テレワークの普及により、企業はこれまで採用してきた境界型セキュリティの見直しを迫られている。多くのPCが、境界の外にいるようになったからだ。新たに目指すべきなのがゼロトラストである。では、ゼロトラストを実装するには、どの点を意識すべきなのか。見直すべき3つのポイントと、それに対応した最適なソリューションを紹介する。
ほとんどの企業にとって、テレワークは一部の従業員が行うもので、仕事の中心はあくまでもオフィスだった。そのため、社内は安全という前提に立ち、社内と社外の境界でPCを保護するのが効率的と考えられてきた。
しかし、コロナ禍で状況は一変した。一時は、ほぼすべての従業員が在宅勤務になるなど、テレワークの範囲は大幅に拡大。従来に比べ、はるかに多くの従業員が境界の外で業務を行うようになった。
つまり、境界の外にあるPCをいかに保護するかが重要なテーマとして浮上しているわけだ。
「例えば、社内システムへのアクセスはVPNを経由させますが、クラウドサービスについては、直接インターネットを介して利用しているのではないでしょうか。インターネットにさらされているPCは、当然、マルウエア感染のリスクが高まります。攻撃者の視点で見れば、以前はWeb閲覧などの機会を利用して攻撃していたPCが、無防備に目の前にあるようなもの。攻撃は容易になり、成功確率が高まります。そして、マルウエアに感染したPCはいずれVPNを経由して社内にアクセスする。脅威が一気に社内に広がることになります」とマクニカネットワークスの大髙 壮平氏は警鐘を鳴らす。
そこで同社が提供する次世代型DWHが「Snowflake」である。
テレワークが中心のニューノーマルな働き方に対応するには、すべてのトラフィックを信用しない性悪説のセキュリティ、ゼロトラストの環境構築が急務となる。
そのためには、見直すべき3つのポイントがある。
1つは「端末状態の管理(可視化と制御)」である。
「社内にPCがあったころは、IT部門はアプリの導入状況や設定、パッチの適用状況をほぼリアルタイムに把握することができました。しかし、テレワークが主体となった今の状況では、パーソナルファイアウオールの有効状況、PCの脆弱性、パッチの適用状況などが容易には可視化できません。このままでは端末の堅牢性が失われてしまい、攻撃の被害が大きくなりやすい。そのため場所を問わず、ユーザーの操作にも依存しない管理と制御のあり方を検討していく必要があるのです」と大髙氏は説明する。
2つ目は「防御や検出システムの見直し」だ。
これまで主流だったシグネチャー型の端末保護は、常日ごろからのアップデートが必要。「例えば、1週間シグネチャーが更新されていない場合、新しいマルウエアの検出率は42%にまで低下します」(大高氏)。
また、最近はVPN装置やメールサーバーなどへの直接攻撃も増えており、ネットワークに侵入された後の端末・サーバー間の移動など、今まで集めていなかった新たな監視ポイントのログの取得も考えていかなければならない。
3つ目が「事故対応フローの見直し」である。
インシデント発生時の対処フロー、アラート発生時の対応方法などは、テレワークでは通用しないケースが多い。従来はメンバー同士がフェーストゥフェースでコミュニケーションしながら対応を進められたが、テレワークではほかのメンバーが今どのような調査をしているのか見えにくくなる。対応の遅れは事態を悪化させるため、早急に最適なフローを整備する必要がある。
こうした課題と新しいセキュリティのポイントを踏まえて、マクニカネットワークスは、トータルな提案を行っている。
まず「端末状態の管理」と「防御や検出システムの見直し」に対しては、数あるEDR(Endpoint Detection and Response)ソリューションの中でもグローバルに評価の高い「CrowdStrike Falcon」という製品を提案する(図1)。
CrowdStrike Falcon PlatformはPC端末、サーバー、モバイル、クラウドサービスなど、様々な環境を単一のエージェントでカバー。標的型攻撃の有無をリアルタイムに判定・通知する
