今企業が注目する「サイバー・ハイジーン」とは
WannaCryだけでなく、最近表面化した攻撃には仮想通貨を狙う「不正マイニング」などもある。新たな攻撃のターゲットには、もちろん日本企業も含まれる。
「日本企業もグローバルで活躍するようになり、あらためて攻撃者のターゲットとなっています。日本では問題が顕在化するまで即座に対応を行わない場合もあるため、十分に脆弱性対策がなされていないものがあると分かれば、益々狙われることになります」と語るのは、タニウム合同会社 代表執行役社長の古市力氏だ。
タニウム合同会社 代表執行役社長 古市 力氏
WannaCryなどランサムウェアによる被害は、表面化していないものも含めれば国内でもかなり発生している。インターネットには接続していない、工場のライン制御装置にのみつながっているPCなどでは、Windows Updateなどを適用していないことも多い。そういった端末がインターネット以外の経路からランサムウェアに感染してしまう。結果、数日間にわたり工場ラインを止めざるを得ない状況に陥る。こうなれば情報システム部やCIOの責任範囲を超え、CEOなど経営トップの課題となる。
経営視点でのセキュリティ対策が求められる中、タニウムにも多くの相談が寄せられているという。相談してくる企業の状況は、大きく3つに分けられる。1つが金融業界などCSIRTやSOCを設置し、既にセキュリティ対策の体制を整えている企業。新たな脅威にも対応すべく、さらなるセキュリティ対策体制の強化が目的となる。
もう1つが、直近でセキュリティインシデントを経験した企業。新たなセキュリティ対策体制が急務な企業だ。3つめは、他社動向などを見て動き出す“右へならえ型”。新たなセキュリティ対策に取り組む話を聞きつけ、自社でも検討を開始する企業となる。
これら3つの中でも、セキュリティ対策体制を既に整えている企業が注目しているのが、IT運用とセキュリティ運用の統合を実現する「サイバー・ハイジーン」と呼ばれる対策だ。これは日本語では「衛生管理」などと訳される。「衛生管理は風邪の予防で手洗い、うがいを徹底するのと同じように、ITでも日常の運用の中でしっかりと予防するものです」と古市氏は説明する。
サイバー・ハイジーンでは、IT部門が把握できていない「野良端末や野良サーバー」も含め、全てのIT資産の脆弱性を可視化しタイムリーに対策を行う。そのためにPCなどで動いているOS、ソフトウェアの種類、バージョンを全て把握し、パッチ適用状況がどうなっているかなどをリアルタイムに把握する。対策がなされていないものがあれば隔離し、パッチを当てるなどの対策を実施する。
サイバー・ハイジーンの考え方は、決して新しいものではない。NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が2014年2月に公開した「重要インフラにおけるサイバーセキュリティフレームワーク」(参考:独立行政法人 情報処理推進機構)を基にしており、「従来のアセットマネメントやパッチ管理にきちんと時間軸を加えたものと捉えればいいでしょう」と、タニウム合同会社 リード・セキュリティ・アーキテクトの楢原盛史氏は述べる。
タニウム合同会社 リード・セキュリティ・アーキテクト 楢原 盛史氏
NISTのサイバーセキュリティフレームワークでは、構成要素として「特定」「防御」「検知」「対応」「復旧」の5つの機能を定義しており、起点となる特定から始まり終点となる復旧に至る攻撃のステップとして捉えられる。それぞれのステップに対し、適切な対処法が存在する。一般に特定、防御のステップは、ITオペレーションの範疇だ。ここがまさに、セキュリティ・ハイジーンの主な対象だ。
検知から対応の初期段階はセキュリティオペレーションが担い、対応から復旧の部分は再びITオペレーションが担当する。企業は全ての機能を網羅しそれを迅速に回せる体制が必要だ。ところが現実は検知と対応に多くのリソースを投入し、新たな脅威が発生すればそれを検知できるようエンドポイントセキュリティを強化するような対応も多い。
「たとえばセキュリティの強化で、AI機能を加えるとします。それを使ってウィルスの検知度を上げれば、未知の脅威を検知できるかもしれませんが誤検知も発生するリスクがあります。仮に誤検知をすれば、端末やサーバーは止めなければなりません。実はこれは、ウィルスに感染して端末を止めるのと同じです」(楢原氏)
検知の部分だけを強化しても、それでセキュリティの体制全体が強化されるとは限らないのだ。
NISTのセキュリティフレームワークを迅速に回す「Tanium Endpoint Platform」
サイバー・ハイジーンではIT資産やシステムへのパッチ適用の管理を徹底する。多くの企業は、それらは既に行っていると言うかもしれない。しかしながらその管理のタイミングは、どのようになっているだろうか。
