるを得ない状況に陥る。こうなれば情報システム部やCIOの責任範囲を超え、CEOなど経営トップの課題となる。

 経営視点でのセキュリティ対策が求められる中、タニウムにも多くの相談が寄せられているという。相談してくる企業の状況は、大きく3つに分けられる。1つが金融業界などCSIRTやSOCを設置し、既にセキュリティ対策の体制を整えている企業。新たな脅威にも対応すべく、さらなるセキュリティ対策体制の強化が目的となる。

 もう1つが、直近でセキュリティインシデントを経験した企業。新たなセキュリティ対策体制が急務な企業だ。3つめは、他社動向などを見て動き出す“右へならえ型”。新たなセキュリティ対策に取り組む話を聞きつけ、自社でも検討を開始する企業となる。

 これら3つの中でも、セキュリティ対策体制を既に整えている企業が注目しているのが、IT運用とセキュリティ運用の統合を実現する「サイバー・ハイジーン」と呼ばれる対策だ。これは日本語では「衛生管理」などと訳される。「衛生管理は風邪の予防で手洗い、うがいを徹底するのと同じように、ITでも日常の運用の中でしっかりと予防するものです」と古市氏は説明する。

 サイバー・ハイジーンでは、IT部門が把握できていない「野良端末や野良サーバー」も含め、全てのIT資産の脆弱性を可視化しタイムリーに対策を行う。そのためにPCなどで動いているOS、ソフトウェアの種類、バージョンを全て把握し、パッチ適用状況がどうなっているかなどをリアルタイムに把握する。対策がなされていないものがあれば隔離し、パッチを当てるなどの対策を実施する。

 サイバー・ハイジーンの考え方は、決して新しいものではない。NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が2014年2月に公開した「重要インフラにおけるサイバーセキュリティフレームワーク」(参考:独立行政法人 情報処理推進機構)を基にしており、「従来のアセットマネメントやパッチ管理にきちんと時間軸を加えたものと捉えればいいでしょう」と、タニウム合同会社 リード・セキュリティ・アーキテクトの楢原盛史氏は述べる。

タニウム合同会社 リード・セキュリティ・アーキテクト 楢原 盛史氏

 NISTのサイバーセキュリティフレームワークでは、構成要素として「特定」「防御」「検知」「対応」「復旧」の5つの機能を定義しており、起点となる特定から始まり終点となる復旧に至る攻撃のステップとして捉えられる。それぞれのステップに対し、適切な対処法が存在する。一般に特定、防御のステップは、ITオペレーションの範疇だ。ここがまさに、セキュリティ・ハイジーンの主な対象だ。

 検知から対応の初期段階はセキュリティオペレーションが担い、対応から復旧の部分は再びITオペレーションが担当する。企業は全ての機能を網羅しそれを迅速に回せる体制が必要だ。ところが現実は検知と対応に多くのリソースを投入し、新たな脅威が発生すればそれを検知できるようエンドポイントセキュリティを強化するような対応も多い。

 「たとえばセキュリティの強化で、AI機能を加えるとします。それを使ってウィルスの検知度を上げれば、未知の脅威を検知できるかもしれませんが誤検知も発生するリスクがあります。仮に誤検知をすれば、端末やサーバーは止めなければなりません。実はこれは、ウィルスに感染して端末を止めるのと同じです」(楢原氏)

 検知の部分だけを強化しても、それでセキュリティの体制全体が強化されるとは限らないのだ。

NISTのセキュリティフレームワークを迅速に回す「Tanium Endpoint Platform」

 サイバー・ハイジーンではIT資産やシステムへのパッチ適用の管理を徹底する。多くの企業は、それらは既に行っていると言うかもしれない。しかしながらその管理のタイミングは、どのようになっているだろうか。

 「以前は1ヶ月に1回のタイミングで良かったかもしれません。今は数分もあれば脅威が拡散し、重要な情報が盗まれます。ITシステムのヘルスチェックに半年もかかるようでは、今のサイバー領域の脅威からは守れません」(楢原氏)