攻撃者の最終的な狙いは重要データ。まずは、それらのデータの保管先であるPCやサーバー、モバイル、クラウドサービスなどを守るためのエンドポイントセキュリティの強化が必要。そして、同時にデータへのアクセスルートも併せて強化することで、よりセキュアな環境を作っていくことができる。
「CrowdStrike Falconは、攻撃の初期侵入から検知に至るまで、調査に必要な情報をプロセスツリーで可視化するEDRだけでなく、次世代アンチウイルス、脆弱性管理、USBデバイス制御、ファイアウオール管理など多様な機能が備わっています。1つのプラットフォームであらゆる環境をカバーするシングルエージェントアーキテクチャで、ビジュアルな管理コンソールからインシデント状況とマルウエア挙動、横展開(ラテラルムーブメント)の可視化などを容易に行うことができます」と大髙氏は言う。
また、CrowdStrike Falconは、クラウドサービスとして提供されている。このためLANでなくインターネットに直接つながっているエンドポイントも同様に管理できるのが特長だ。クラウドに収集された全世界の端末の振る舞いログを監視し、標的型攻撃をリアルタイムに判断・通知するソリューションも提供しており、これにより従来のマルウエア対策では検知できない攻撃を速やかに検知し、対処することが可能となっている。
次に「事故対応フローの見直し」に対応する製品が次世代SIEM(Security Information and Event Management)プラットフォーム「Exabeam」である。
同製品は、ログを1カ所で集めて管理・分析するSIEMと、人の軸でログの振る舞い分析を行うUEBA(User and Entity Behavior Analytics)、アラート対処を自動化して効率的なオペレーションをサポートするSOAR(Security Orchestration, Automation and Response)の3つの機能を併せ持っている。
「Exabeamで最も特長的なのが、ログ分析の自動化を実現するスマートタイムライン機能です。これまでインシデントが発生した場合は、担当者が一つひとつログを検索して、特定の従業員がどのような行動をしたのか、そのPCで何が起きたのかをログから作ったタイムラインを使って調査していました。ただ、この作業は、様々なログを相関的に見て状況把握をしなければならず、経験と高度なスキルが必要です。また、手動でタイムラインを作成すると平均20時間ほどかかります。その点、ExabeamならプロキシやVPN、ADといった様々なログから自動的かつスピーディーにタイムラインを作成し、高度なスキル無しで社内の状況を可視化することができます」と大髙氏は説明する。
さらに、CrowdStrike FalconとExabeam、そしてクラウドID管理のデファクトであるOktaを組み合わせることで、クラウドからオンプレミスまで、すべてのユーザーのあらゆるリソースへのアクセス制御をセキュアに行える「ゼロトラストネットワーク」が実現する(図2)。Oktaはアクセスしようとするユーザーが使うアプリ、ネットワーク、デバイス、位置情報などを基にアクセスを判断。その判断結果に応じて2要素認証による追加認証を行うなどの制御も可能となる製品だ。
CrowdStrike FalconとExabeam、Oktaを組み合わせることで、クラウドからオンプレミスまで、すべてのユーザーのあらゆるリソースへのアクセス制御をセキュアに行える「ゼロトラストネットワーク」が実現する
これらの製品の組み合わせにより、様々なアクションの自動化も実現する。例えば、端末ネットワーク隔離、任意ファイルの取得・削除、メッセージポップアップ表示、端末再起動などである。そしてCrowdStrike Falconの脆弱性可視化モジュールを組み合わせれば、OSの脆弱性情報を取得して端末にパッチを当てるまでの一連の作業を自動化し、担当者の判断や対応工数を削減することも可能だ。
ほとんどの従業員がオフィスで働くことを前提とした境界型セキュリティは、もはや限界まできている。ニューノーマル時代のテレワークセキュリティでは、データを持つエンドポイントとデータへのアクセスルートをいかに効率的に守るかが重要なポイントとなる。
マクニカネットワークスが提案するゼロトラストへの取り組みは、その最適解の1つとなるはずだ。