サイバーハイジーンは
エンドポイント管理の新たなトレンドとなる

クライアントPCのセキュリティ強化の手法として注目されている「サイバーハイジーン」。組織内の全端末をリアルタイムに把握し、継続的に脆弱性の可視化と対処を行うという注目の手法によるエンドポイント管理は、どのように行うのでしょうか。

サイバーハイジーンはエンドポイント管理の新たなトレンドとなる:クライアントPCのセキュリティ強化の手法として注目されている「サイバーハイジーン」。組織内の全端末をリアルタイムに把握し、継続的に脆弱性の可視化と対処を行うという注目の手法によるエンドポイント管理は、どのように行うのでしょうか。

放置された脆弱性は狙われる、対策として注目されたサイバーハイジーン

クライアントPCやサーバーなど、企業IT環境のエンドポイントにおける新たなトレンドとして、サイバーハイジーン(IT衛生管理、ITハイジーンやセキュリティハイジーンとも呼ばれる)の考え方が浸透しつつある。その背景にあるのは、多くのサイバー攻撃がOSやアプリケーションなどの脆弱性を狙って行われているという事実である。

たとえば警察庁では、情報提供を目的としたWebサイト「@Police」において、「Microsoft SMBv3の脆弱性に関するアクセスの観測等について」と題した文書を公表している。2020年3月、そして2020年6月に相次いでファイル共有に使われるプロトコルである「Microsoft Server Message Block 3.1.1(SMBv3)」の脆弱性が公表されたことで、SMBv2以降のバージョンを確認しているとみられるアクセス件数が増加していると、注意を促している。

バージョン確認を行うのは、脆弱性を含むバージョンが使われているかどうかを確認するためである。つまりサイバー攻撃を行うための“事前調査”として、攻撃者は脆弱性の有無を調べているわけだ。当然、脆弱性を放置していることが相手に知られてしまえば、サイバー攻撃の餌食になりかねない。

◇SMBv2以降のバージョンを確認しているとみられるアクセス件数の推移(R2.3.10~R2.7.10)

画像:SMBv2以降のバージョンを確認しているとみられるアクセス件数の推移

出典:「Microsoft SMBv3の脆弱性に関するアクセスの観測等について」(警察庁) [PDF p.1]

サイバーハイジーンで脆弱性を狙った攻撃のリスクを低減する

このような脆弱性を利用したサイバー攻撃を防ぐ上で、もっとも重要になるのはパッチや修正プログラムの適用による脆弱性の解消である。このパッチや修正プログラムで迅速に脆弱性を解消し続け、OSやアプリケーションを最新の状態に保っていれば、脆弱性を狙ったサイバー攻撃を受けるリスクを大幅に低減できる。

サイバー攻撃に対するこのような考え方は、マスクをしたり手洗いを徹底したりすることで衛生状態を保ち、新型コロナウイルス(COVID-19)やインフルエンザの感染を予防する、衛生管理の考え方に似ているだろう。サイバーハイジーンは、この医療における予防と同様に、パッチの適用、あるいはエンドポイントの状態の定常的な把握により、サイバー攻撃を“予防”するという考え方である。

このサイバーハイジーンを実現するうえで、欠かせないのがエンドポイントの状態の把握だ。特に昨今ではゼロデイ攻撃といわれるように脆弱性が発見されてから、その脆弱性を狙ったサイバー攻撃を行う間隔が短くなっているため、脆弱性を放置すればそれだけサイバー攻撃を受けるリスクが高まる。そこでエンドポイントの状態を把握し、脆弱性が残っている端末をいち早く見つけてパッチの適用を促す必要がある。

もちろん、こうしたサイバーハイジーンは組織内のエンドポイントすべてを対象として網羅的に行う必要がある。特にグローバルに事業を展開している企業であれば、海外拠点まで含めてエンドポイントを適切に管理するための環境を整えたい。海外拠点のPCやサーバーに残った脆弱性が狙われ、それを踏み台として国内拠点に侵入されるといったシナリオも考えられるためである。

IT部門で把握していない、いわゆる“野良PC”や“野良サーバー”の把握も重要である。こうしたPCやサーバーは適切にパッチが適用されていない可能性が高いため、迅速に把握してIT部門の管理下に置くことが求められるところだ。

サイバーハイジーンで求められるエンドポイント管理の要件とは

このようなサイバーハイジーンを実現するためには、エンドポイントの状態や状況をリアルタイムに把握できる必要がある。ここで特にポイントとなるのは、グローバルへの対応とリアルタイム性だ。

エンドポイントの状況を把握するためのツールとして、すでに多くの企業で導入されているのがエンドポイント管理ツールなどと呼ばれているソリューションである。ただし対応しているのが国内のみで、グローバルでは利用できないといったソリューションが存在するのも事実だ。

またエンドポイント管理ツールは使っているが、OSのバージョンやパッチ適用の有無といった情報の収集に時間がかかる場合にも注意が必要だ。特にエンドポイントにインストールしたエージェントが定期的にサーバーに情報を送信し、その内容をデータベースに記録して参照するといったソリューションの場合、リアルタイムに状況を把握することができない。

こうした課題を解決し、サイバーハイジーンを実現するマネジメントプラットフォームとして注目されているのが「Tanium(タニウム)」である。適切に環境を構築することにより、グローバル全体のエンドポイントを可視化することが可能なうえ、多数のエンドポイントの状況をほぼリアルタイムで把握できる。また野良PCや野良サーバーを検知し、エージェントをサイレントインストールする仕組みも備えているのもポイントだ。

「リニアチェーン・アーキテクチャ」により、大きなパッチを迅速に各エンドポイントに配信できることも大きな魅力だろう。特にWindows 10では巨大な更新プログラムが配信されることがあり、それをどのように各エンドポイントへ配信し、確実に適用されたことを確認するかで頭を悩ませている企業は多い。しかしリニアチェーン・アーキテクチャを備えるTaniumであれば、企業のITインフラの負担を抑え、更新プログラムを効率的に配信し、状況を可視化できる。

サイバーハイジーンに取り組み、サイバー攻撃のリスクを低減することを考える上で、インフラ上で使われているエンドポイントの可視化は重要な要素だ。そのための仕組みとして、現状のエンドポイント管理ツールが十分な機能を備えているのか、あらためて見直すべきではないだろうか。

コラム一覧へ

このページのトップへ