情報セキュリティ戦略セミナー 2021
〜 ニューノーマル時代のサイバーセキュリティ対策 Review 〜
日立ソリューションズ

境界に頼らない


セキュリティのアプローチ


ゼロトラストセキュリティの勘所とは

境界に頼らない


セキュリティのアプローチ


ゼロトラストセキュリティの勘所とは

境界に頼らない


セキュリティのアプローチ


ゼロトラストセキュリティの勘所とは

業務システムのクラウドシフトやリモートワークが急拡大する中で、これまでの境界防御に依存しないゼロトラストネットワークが求められている。しかしその実現に向けては、「資産管理業務の煩雑化」や「セキュリティ監視業務の負荷増大」といった課題に直面してしまう。日立ソリューションズの講演では、こうした新たな課題の解決に向けた、ポスチャマネジメントの考え方や、SIEM(Security Information and Event Management)/SOAR(Security Orchestration and Automation Response)を活用した定型業務を自動化するアプローチについて解説された。

ゼロトラストセキュリティが求められる理由は

株式会社日立ソリューションズ セキュリティマーケティング推進部 部長/セキュリティエバンジェリスト 早稲田大学グローバルエデュケーションセンター非常勤講師 扇 健一氏
株式会社日立ソリューションズ
セキュリティマーケティング推進部
部長/セキュリティエバンジェリスト
早稲田大学グローバルエデュケーションセンター非常勤講師
扇 健一
 新型コロナウイルス感染症のパンデミックが契機となり、リモートワークが一気に拡大した。これに伴い急務となっているのが、セキュリティ対策の見直しである。

 これまでのセキュリティ対策は、ファイアウオールによって「社内」と「社外」を分離する境界型のネットワークを前提としてきた。様々な業務システムや認証サーバー、ほとんどの従業員の端末も、この境界の内側で運用することで守られるという考え方だ。

 しかし、上述のようにリモートワークが急拡大した現在では、境界だけでの防御は非常に困難な状況となっている。例えば通信環境はその1つだ。自宅で働く従業員が就業時間に一斉に境界内のシステムにアクセスしてくると、VPN回線の帯域はたちまち枯渇してしまう。

 問題はそれだけではない。業務システムそのものがクラウドシフトによって境界の外に移っているからだ。リモートワーク環境で使われる端末はインターネットに直接つながっており、サイバー攻撃を受ける危険性が高まっている。また、マルウエアが端末に感染し、リモートアクセス回線を介して境界を突破し、社内に侵入してくる恐れもある。

 「これからは境界に頼らないクラウドを中心としたセキュリティ対策、すなわちゼロトラストセキュリティが必要となります」と日立ソリューションズの扇 健一氏は説く。ゼロトラストセキュリティとは、その名の通り、ネットワーク、デバイス、ユーザー、アプリケーションは「信じきることはできない」ことを前提としたセキュリティ対策だ。

間違いやすいゼロトラストセキュリティへのアプローチ

 しかしゼロトラストセキュリティは、エンドポイントからネットワーク、クラウドまで非常に広範囲にわたるため、「どこから、何から、始めればよいのか分からない」と悩む担当者も少なくない。最近では、クラウド型の認証基盤であるIDaaS(Identity as a Service)やクラウド型のプロキシーであるSecure Web Gateway(SWG)などから導入を始めるケースも増えている。

 ただし、これらはセキュリティ対策というよりも、どちらかといえばクラウドサービスやリモートワーク環境の利便性を高めることに比重を置いた、デジタルトランスフォーメーション(DX)や働き方改革を加速するためのアプローチだ。本来のゼロトラストセキュリティは、もっとトータルで考える必要があると扇氏は指摘する。

 「ゼロトラスト環境はオープンなネットワーク、すなわちエンドポイントやクラウドサービスが直接インターネットに接続される環境であるため、利便性の追求だけでなく『境界防御に頼れないセキュリティ』、クラウドサービスや社外に持ち出されたリモート端末の管理など『資産管理業務の煩雑化』、リモートワークによるセキュリティ維持の困難さなど『監視業務の負荷』を考慮したセキュリティ基盤の強化が必要となります」

 それでは具体的にどのようなアプローチが必要となるのだろうか。順を追って掘り下げていこう。まず、「境界防御に頼れないセキュリティ」について認識しておくべきことは、IaaS(Infrastructure as a Service)やPaaS(Platform as a Service)などクラウドインフラにおけるセキュリティ設定の不備が重大なインシデントにつながる点だ。

