このページの本文へ移動

Bizナレッジ

ICTで経営課題の解決に役立つコラムを掲載

セキュリティー対策

どうする? 今年のセキュリティ対策

「予防」「発見」「治療」全ての感染対策を網羅! サイバーハイジーンとEDR一気通貫の重要性

転載元:ITmedia ビジネスオンライン
ITmedia ビジネスオンライン 2022年2月8日掲載記事より転載、本記事はITmedia ビジネスオンラインより許諾を得て掲載しています。

新型コロナウイルス感染拡大から、約2年が経過した。ポストコロナ時代に向け働き方の変革が求められている中、コミュニケーションを活性化する仕組みづくり、オフィスのアップデートなど、新しい働き方を実現するために企業がやるべきことは山積しているが、その中でも「緊急性は理解しているが何から始めればよいのか分からない」のがセキュリティ対策だ。今、企業が最優先するべき新しいセキュリティ対策の在り方とは?


 2021年11月、"最恐ウイルス"の異名をとるマルウェア「Emotet(エモテット)」の活動再開が話題となった。エモテットはメールを媒体とし、実在する相手を装う巧妙さ、感染力の強さから世界中で危険視され、19年前後に拡大・増勢。エモテットの被害拡大は、21年1月に国際専門機関によって沈静化されたといわれていたが、再び猛威を振るい始めた形だ。

 こういった情報セキュリティの話題は、今後、担当部門だけではなく経営者、各従業員が当事者意識を持って受け止める必要がある。なぜなら、コロナ感染拡大以降「オフィス内の情報を守っていれば安心」という常識は崩壊したからだ。

セキュリティ対策、なぜ「今まで通り」じゃダメなのか?

 21年は、継続的なコロナ対策に注力すると同時に、新しい働き方へ慣れてきた1年でもあった。各社が生産性を下げず、むしろ上げてポストコロナ時代に対応するべく、場所や時間に捉われず働く「ハイブリッドワーク」への注目度も増している。
そんな環境下で新たに課題となっているのが、各所に散らばった企業の情報資産をどうやって守るべきかというセキュリティの在り方である。

 NTTビジネスソリューションズで顧客のセキュリティ課題解決に取り組む森本信次氏は、「今までは、従業員も守るべき情報資産もオフィスの中にあるのが通常でした。そのため、社内ネットワークの出入り口をファイアウォールで閉ざして脅威から身を守れば安心、そのような考え方が一般的でした」と話し、次のように警鐘を鳴らす。

 「コロナ禍以降、従業員が散在して働くようになっただけではなく、昨今はクラウド利用も活発です。情報資産が境界線の外側に散らばった状況は、今後一般化していくでしょう。『従来の"境界防御"が機能しづらい』。このことを一刻も早く把握し、対策を打たなければ、情報漏えいのリスクは高まるばかりです」

knowledge_20220208_02.jpg

バリューデザイン部 コアソリューション部門 マネージドIT担当の森本信次氏。担当部長としてマネージドサービスの開発・運営を推進する

マルウェア感染――最大の要因は"不衛生"PCにアリ?

 いうまでもなく、セキュリティで重要なのは「マルウェア感染をどう防ぐか」だ。冒頭で触れたエモテット含め、マルウェアに感染すると情報漏えいだけではなく、気付かないうちに自社が他の組織に対する攻撃の"踏み台"にされる可能性もある(詳細はこちらも参照)。

 「代表的な感染原因は2つあります。1つ目は『罠にかかる』パターン。これには巧妙なウイルスメールに騙され、メッセージを開封する、添付ファイルを開くといった例が挙げられます。2つ目は『脆弱性の放置』です。OSやソフトが最新状態にアップデートされていないことで脆弱性に付け込まれ、感染に至ります。

 前者を防ぐためには、従業員のリテラシー教育や感染の検知・対応策が、後者を防ぐためにはOSやソフトを常に最新状態に保つことが必要です。万一、罠にかかってしまっても、OSやソフトの更新を怠らないだけで感染リスクを最小限に抑えられる可能性が高まるため、『脆弱性の放置』への対策は特に注力すべきだといえるでしょう」(森本氏)

