コロナ禍に付け入るサイバー攻撃が急増

今考えるべき事業継続と

セキュリティ対策

Review

　セキュリティ対策の新たなキーワードとして注目が高まっているのが「ゼロトラスト」だ。文字通り、システムにアクセスするすべてのアクセスを「信頼せず」、いわば「性悪説」を前提にセキュリティモデルを構築すべきという考え方である。

　昨今、普及した在宅勤務を例にしてみる。VPNに代表されるように従業員がリモートから企業内のアプリケーションやデータにアクセスする際、それが許可されていない端末やユーザーIDだった場合、通常は境界防御型のセキュリティ対策によって排除されることになる。

　しかし、端末の紛失やIDの盗用などによって、攻撃者が従業員になりすましていたとする。従来の仕組みでは、このアクセスを不正と見抜くのは不可能に近く、企業は攻撃者の侵入を許すことになる。

　「性善説が崩され、侵入を許可されたユーザーIDを利用していますから、マルウエアに感染させたり、情報を持ち出したりすることも容易です」とSplunk Services Japanの矢崎 誠二氏は指摘する。

　これに対しゼロトラストのセキュリティモデルは、基本的にすべてを疑う。

　具体的には、ユーザー、アプリケーション、デバイスからの要求を、常にトラストエンジンでリスク分析し、リスクスコアが低いと判断したアクセスのみを許すのである。

　ゼロトラストを実装するには、7つの主要な領域がある。「データ」「ネットワーク」「ピープル（人）」「ワークロードとアプリ」「デバイス」「可視性と分析」「SOAR（Security Orchestration and Automated Response）」である。このうち、可視性と分析およびSOARの部分の基盤を提供しているのがSplunkである。

　まず、可視性と分析の領域を担うのが「Splunk Enterprise Security」である。

　Splunk Enterprise Securityは、「データ」「ID」「デバイス」「ネットワーク」「ワークロード」という制御すべき5つの領域について、あらゆるマシンデータを収集・保管し、収集したデータの検索や加工を行う。加工した情報を可視化し、しきい値や、機械学習を利用してアラートを発報するといった機能を有している。

　一方、SOARとして提供されているのが「Splunk Phantom」だ。

　こちらは「観察（Observe）」「状況判断（Orient）」「意思決定（Decision Making）」「行動（Acting）」からなる、いわゆる「OODAループ」の高速化による高度なセキュリティ運用を実現することができる。

　「こうした仕組みを導入して、個々の作業のオーケストレーションにより自動化することで、これまで非常に時間のかかっていたセキュリティオペレーションを劇的に省力化することが可能。Tire1（監視）の作業を90％程度削減することに成功したというお客様も多くいらっしゃいます」と矢崎氏は語る。

　新たに提唱され始めた考え方であるから、ゼロトラストのアーキテクチャを実装するアプローチについては様々な考え方があるが、基本的には「対象領域の決定」を行い、「ポリシー設計」を行って、「ゼロトラストの実現」をしていくというス3つのステップとなる。Splunkではこれらの各ステップに対し有効な機能を提供。ゼロトラスの実装を強力に支援している。

　ゼロトラストのモデルを採用した新時代のセキュリティ対策の採用が、企業に強く求められる中、Splunkに対する期待も大いに高まっている。