DXの浸透にともない、セキュリティも変革へ
Cybereason社は、エンドポイントのセキュリティ対策ソリューションを提供する企業。サイバー攻撃の最前線で培ったテクノロジーを集約したプラットフォームで、企業のセキュリティ保護を強力にサポートしている。米国ボストンの本社をはじめ、ロンドン、シドニーにも拠点を構えている。また、研究開発拠点はイスラエルに設けられている。日本支社であるサイバーリーズン・ジャパン株式会社は、日本の顧客にサービスを届ける他、日本企業に向けた品質を製品にフィードバックしている。2018年〜2019年においては、国内のエンドポイントセキュリティではNo.1の評価を得ているという。
企業紹介のあと小坂氏は、DXの定義について説明した。DXという言葉は、2004年にスウェーデン ウメオ大学のエリック・ストルターマン教授が「ITの浸透が人々の生活をあらゆる面でより良い方向に変化させる」と提唱したものであるが、現在は「事業の変革」として使われることが多い。IT技術の導入による新サービス構築だけではない、組織・文化・業務をも再構成する組織全体の変革を指す。
日本においても、DXに関する取り組みが推進されている。たとえば、経済産業省と東京証券取引所が協力し、デジタル技術によってビジネスモデルを変革して新たな成長競争力強化に取り組む企業を「DX銘柄」として選定している。2021年のグランプリは、「Lumada」と呼ばれるDX基盤を作り上げ、これを核に社会イノベーションを起こす取り組みが評価された日立製作所と、これまでアナログ的であった不動産業界をデジタル化しようとAI活用などを積極的に行っているSREホールディングスが受賞した。
経済産業省といえば、2018年に公表した「DXレポート」にて「2025年の崖」を指摘し、強いメッセージを出したことは記憶に新しい。レポートによると、85%の企業が老朽化システムを抱えているとし、IT人材も不足することでシステムがブラックボックス化し、2025年の段階で年間12兆円のコストがかかると試算されている。これを回避するためにもDXに取り組むべきというのが国の方針だ。
[画像クリックで拡大]
DXによってオンプレミスからクラウドへ、専用アプリケーションからSaaSへ移行していくのが大きな流れになっている。コロナ禍の影響もあって在宅ワークも増え、社内の端末はデスクトップからノートPCやタブレット、場合によってはスマートフォンも活用するようになっている。小坂氏は、状況の変化にあわせたセキュリティ対策が必要だと指摘する。
「セキュリティ対策の範囲が変化しているので、それに追従しなければいけません。それを怠ると攻撃者はそこを狙ってきます。場合によってはインシデントが起きて、情報漏洩や会社存続に関わるような事態になる可能性も否定できません」(小坂氏)
ゼロトラスト実践の第一歩は、エンドポイントセキュリティから
そこで、ここ数年注目されているセキュリティモデルが「ゼロトラスト」だ。従来の端末やシステムは社内のネットワーク内にあり、社外との境界を防御していればよかった。しかし、データが社外に点在するようになると境界も増え、もはや境界防御はできないに等しい。ゼロトラストは、すべてのトラフィックを信頼できないとし、アクセス元のネットワーク環境やユーザーIDなどのコンテキストに基づいて、アプリケーションごとにアクセス制御を適用するセキュリティ体制を敷く。
たとえば、アクセスしようとしている端末のセキュリティステータスはもちろん、会社標準のアンチウイルスソフトが入っていないと許可しない。また、少し前に東京からアクセスしていたのに、今はモスクワからアクセスしようとしているという場合も、コンテキストがおかしいためアクセスを認めないといった処理だ。
[画像クリックで拡大]
こうしたゼロトラストのセキュリティを適用するには、クラウド型のID管理、アクセス制御(CASB)、クラウド型ファイアウォールなどが必要だ。さらに、端末管理はIT資産管理ツール、エンドポイントは EDR(Endpoint Detection and Response)なども用意しなければならない。
小坂氏は、「これらをすべて一度に適用するのはなかなか難しいです。そのため、順番をつけてやるべきだと私たちは考えています。そして、どこを一番にやるべきか明確です。それは、データがあるエンドポイントになります。クラウドやオンプレミス、そして従業員が使うノートPCやモバイルデバイスもエンドポイントになります」と述べた。
[画像クリックで拡大]
エンドポイントセキュリティにおける3つのポイント
小坂氏は、エンドポイントセキュリティのポイントは、「可視化」「防御を抜ける攻撃への対応」「運用負荷の軽減」の3つだとし、それぞれを説明した、
1つ目のポイントは、「可視化」。小坂氏はいつも顧客に対して、「今サイバー攻撃を受けていますか?」という質問をするという。これに対して、「100%大丈夫だ」と言い切れる人は少ない。その理由は、見えていない敵とは戦えないからだ。つまり、攻撃を受けたことを証明するためにも可視化が必要だと訴えた。サイバーリーズンのEDRソリューションは、そのダッシュボードにおいて攻撃の可視化ができる。
[画像クリックで拡大]
攻撃は、バブルという丸い印で示され、これをクリックするとどこで何が起きたかをレポートする画面が表示される。感染した端末がどういったプロセスで被害を受け、その根本原因などが自動解析されるのだ。「通常は、色々なログを集めてアナリストが解析するのですが、ソフトウェアで根本原因まで分かります。また、感染している端末におけるプロセスの一括停止もワンクリックで可能です。さらに、インシデントを経営層に伝えるために必要となる日本語のレポートもワンクリックで出せます」と小坂氏は続けた。
2つ目のポイントは、「防御を抜ける攻撃への対応」。最近ではアンチウイルスソフトだけでは防ぐことができない攻撃もある。サイバーリーズンの次世代アンチウイルス「NGAV」では、防げない攻撃を検知して防衛していく対策も提供する。小坂氏は、「オリンピックなど、大きなイベントの際にはサイバー攻撃が増えます。実は、昨年見送りになったオリンピック前にも『Emotet』という有名なマルウェアが猛威を奮いました。これは、Microsoft Word文書ファイルのマクロを利用し、着弾したあとにPowerShellと呼ばれるMicrosoftの正規プロセスを利用して、マルウェア本体をダウンロードしようとするため、気がつきにくいのです。しかし、NGAVはダウンロードを阻止し、悪意のあるファイルを隔離します」と説明した。
[画像クリックで拡大]
3つ目のポイントは、「運用負荷の軽減」。小坂氏によると、サイバー攻撃に対応するためには、専門家チームの知見を利用することが一般的になっているという。もちろん、対応マニュアルを用意し、体制を整えておくことも求められる。しかし、IT部門のメンバーが少なく、セキュリティ専門家がいないという組織もある。サイバーリーズンでは、そのような組織のために、専門のアナリストによるエンドポイントの監視解析サービスを提供している。これは、顧客のエンドポイントを監視することで、危険な動きや攻撃が確認されたとき、顧客に迅速に知らせるものだ。
次に小坂氏は、グローバルにおけるインシデント対応にかかる平均時間を示した。脅威の封じ込めや対処にはおよそ1週間かかり、原因の調査も1ヵ月以上かかるとの統計を示した。また、EUの新しいデータ保護規則「GDPR」では、インシデントが起きた場合、72時間以内に監督当局へ通知しなければならないとされている。そのため、インシデントの戦いは時間との勝負であり、リスクは最小限に抑えなければならない。サイバーリーズンのソリューションであれば、インシデント発生時に即時の封じ込めを行うだけでなく、調査レポートも2日以内に発行可能だという。
[画像クリックで拡大]
新しい価値をデジタルの力で実現するべく、レガシーシステムから新しいアーキテクチャーへの移行を行うのがDXだが、その変化に応じてセキュリティの取り組みも変えていくことも重要だ。ITリソースが社外に分散していく状況では「ゼロトラスト」の考え方が重要で、それを実現するにはエンドポイントのセキュリティ対策の優先度が高い。サイバーリーズンのエンドポイントソリューションであれば、攻撃を可視化し、巧妙な攻撃を無効化する手段があるだけでなく、専門家による監視で運用負荷も軽減できる。DXを推進し、セキュリティ体制を更改したい組織は、導入の相談をしてみてはいかがだろうか。
