SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2024 春の陣

2024年3月13日(水)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

徳丸浩が斬る、セキュリティのイマ

EDRやゼロトラストを頼る前に行うべき5つのこと──実は昔も今も変わらないセキュリティの原則

【徳丸浩が斬る、セキュリティのイマ:第7回】本質的なセキュリティ強化ってどうするの?

 多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第7弾。今回のテーマは「実は今も昔も変わらないセキュリティの原則、ベンダーを頼る前に行うべき5つのこと」です。EDRやゼロトラストといった、近年生まれたセキュリティワードを用いたソリューションが増えている昨今ですが、それでもセキュリティ被害は後を絶ちません。徳丸氏はこれに関して、EDRやゼロトラストといった言葉が生まれる以前から、そういった考え方やセキュリティ対策はあったと指摘し、新たなソリューションに頼る以前に古来から続く原則的な対策が重要だと説きます。そこで今回は、本質的なセキュリティ強化のポイントについて詳しく解説します。

ポイントを絞った対策の方が効果的

 はい、対策の話ですね。現在サイバー環境には様々な脅威があるわけですが、私のオススメとしては広く網羅的にやるというより、現実に今大きな脅威になってるところにポイントを絞って対策することをまずは考えたほうが、効果的であると思います。ということで、これまでにもお話ししたことをおさらいしながら、本質的なセキュリティ対策についてお伝えできれば思います。

IPA10大脅威の推移 図:EGセキュアソリューションズにて作成【画像クリックで拡大】
IPA10大脅威の推移 図:EGセキュアソリューションズにて作成【画像クリックで拡大】

 大きな脅威というのは、たとえばIPAが出してる10大脅威の上位ですね。ランサムウェア感染や標的型攻撃などはここ数年上位にあり、どの企業にもあり得る脅威です。しかも影響が大きいので、これは"必ず対策をしなければいけない"となるわけです。その他で言えば、クラウド利用が進んでいますのでクラウド経由での情報漏洩にも対策が必要になります。

 ランサムウェアや標的型攻撃について、これらは犯人の目的は違うものの、手口にはかなりの共通性があります。それは、メールを送りつけてそれを開かせるだとか、VPN装置の脆弱性を利用して社内ネットワークに侵入するなど「攻撃の入り口、経路は共通である」点です。となれば、対策にも共通性があるわけです。

 最近は、ランサムウェアあるいは標的型攻撃の入り口というのは非常にはっきりしています。VPN装置の脆弱性悪用、あるいはメールに添付ファイルをつけて、それそのものがマルウェアではないにしてもマルウェアを引っ張ってくる(ダウンロードしてくる)ツールが入っています。これらは脅威自体が大きいので、共通の対策を一つやれば完全ではないにしても、入り口をできるだけ塞ぐという意味で非常に効果が高いということになります。

 VPN装置の脆弱性対策については以前指摘したように、まず"誰がVPN装置のパッチを当てるのか"ということを明確にしないといけません。これは「契約」の世界の話ですね。次にVPN装置のパッチを当てようと思うと、まずは"パッチを入手しないといけない"ということで、これは大抵保守契約が必要になります。また、パッチというのは一種のソフトウェアですが、実は技術力があれば誰でもできるとは限りません。"代理店しか作業ができない"という場合もあるため、結論としては"きちんと契約を見直して、誰が当てることになっているのか(まあ契約に入っていないケースが非常に多いのですが)"、その項目が入ってなければ契約を見直して、きちんとパッチを当てられるようにすると。

 ただ、パッチ適用が契約に入っていないケースが多いというのは実は理由がありまして、"パッチがどの程度の頻度で公開されるかは事前にわからないので作業量が見積もれない"という事情もあります。

 とはいえパッチを当てないとしょうがないので、「都度費用を払う」など交渉の上でやってもらうほかないでしょう。ゆえに、これは契約主が覚悟を決めてやらなければなりません。あるいは、VPNでないゼロトラストリモートアクセスなど、そういった新しいソリューションを用いる手もあります。これに載せ替えるのもありだとは思いますが、もし載せ替えないのであれば、やはり覚悟を決めて、「費用が少しかかってでもVPNのパッチ適用をする」でしょう。ですので以前の記事でもお伝えした通り、一番良いのは"導入の際のRFPに組み込んで契約に盛り込む"という形になります。

RFPについて 図:EGセキュアソリューションズにて作成【画像クリックで拡大】
RFPについて 図:EGセキュアソリューションズにて作成【画像クリックで拡大】

次のページ
古来から続く、セキュリティの教えにあるもの

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
徳丸浩が斬る、セキュリティのイマ連載記事一覧

もっと読む

この記事の著者

徳丸浩(トクマル ヒロシ)

イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTO。ウェブアプリケーションセキュリティの第一人者。 脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行う。 徳丸氏がCTOを務めるEGセキュアソリューションズは、セキュリティの知識を問う 「ウェブ・セキュリティ試験」の監修を務める。著書「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」は、...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18482 2023/10/06 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2024年3月13日(水)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング