人材と予算は不足するもサイバー攻撃は7年で8.3倍増
堀内氏はまず、サイバーセキュリティを取り巻く現状に触れた。1つ目は「攻撃」だ。情報通信研究機構(NICT)の調査結果によると、2022年に観測したサイバー攻撃関連の通信数は2015年と比較して8.3倍にもなっているという。サイバー攻撃の手段についても「どんどん多様化、そして巧妙化している」と説明した。2つ目は「人材」。国内企業の80%以上がIT人材の量、質ともに「不足している」と回答した情報処理推進機構(IPA)の調査を紹介した。
企業が直面しているのはそれだけではない。「昨今の円安、電気料金の上昇、半導体不足などの動向はITコストの増大を招いており、ITリソースへの投資が容易ではなくなってきている」と現状を分析。このような状況の中で、サイバーセキュリティ対策はどうあるべきか。堀内氏は組織が最低限押さえるべきセキュリティの指針として、IPAの「情報セキュリティ5か条」(以下)を挙げた。
- OSやソフトウェアは常に最新の状態にしよう
- ウイルス対策ソフトを導入しよう
- パスワードを強化しよう
- 共有設定を見直そう
- 脅威や攻撃の手口を知ろう
このうち、1と2に関してはエンドポイント管理、3と4にはID管理が対策の一助となる。5については「単にエンドポイント管理とID管理を行うだけでなく、組織で起こりうる攻撃や脅威について知り、対応できる方法を考える必要がある」と堀内氏は説明する。
自治体の80%以上が実践するエンドポイント対策とは
セキュリティ対策のためのツールは数多くのベンダーから提供されている。しかし、先述のような脅威の増加、セキュリティ人材や予算の不足、ITコストの増大により、セキュリティ対策が頓挫あるいは遅れてしまうことも多いだろう。一方でセキュリティの脅威は、このような企業の状況にはお構いなしに日々増加の一途を辿っている。このような状況を踏まえ、「対応を後手にすることなく、組織に合う地に足のついたセキュリティ対策が必要」だと堀内氏は訴える。
それを実現するものとして堀内氏が紹介するのが、Zohoが提供する「ManageEngine」だ。エンドポイント管理ソリューションを提供するZohoは、ベル研究所出身の技術者が1996年にインドで立ち上げた企業(創業時はAdvent Network Management、2009年より現社名)。2001年にゾーホージャパンを立ち上げ、日本市場に進出している。
ManageEngineは既に世界で28万社以上の企業・組織に導入されており、日本国内でも8,000ライセンスを超える販売実績を持つ。「都道府県自治体の80%以上、日経225主要事業体の50%以上、さらには教育機関にも多数導入実績がある」と堀内氏。
ManageEngineの特徴は、「低コスト」「簡単」「便利」の3つだ。ManageEngineは、「エンドポイント・資産管理」「特権ID管理」「コンフィグ管理」「ID管理」「ログ管理」の5つの領域における20以上のIT運用管理ソフトウェアで構成されており、企業は自社に必要な製品のみを選択して導入できる。「この仕組みによって安価なスモールスタートが実現でき、低コストにつながっている」と堀内氏は話す。また直感的なUIにより、操作方法がわかりやすい点にも触れた。
手作業のエンドポイント管理が生む脆弱性を防ぐには?