 ハイブリッドワーク下では、散らばるPCのOSやソフトのアップデート管理は従業員任せにならざるを得ない。加えてカフェの公衆無線LANなど、無防備な外部ネットワークを使うことによる感染リスクも増している。「VPN接続をしているから安心」と考える人もいるかもしれないが、従来のセキュリティ対策を過信するのは危険だ。

 働き方が変わったことで、新たな局面を迎えている企業のセキュリティ対策。同社が推奨するのは、従業員のPCなど散在するエンドポイントのサイバーハイジーン(衛生管理)、そしてEDR※1(検知・対応)導入である。

  • ※1 「Endpoint Detection and Response」の略で、エンドポイントにおける脅威の不審な挙動を検知、対応する技術

「予防」と「発見」「治療」は二つで一つの感染対策

 サイバーハイジーンの「衛生管理」とは、コロナ対策でマスクやうがい、手洗いをする行為と似ている。

 MC-SOC ESP開発に携わった西尾雄介氏は、「サイバーハイジーンとEDRはよく比較されますが、前者は感染しないための『予防対策』、後者は感染することを前提とした『発見・治療対策』に当たるものです。マスク(サイバーハイジーン)で予防をしていても、ウイルスに感染する可能性はあります。感染の疑いがあるなら検査・検知・治療(EDR)が必要になります。セキュリティ対策においては、どちらも重要です」と話す。

 感染しないために、脆弱性があればパッチを当てて対応する。これは以前からある基本的なサイバーハイジーンだ。しかし、西尾氏がいうように「予防をしていても、ウイルスに感染する可能性はある」。

 サイバーハイジーンで感染予防を徹底しつつ、一方で感染することを前提に"その後"のEDR対策も視野に入れる。これは最近、必要性が叫ばれているゼロトラストの「全てを信用しない」という考え方に基づくセキュリティ対策だ。同社では、そんなゼロトラストセキュリティを「MC-SOC ESP」で支援するという。

knowledge_20220208_03.jpg

カスタマーサクセス部 バリューコンサルティング部門 マネージドオペレーション担当の西尾雄介氏。MC-SOC ESP(プレミアムプラン)の開発に携わり、セキュリティ知識に精通する

サイバーハイジーン、EDRを一気通貫で! MC-SOC ESPとは?

 MC-SOC ESPには、エンドポイントの可視化「ビジュアライゼーション」、パッチ適用やソフト配信「デプロイメント」、そしてインシデントの検知・対応「ディテクション&レスポンス」と主に3つの機能がある。

企業内のPCを可視化 不衛生PCを洗い出す

 ビジュアライゼーションとデプロイメントを担うのは、サイバーハイジーン領域で業界を牽引(けんいん)するタニウム社の技術だ。まずビジュアライゼーションでは、管理したいエンドポイント内にエージェントソフト(以下、エージェント)をインストールしておくことで、PCの状態を可視化する。具体的には、以下のような統計情報をダッシュボード上で把握できるようになるという。

  • 管理PC台数(エージェントが導入されているPCの台数)
  • セキュリティパッチの適用状況
  • オンラインPC台数(社内・外部ネットワーク経由の割合)
  • 非管理PCの台数、内訳 など

knowledge_20220208_04.jpg

MC-SOC ESPのダッシュボード画面。デフォルトではやや玄人向けのUIを、Splunk社のインテリジェント分析ツールと連携させることで「見やすいデザイン」に変更しているという。これもMC-SOC ESP独自の特長だ

 エージェントを導入していない「非管理PC」は、IPアドレスなどを検索キーとして検出できるが、これについてMC-SOC ESPの営業担当である中島千晶氏は「社内で管理できていないPCを『シャドーIT』と呼びます。インシデントの原因は、多くの場合このシャドーITにあるといわれていますが、これらを把握できていない企業は少なくありません」と指摘する。