「以前は1ヶ月に1回のタイミングで良かったかもしれません。今は数分もあれば脅威が拡散し、重要な情報が盗まれます。ITシステムのヘルスチェックに半年もかかるようでは、今のサイバー領域の脅威からは守れません」(楢原氏)
リアルタイムなIT資産の可視化がなければ、本当の意味での衛生管理はできないと楢原氏は指摘する。どこにどのような脆弱性がありどんな攻撃があったかが把握できなければ、適切な対処は不可能だ。そうなれば攻撃による影響範囲も特定できない。当然ながら復旧は遅れ、サイバー攻撃に対するビジネスの可用性は担保できなくなるのだ。
このような課題のある中でタニウムは、サイバー・ハイジーンを中核にしてNISTのセキュリティフレームワークの機能を時間軸に沿って迅速に回せるプラットフォームを提供している。
図:NISTサイバーセキュリティフレームワークを踏まえたタニウムのポジショニング[画像クリックで拡大表示]
「Tanium Endpoint Platformは、セキュリティとIT運用のアーキテクチャを合わせる形となっており、最初から数万規模のエンドポイントセキュリティの状況を把握できるリニアチェーンのアーキテクチャとなっています。これは特許技術で、市場に投入するまでに5年もの時間をかけました」(古市氏)
図:純度の極めて高い可視化を実現に向けたタニウムのアーキテクチャ[画像クリックで拡大表示]
出来上がったTanium Endpoint Platformは、軍の高いセキュリティレベルが求められるような環境でも利用されている。他にも米国では売上高上位100社のうち半分が、中でも上位10社の銀行全て、小売業では10社のうち7社がTanium Endpoint Platformを採用している。
Tanium Endpoint Platform では、短時間で企業のIT資産全てのセキュリティ対策状況をあぶり出せる。端末にエージェントを入れることで、簡単に全ての端末情報が得られる。操作はGoogleの検索窓に必要な情報のキーワードを入れるのと同様だ。端末の詳細な情報がすぐに得られ、パッチが当たっていないものがあれば隔離し、適宜パッチを当てるなどの管理作業が集中的に行える。またエージェントの入っていない「野良サーバー」を見つけ出すことも容易にできる。
「衛生管理」を徹底すれば被害は最小限に抑えられ、復旧も迅速化できる
新たな脅威は、OSの既知の脆弱性を突くものが多い。そのため、日常的にパッチを当てるなどの対策を行っていれば、エンドポイントセキュリティの仕組みを強化せずともほとんどの脅威からIT資産を守れるとも言われている。これがまさに今、衛生管理を徹底すべき理由でもある。
仮に何らかの攻撃を受けインシデントが発生した場合も、衛生管理を徹底していれば何を隔離し影響範囲がどこまであるかもすぐに把握できる。それが分かれば、エンドポイントセキュリティやインシデントレスポンス支援ツールなどを用い復旧を図れば良い。結果的に被害は最小限に抑えられ、復旧も迅速化する。
衛生管理を徹底して、エンドポイントセキュリティなどのツールとも容易に連携できるTanium Endpoint Platform。IT運用管理者であれば、活用するために特別なスキルは必要ない。タニウムではWindows、Mac、Linuxなどのコマンドラインインターフェイスから、管理者権限で取得できる情報を集めている。端末側にエージェントは必要だが、エージェントが行うのはOSが本来持っているコマンドの操作であり、エージェント自体が何か重たい処理をしているわけではない。既にグローバルでのベストプラクティスが揃っており、どのような情報を収集し管理、運用すればいいかで悩む必要もない。
またスキルがあれば、コマンド操作を加え独自にデータを収集することも簡単だ。また外部システムとの連携も容易で、情報の収集を自動化し、得られた情報をトリガーにして、隔離やパッチ適用処理の自動実行も実現できる。
タニウムを活用して効果を出しやすいのは、5,000エンドポイント以上を運用している比較的大規模な組織だ。もちろん、それより小規模であってもセキュリティフレームワークをより迅速に回し、セキュリティ脅威に対しビジネスの可用性を担保したい企業には最適なものとなる。一式のタニウム・サーバを導入することで、数千、数万規模のエンドポイントの管理がすぐに開始できる。またマネージド型のサービスも間もなくリリース予定であり、中小規模の組織でもすぐに衛生管理を始められる。
衛生管理を徹底し、堅牢なセキュリティ対策体制を築きたい。それによりビジネスの可用性を担保したい企業は、Tanium Endpoint Platformの採用をすぐに検討すべきだろう。