続いて堀内氏は、「エンドポイント管理」と「ID管理」の2つの観点からManageEngineの機能を紹介した。脆弱性を狙った攻撃は、VPNやネットワーク機器だけでなく、PCやスマートフォンなどのエンドポイントも対象となる。こうしたエンドポイントは社外との通信が多い上、社内の重要なリソースにもアクセスできる。そこに対する攻撃として、「マルウェアを通常のファイルのように見せかけたり、セキュリティホールを利用したりすることでエンドポイントに侵入する」ものなどが考えられるとした。セキュリティホールを塞ぐためにはエンドポイントのOSをアップデートしたり、ソフトウェアにセキュリティパッチをあてたりすることが有効であり、これらを一元的に管理・可視化できるツールが求められるのだ。
こうしたニーズにもManageEngineは対応しているという。一例として、堀内氏は国内エンターテインメント業界の企業事例を紹介した。同企業では、パッチ適用はユーザー任せで、資産管理についてもMicrosoft Excel(以下、Excel)を台帳とした手作業で運用していたところに、脆弱性対策としてManageEngineの「Endpoint Central」を導入。これにより、端末の実態をリアルタイムに把握できるようになった。それだけでなく、キッティング時のプロファイルの設定、必要なソフトウェアの配布、その後のアップデートやセキュリティパッチの適用までを自動化することで、管理者の負担軽減も図ることができたという。
Endpoint Centralは、オンプレミス版・クラウド版のいずれかを選んで利用するエンドポイント管理ツール。パッチ管理、インベントリ管理、リモートコントロールなどの機能を備えている。さらに、パッチ管理機能だけを切り出した「Patch Manager Plus」も用意しているとした。
特権ID管理は“証跡取得”でJ-SOXなどに対応
次に堀内氏は「ID管理」に話を移し、特権ID管理を例にとって内部不正と情報漏洩への対策について説明した。特権IDとは、各システムに対する操作や情報の参照などに対して強い権限を持つ管理者アカウントを指す。組織によっては複数人で特権IDを使い回し、それをExcelの台帳で管理するといった運用を行う場合も多い。この運用では個人名でマシンにログが残らないため、誰が何をしたのかが把握できないこと、特権返却などの対応漏れ、さらには退職者などによる特権IDパスワード漏れなどのリスクが考えられる。
そこに対応するのがManageEngineの「Password Manager Pro」だ。Microsoft Windows、Linux、各種データベース、Amazon Web Services、Salesforceなどに対応し、ワークフローを使って特権IDを管理できる。利用者に特権IDのパスワードを共有することなくRDP(Remote Desktop Protocol)やSSH(Secure Shell)でリソースにアクセスでき、その履歴や操作の録画を残す機能も備わっているとした。
この事例として堀内氏は、購買支援サイトを運営する大手企業の例を紹介。この企業では、本番環境にアクセスする際は特定の踏み台サーバーを解するという対策を講じていたが、サーバーへのアクセスを開始すると誰がどのような作業を行ったか証跡の取得が難しいという課題があった。証跡取得はJ-SOXなどの各種コンプライアンス基準への対応として求められているため、対応が必須である。
そこで踏み台サーバー専用の特権ID管理ツールとしてPassword Manager Proを導入。いつ・誰がアクセスを行ったのかの証跡取得、サーバー上での操作をセッション動画として録画することで内部統制の強化を実現したという。堀内氏は「Password Manager Proは、特権IDの利用を承認する管理者数をベースとした課金体系を取るため、特権IDを利用する申請者やアクセス先のサーバー数をベースとした場合と比べるとコストを下げることができる」と紹介した。
ログ管理でフォレンジック調査も容易に
続いて堀内氏は、組織にセキュリティインシデントが発生した際の検知や、フォレンジック調査が可能となるManageEngineのログ管理ツール「Log360」を紹介した。
Log360には、WindowsイベントログやSyslog、Active Directoryの監査、クラウドをベースとするMicrosoft 365のアカウント監査などの機能があり、機械学習を用いたUEBA(User and Entity Behavior Analytics)として、ユーザーとエンティティの行動分析が可能だ。
ある教育機関では、学内で使用するサーバーやネットワーク機器のログ管理ツールとしてLog360を導入。導入前は端末を1台ずつ調べてログを管理していたのに対し、導入後はログを一元管理できるようになり、工数を大幅に削減。さらに、セキュリティインシデント発生時の影響範囲の分析やフォレンジック調査にもログ管理を活用できるようになったという。
なおLog360の価格についても、組織の管理規模に合わせた料金プランで導入を検討できるとした。
最後に堀内氏は、脅威の増加、人材不足、コスト高などの状況の中で、セキュリティ対策に成功している企業の特徴として、「合理的に予算を使い、必要な機能を使いこなすことができている」ことを挙げ、「セキュリティツールは導入して終わりではなく、運用を軌道に乗せる必要がある」と強調した。「地に足のついたセキュリティ対策を行うために、できることから一緒に取り組んでいきましょう」と述べ、講演を締めくくった。