 例えば、経営者が「うちには1000台のPCしかない」と思っていても、部門ごとに買い足していたり、従業員の独断で自宅PCを使っていたりすることもある。すると、実際には1000+200台のPCに情報資産が入っており、200台はシャドーITという状態もあり得るのだ。シャドーITは非管理なのでOSが古い、パッチが適用されていないといった"不衛生"な状態のまま使い続けることになり、いずれ感染源となって社内にウイルスを広める元凶に――こういった例は、実は珍しくないという。

 MC-SOC ESPでは、シャドーITや脆弱性が放置されているPCを発見後、エージェントを導入しパッチ適用のステップに進むが、その「パッチ適用」を担うのがデプロイメントである。西尾氏は、「脆弱性を補うためのパッチやソフトの配信・適用は、手動で行う必要はありません。事前に『どのようなポリシーで実行するか』を決めておけば、マネージドサービスとしてわれわれが実行するため、情報セキュリティ管理者の負担も軽減できます」と話す。

低負荷で素早くパッチを適用「リニアチェーン」技術

 MC-SOC ESPで提供するタニウム社のサイバーハイジーン技術、その特長として「リニアチェーンアーキテクチャ」にも触れておきたい。

 リニアチェーンは、エージェントを導入したPC同士が「LANでチェーン状に」つながっている状態を指す。これにより、「MC-SOC ESPの管理サーバと直接つながっているPCの内1台にパッチ配信を行うことで、チェーン状につながった他のPCにもLAN内でリレー配信を行える」(西尾氏)のだという。

knowledge_20220208_05.jpg

リニアチェーンは、タニウム社の特許技術「タニウムプロトコル」をもとに生成されている。図のように、エージェントを導入したPCがチェーン状につながり合っている

 リニアチェーンの利点は主に2つ。1対Nの形でサーバとPCがつながる通信方法と比較して、サーバと接続するPCを限定することでネットワーク負荷(トラフィック)を軽減できること。そして、結果的にパッチ配信・適用スピードが減速しないことだ。

 同じ社内ネットワーク(LAN)上にいなければリニアチェーンは組めないため、例えば1000人中100人がリモートワークなら、900人でリニアチェーンを組み※2、残り100人は1対Nの形でサーバと接続することになる※3。しかし、1000人全員のPCが個別にサーバと接続するより、はるかにネットワーク負荷が抑えられることはいうまでもない。当然、社内外でサイバーハイジーン環境に差が出ることもないという。

  • ※2 リニアチェーンを組める最大PC台数は100台まで。そのため、900人(台)の場合は9つのリニアチェーンが生成されることになる
  • ※3 外部ネットワークとの接続にはオプション料金が必要

MC-SOC ESPの真骨頂 「MC-SOC」に運用を任せて安心

 ビジュアライゼーションとデプロイメントがサイバーハイジーン領域なら、ディテクション&レスポンスはEDR領域になるが、ここで活躍するのがNTTビジネスソリューションズのシステムとセキュリティ監視運用センター「MC-SOC」である。MC-SOCは、MC-SOC ESPにおけるサイバーハイジーン領域のマネージドサービスも一手に引き受ける、いわばセキュリティのプロ集団ともいえる存在だ。

 そもそもMC-SOC ESPは、タニウム社の技術とNTTビジネスソリューションズのMC-SOCが持つノウハウが融合したソリューション。これは「他社にはない優位性である」と、中島氏は胸を張る。

 「サイバーハイジーンは以前より、IT資産管理の分野で多数のソリューションが存在していました。しかし昨今では、ゼロトラストセキュリティを実現するため、EDR需要が増しています。そんな中で、サイバーハイジーンとEDR、どちらか片方にしか対応できていないという企業は多く、また両方に対応したくても扱うセキュリティ製品が増えることで管理負担が大きくなることを懸念するケースも多々あります。

 サイバーハイジーンで感染を予防しつつ、同時にインシデントの検知から隔離といったEDR対応をリアルタイムに近いスピード感で実現できる――これを一気通貫でまかなえる点が、実際に多くのお客さまに評価していただいているMC-SOC ESPの魅力です」(中島氏)

knowledge_20220208_06.jpg

バリューデザイン部 コアソリューション部門 マネージドIT担当の中島千晶氏。セキュリティサービスの販売・コンサルティングのほか、ユーザーの運用改善コンサルティングも担う

 なお、MC-SOC ESPには、ビジュアライゼーションのみ利用できるベーシックプラン、デプロイメントも含めたアドバンスプラン、そしてディテクション&レスポンスまで全て利用できるプレミアムプランが用意されている。つまり、サイバーハイジーンのみの利用も可能だが、そのためにはEDR対応を自社で実現できるだけの体力が必要だ。

 MC-SOCは24時間365日体制で、企業に代わって万一に備えてくれる、手厚いサポート体制が魅力の一つ。アウトソーシングすることで、初動スピードも対応の確実性も各段に向上することは明白だろう。

 西尾氏は「例えばインシデントが発生した際、もしそれが事前に取り決めたポリシーに当てはまる内容であればMC-SOCで自動対応をし、お客さまに事後報告を行います。また、デフォルトのアクションも決められているので、既知だけではなく未知の脅威であっても都度お客さまに確認の手間を取っていただくことなく対応できます。もちろん、事前に取り決めたポリシー以外のことが発生した場合でも、速やかに対応できる体制を整えているので、安心してお任せいただけます」と話す。

 具体的な対応策としては、エンドポイントの論理隔離のほか「証跡を保存」といったアクションも実行可能だという。これにより、どんな脅威が原因で何が起きたのか分析できるため、セキュリティガバナンス強化にも役立てられる。

 「ゼロトラストを自社だけで実現するには実に多くのソリューションと、それを扱えるだけのリソースが必要になります」。西尾氏はそう話し、「まずは、アウトソーシングまで含めたMC-SOC ESP(プレミアムプラン)を次世代セキュリティの基盤を固めるファーストステップにしていただけたら」と、笑顔を見せる。

難しく考えないセキュリティ対策 まずは基本のステップから

 時代とともに、脅威の数や種類、また攻撃手段が変化する中で、企業もまた「ファイアウォールで壁を作り、EPP(ウイルス対策ソフト)で身を守る」だけのセキュリティ対策から前進しなければならない。とはいえ「難しく考える必要はない」と、森本氏はいう。まず一番簡単な部分、脆弱性があればパッチで防いで予防するというサイバーハイジーンを怠らない。誤解を恐れずにいえば、これだけでも大半のセキュリティ事故発生は防ぐことができるはずだ。

knowledge_20220208_07.jpg

 「もし事故が起こっても、高度なセキュリティ知識、スキルを要する処理はわれわれのような外部の専門家にお任せいただくことで、被害を最小限に抑えられる体制を整えられます。働く環境がどう変化しても、大きな負荷をかけず、多大なリソースも割かず、安心して働ける――MC-SOC ESPを通し、そんな環境を多くのお客さまにご提供できればと考えています」(森本氏)

 感染対策には欠かせない、「予防」、そして「発見」「治療」。変わり続ける働き方に備えて、MC-SOC ESPで"できることから着実に"、22年のセキュリティ対策を刷新してみてはいかがだろうか。

関連リンク

ITメディア
https://www.itmedia.co.jp/business/articles/2201/31/news002.html

MC-SOC
https://www.nttbizsol.jp/service/operation/

端末管理セキュリティー「MC-SOC ESP」
https://www.nttbizsol.jp/service/operation-esp/index.html

2022年2月22日 タニウム社とのオンラインセミナーを共同開催!
「あなたの会社は大丈夫?3割の端末が危険に晒されている現状」
https://www.nttbizsol.jp/event/202202081000000512.html

あわせて読みたいナレッジ

関連製品