Sky

個々のデバイスの利用状況を可視化し
ゼロトラストセキュリティの具現化を支援

既存のセキュリティ対策が限界を迎えている。テレワークやクラウドサービスの普及、次々登場する新手のサイバー攻撃など、ビジネスを取り巻く状況が大きく変わる中で、従来の「境界型防御」ではセキュリティ対策としての有効性が低下しているのだ。新たなアプローチである「ゼロトラストセキュリティ」を実現する上で重要な点の1つになるのが、個々のデバイスを可視化することである。「SKYSEA Client View」を軸としたセキュリティ対策について紹介する。

「すべてを信用しない」セキュリティが
新たな常識に

 企業活動そのものを脅かす重大な脅威となったサイバー攻撃。ランサムウエアはその筆頭といえるだろう。PC内のデータを勝手に暗号化して使えなくし、復号と引き換えに身代金を要求する。

 また最近は、暗号化をする前にデータを盗み出し、「データを闇サイトなどで公開する」と脅す二重脅迫型の手口も増えている。仮に手元のバックアップからデータは復旧できても、窃取されたデータが公開・販売されてしまうリスクが残る。実際、多額の金銭被害を受けた企業が国内でも複数発生している。

 なぜこのような被害が後を絶たないのか。要因の1つが、近年のビジネスを取り巻くIT環境の大きな変化である。クラウドサービスの利用が広がり、テレワークがニューノーマルな働き方として定着。ITシステムやデータを外部と連携させたり、組織外から組織内システムに接続したりするケースが急増しているのだ。

 これまで企業は、企業ネットワークの内と外を区別し、外からの脅威の侵入を防ぐことに重きを置く「境界型防御」を対策の軸としてきた。一方、現在はテレワークによって社員の働く場所が多様化しており、内と外の区別があいまいになっている。境界型防御だけで、リスクを抑えることは困難だ。

 そこで、境界に依存しない新たな対策アプローチとして注目されるのが「ゼロトラストセキュリティ」である。あらゆるデバイス、ユーザー、通信、アプリケーション、ネットワークを監視し、すべてのアクセスに対して都度の認証・認可を実施する。これにより、働く場所や使うツールに依存しない、安全な業務環境を実現するものだ。

 認証・認可にはID/パスワードとデバイス種別、端末所持情報などを組み合わせた多要素認証を適用。また、一度認証が通っても、永続的にアクセスを許可するわけではない。例えば、ネットワークとアプリケーションへのアクセスはそれぞれ別で認証するといった方式を適用する。これにより万一、一部の対策を突破されても、攻撃者の行動を制限してリスクを抑えることが可能になる。

ゼロトラスト実現に向けた
4つのポイントとは

 このゼロトラストセキュリティの実現において重要なのが、エンドポイント対策の強化である。これまでクライアントPCを守っていた境界がなくなり、デバイスが直接インターネットへ接続する機会が増えるためだ。具体的な取り組みのポイントは4つある。

 1つ目が「デバイスの把握」。組織内の全デバイスのインベントリ情報やセキュリティ対策状況を収集し、現状のリスクを可視化する。ここでのポイントは、デバイス全台数を把握することだ。1台でも漏れがあると、そこが弱点になって脅威の侵入・拡散を許してしまう。

 2つ目が「脆弱性対策」だ。OSやアプリケーションを常に最新の状態に保ち、攻撃者に付け込まれないようにする。メーカーによって公開された修正プログラムは、なるべく早く適用することが肝心だ。

 3つ目は「エンドポイントのログ収集」である。マルウエアは長期にわたりシステム内に潜伏していることが多い。有事の際の調査・復旧、改善策の立案に向けて、「誰が、どのデバイスで、どんな操作を行ったか」に関するデバイスのログは年単位で収集・蓄積しておきたい。

 そして最後の4つ目が「EDR(Endpoint Detection and Response)製品の導入」である。被害を最小化するには、マルウエアの侵入をできるだけ早く検知することがカギになる。デバイス上のソフトウエアの挙動を解析し、不審な挙動から既知/未知の脅威を検知するEDRを利用することで、万一のマルウエア感染も早期に発見できるだろう。原因や被害の影響調査に役立てることも可能になる。

デバイスを統合的に可視化する
SKYSEA Client View

 こうした取り組みを支援する製品が、Skyが提供する「SKYSEA Client View」である(図1)。組織内に存在するWindowsやMacOSなどのデバイスのインベントリ情報を自動で収集し、一元的に可視化する。これにより、組織内の全デバイスの現状や問題点を効率的に把握・管理することが可能だ。  PCごとのアプリケーションの情報も自動で収集する。「指定したアプリケーションがどのPCにインストールされているか」「最新のセキュリティパッチが適用されているか」といった情報も、必要なときにいつでも確認できる。

 アプリケーションの脆弱性が見つかったら、それらをインストールしているPCに対し、セキュリティパッチや機能更新プログラムを配信する機能もある。この配信は、企業ごとの環境に合わせて柔軟に設定可能だ。例えば、「中継端末に一度キャッシュしてから配布させる」「帯域幅を制限してネットワーク負荷を軽減する」といったことが行える。特にファイルが大容量になりがちなWindows OSのアップデートにおいて、これらの機能が役に立つだろう。

 エンドポイントのログ情報は、ユーザーの操作、外部との通信、ファイルのアクセス状況など15種類を記録。データの保存期間は最大10年間と、長期保管のニーズにも応える。直感的な検索機能を有しており、膨大なログから必要な情報を抽出する作業が効率的に行える点も特長だ。

 EDR製品ともシームレスに連携できる。「SKYSEA Client View EDRプラスパック」は、次世代エンドポイントセキュリティ製品「FFRI yarai」との連携によって、「検知」「隔離」「調査」「修復」というEDRの各プロセスを支援するもの(図2)。攻撃への早期対処に加え、攻撃の全体像を可視化し、原因究明・影響範囲の特定などを迅速に行えるようなるだろう。  さらにSkyは、EDR活用で課題になりがちな運用面もサポートする。多くのアラートを確認し、リスクを判定して対応するには、専門的なノウハウや人的リソースが必要だ。自社での運用が困難な顧客に対し、パートナーとの連携に基づくSOC(Security Operation Center)サービスを提供。専門家集団が発報されたアラートを監視・調査し、攻撃の予兆を早期に発見・報告するという。

 これからのサイバー攻撃対策で不可欠になるゼロトラスト。その実現に向け、前提となるのが統合的なエンドポイントデバイスの可視化だ。これを支援するSkyのソリューションは、企業にとっての強力な武器になるだろう。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
Sky株式会社 SKYSEA Client View商品サイト内お問い合わせフォーム
URL:https://www.skyseaclientview.net/inquiry/