 「クラウド上で運用しているサーバーレス環境やコンテナ、OSに対して、機密データの放置、マルウエア感染、ラテラルムーブメント、脆弱性の放置、パッチ未適用、設定ミス、アクセス権設定不備といったリスクを適切に管理する必要があります」と扇氏は語る。

 加えてエンドポイントのセキュリティを維持することも非常に重要だ。特にアプリケーションやOSの脆弱性を埋めるパッチ適用、セキュリティ設定、認証設定などが徹底されていないと、マルウエア感染を抑えることができないからだ。

 そこで日立ソリューションズが推奨しているのが「ポスチャマネジメント」というアプローチである。「『ポスチャマネジメント』とは、セキュリティ対策された状態を維持することで、クラウドやエンドポイントに潜在するセキュリティリスクへの対応力を高め、管理者の運用負荷を軽減します」と扇氏はその考え方を説明する。

 クラウドにおけるポスチャマネジメントではCSPM(Cloud Security Posture Management)を用いてクラウドのセキュリティに関する状態をきちんと管理する必要がある。CSPMはクラウド環境における「資産管理業務の煩雑化」の課題にも有効だという。

 例えば、IaaSやPaaSに関して、「正規の手続きを経て利用されているか」、「各事業部門が勝手に契約していないか」、「無償トライアル後に放置されたままになっていないか」といった未申告利用を把握し、正規の運用に統合できるからだ。「クラウドのリソースが、どこで、何のために利用されているのかを一元管理することで、監査や棚卸しにかかる手間を低減し、運用コストの削減につなげることができます」と扇氏は語る。

 また、エンドポイントのポスチャマネジメントでは『可視化』『分析・評価』『対策』の3つのステップでエンドポイントを自律的にコントロールする。

 最初のステップでは、エンドポイントで放置されたままになっている脆弱性などセキュリティリスクを「可視化」する。セカンドステップでは、それがどのくらいの危険度のセキュリティレベルになるのかを「分析・評価」する。そして最後に「対策」のステップでは、パッチの自動適用や設定の自動変更、ユーザーや管理者への自動通知などリスクに応じたアクションを行う。このサイクルを繰り返すことで、セキュリティが担保された状態を維持するわけだ。

煩雑なセキュリティ監視業務を自動化

 一方、増大する「監視業務の負荷軽減」という課題に向けて、日立ソリューションズが提唱しているのがSIEMやSOARのアプローチだ。

 SIEMはシステムやネットワーク機器、セキュリティ機器から集められたログ・イベント情報を分析し、サイバー攻撃などのセキュリティインシデントを検知するもの。一方のSOARは定型的な業務を肩代わりすることで、インシデントの早期対処やセキュリティ運用を自動化するとともに、作業品質の底上げ・属人性の排除を実現する仕組みである。

 「SIEMとSOARを連携させれば、監視・分析、脅威検知、脅威に対する初動対応を自動化することができます」と扇氏は語る。

 例えばSIEMがサンドボックス上で不審なメールの添付ファイルを発見した場合、その後のメール受信ユーザーの特定、誤検知かどうかの判断、ほかの環境に同じファイルがないかの確認、マルウエアが見つかったデバイスの隔離といった一次対処をSOARにより自動化できるという。  ただし一方で扇氏は、「SOARでできるのは、あくまでも定型業務の自動化であり、それを超える業務は人に頼る必要があります」と念を押す。

 要するに、人間とSOARのバランスのとれた“作業分担”の在り方を模索していく必要があるわけだ。「例えば夜間や休日などは定型業務に絞り込んで対応を自動化します。そのぶん平日昼間はシステム管理者がSIEMから受け取った脅威情報を詳しく分析し、本格的なリスク調査や恒久的対応の検討を行うなど、自動化と上手く付き合っていくことが肝要です」と扇氏は説く。

 このように境界に頼らないクラウドを中心としたセキュリティ対策は、一足飛びに確立することはできない。そこで日立ソリューションズは単にセキュリティ対策製品の提供にとどまらず、セキュリティ体制の設計から構築、運用にいたるまで一気通貫でカバーするソリューションやコンサルティングを提供。真のゼロトラストセキュリティを実現しようとする企業の取り組みをトータルに支えていく考えだ。
情報セキュリティ戦略セミナー 2021 ニューノーマル時代の
サイバーセキュリティ対策
Review
TOPへ
お問い合わせ
株式会社日立ソリューションズ URL:https://www.hitachi-solutions.co.jp/cgi-bin/form/security/contact/