 リアルタイムなIT資産の可視化がなければ、本当の意味での衛生管理はできないと楢原氏は指摘する。どこにどのような脆弱性がありどんな攻撃があったかが把握できなければ、適切な対処は不可能だ。そうなれば攻撃による影響範囲も特定できない。当然ながら復旧は遅れ、サイバー攻撃に対するビジネスの可用性は担保できなくなるのだ。

 このような課題のある中でタニウムは、サイバー・ハイジーンを中核にしてNISTのセキュリティフレームワークの機能を時間軸に沿って迅速に回せるプラットフォームを提供している。

図:NISTサイバーセキュリティフレームワークを踏まえたタニウムのポジショニング[画像クリックで拡大表示]

 「Tanium Endpoint Platformは、セキュリティとIT運用のアーキテクチャを合わせる形となっており、最初から数万規模のエンドポイントセキュリティの状況を把握できるリニアチェーンのアーキテクチャとなっています。これは特許技術で、市場に投入するまでに5年もの時間をかけました」(古市氏)

図:純度の極めて高い可視化を実現に向けたタニウムのアーキテクチャ[画像クリックで拡大表示]

 出来上がったTanium Endpoint Platformは、軍の高いセキュリティレベルが求められるような環境でも利用されている。他にも米国では売上高上位100社のうち半分が、中でも上位10社の銀行全て、小売業では10社のうち7社がTanium Endpoint Platformを採用している。

 Tanium Endpoint Platform では、短時間で企業のIT資産全てのセキュリティ対策状況をあぶり出せる。端末にエージェントを入れることで、簡単に全ての端末情報が得られる。操作はGoogleの検索窓に必要な情報のキーワードを入れるのと同様だ。端末の詳細な情報がすぐに得られ、パッチが当たっていないものがあれば隔離し、適宜パッチを当てるなどの管理作業が集中的に行える。またエージェントの入っていない「野良サーバー」を見つけ出すことも容易にできる。

「衛生管理」を徹底すれば被害は最小限に抑えられ、復旧も迅速化できる

 新たな脅威は、OSの既知の脆弱性を突くものが多い。そのため、日常的にパッチを当てるなどの対策を行っていれば、エンドポイントセキュリティの仕組みを強化せずともほとんどの脅威からIT資産を守れるとも言われている。これがまさに今、衛生管理を徹底すべき理由でもある。

 仮に何らかの攻撃を受けインシデントが発生した場合も、衛生管理を徹底していれば何を隔離し影響範囲がどこまであるかもすぐに把握できる。それが分かれば、エンドポイントセキュリティやインシデントレスポンス支援ツールなどを用い復旧を図れば良い。結果的に被害は最小限に抑えられ、復旧も迅速化する。

 衛生管理を徹底して、エンドポイントセキュリティなどのツールとも容易に連携できるTanium Endpoint Platform。IT運用管理者であれば、活用するために特別なスキルは必要ない。タニウムではWindows、Mac、Linuxなどのコマンドラインインターフェイスから、管理者権限で取得できる情報を集めている。端末側にエージェントは必要だが、エージェントが行うのはOSが本来持っているコマンドの操作であり、エージェント自体が何か重たい処理をしているわけではない。既にグローバルでのベストプラクティスが揃っており、どのような情報を収集し管理、運用すればいいかで悩む必要もない。

 またスキルがあれば、コマンド操作を加え独自にデータを収集することも簡単だ。また外部システムとの連携も容易で、情報の収集を自動化し、得られた情報をトリガーにして、隔離やパッチ適用処理の自動実行も実現できる。

 タニウムを活用して効果を出しやすいのは、5,000エンドポイント以上を運用している比較的大規模な組織だ。もちろん、それより小規模であってもセキュリティフレームワークをより迅速に回し、セキュリティ脅威に対しビジネスの可用性を担保したい企業には最適なものとなる。一式のタニウム・サーバを導入することで、数千、数万規模のエンドポイントの管理がすぐに開始できる。またマネージド型のサービスも間もなくリリース予定であり、中小規模の組織でもすぐに衛生管理を始められる。

 衛生管理を徹底し、堅牢なセキュリティ対策体制を築きたい。それによりビジネスの可用性を担保したい企業は、Tanium Endpoint Platformの採用をすぐに検討すべきだろう。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/11034 2018/08/21 10:28

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング