SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2023 Summer | 価値創出のための「クラウド活用」&「ITモダナイズ」への一手

2023年6月21日(水)10:00~16:40

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Press

マイクロソフトも認めた技術力、サイバーハイジーンを進めるタニウムの内なる理念

コロナ対策では優秀な日本。一方で低い、サイバーの衛生観念

 長年課題とされていた日本のセキュリティ環境も整備が進み、EDRといったゼロトラストを実現するためのソリューションが数多く導入されるようになった。しかし「EDRを入れれば、セキュリティは一安心」という誤解も多い。事実EDRを導入しながらも、非管理端末といったシャドーITをきっかけにサイバー被害に遭った企業は少なくない。そうした中で、近年重要視されているのが「サイバーハイジーン(サイバー衛生)」だ。これは日常的に組織内のIT資産を可視化し、その脆弱性の有無を適切に把握・是正することでセキュリティリスクを最小限にするというもの。このサイバーハイジーン実現のため、特徴的なソリューションを展開しているのがタニウムだ。同社は昨年、競合となるマイクロソフトともパートナーを結んでおり、今後さらなる飛躍が期待される。タニウムが語るサイバーハイジーンの重要性、そして今後の展開とは、同社のキーパーソン3人に話を聞いた。

組織内の脆弱性端末は半数以上

──近年よく耳にするようになったサイバーハイジーン(サイバー衛生)ですが、このワードの意味について改めて教えてください

楢原盛史氏(以下、楢原):現在の日本のセキュリティ対策は、侵入されることを前提にしたEDRに代表されるようなゼロトラストソリューションがトレンドとなっています。

タニウム チーフITアーキテクト 楢原盛史氏
タニウム Chief IT Architect 楢原盛史氏

 しかし、そうした中で新たに注目されつつあるのがサイバーハイジーンという考えです。これは「システムの脆弱性をほぼゼロにし、侵入されないことを前提とした対策」というものです。コロナ対応で例えるなら、「手洗い・うがい・マスク」がサイバーハイジーンであり、「PCR検査」がEDRといったゼロトラストになります。

 現在の日本ではEDRへのフォーカスが特に強い状況になっており、EDR自体はセキュリティ施策の一つとして有効ではあります。しかし一度脆弱性を突かれてしまえば特権IDを奪われ、せっかく導入したEDRが何の役にも立たないということが現場では起きています。

 EDRが登場した当初は多くの組織で「これは魔法のツールだ!」と浸透したものの、最近になってようやく「いや、これは決して万能ではない」とその現実に気づき始めました。実際EDRを導入していたある企業ではニュース報道をきっかけに社内調査したところ、外部攻撃者に特権IDを奪われていたことがわかりました。

 そういった事例を調べていくと、EDRをいれることでサイバーレジリエンス環境が構築できたと思っていたが、実は組織内に非管理端末があり、そこに脆弱性があったりする。そもそも被害から復旧できる前提にすら立っていなかったという例はいくつもあります。

 ガートナーのレポートでも、いわゆるゼロデイ攻撃による被害は0.4%しかない一方で、99.6%は既知の脆弱性による被害です。だからこそ、まずは自社のIT資産の把握を進め、脆弱性を可視化することが重要となってきます。

画像クリックで拡大
画像クリックで拡大

 「資産管理なくしてセキュリティなし」と、セキュリティを理解されている方ほど話されており、特に大企業ほどIT資産管理を徹底かつ実践しています。なぜなら資産管理ができていなければ、脆弱性管理やその把握も不可能だからです。

 ところが、現状多くの組織では概ね8割ぐらいが管理できていて、約2割ぐらいで非管理端末が混じっています。その上、組織の管理端末のうち4割ぐらいはパッチ適用がきちんとなされておらず、こうなると組織での脆弱性端末は半数以上にも上ります。

 恐ろしいのは、その実態を知るための資産管理調査は半年に1回などゆっくりとしたもの、言わば「静的なハイジーン」となってしまっていることです。

画像クリックで拡大
画像クリックで拡大

 半年の間に致命的な脆弱性があれば、そこが攻撃者のターゲットになってしまいます。そこで我々が提唱しているのが「動的なハイジーン」です。脆弱性に対応できていない部分を潰さないと、残りのセキュリティもすべて無力化されてしまう。これがサイバーハイジーンの原点です。

 以下の図で示したNISTのサイバーセキュリティフレームワーク(CSF)ベースですと、「特定・防御」がサイバーハイジーン、「検知・対応・復旧」がレジリエンスにあたります。この検知より左側のオペレーションを実行しなければ、セキュリティリスクは爆発的に増えてしまいます。

画像クリックで拡大
画像クリックで拡大

 従来アメリカではCDM(Continuous Monitoring and Mitigation )プログラムが行われており、日本でも2022年にデジタル庁の常時リスク診断・対処(CRSA:Continuous Risk Scoring and Action)システムが始まっています。これらの背景には、EDRだけではセキュリティ上の限界があるといった背景があると見ています。

次のページ
ハイジーン化で、セキュリティコストの削減も

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

西隅 秀人(編集部)(ニシズミ ヒデト)

EnterpriseZine編集部

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/17640 2023/05/12 08:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2023年6月21日(水)10:00~16:40

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング