サイバーレジリエンスを
エンドポイント管理で実現
サイバー攻撃を受けた際の影響を最小化し、迅速な復旧を目指す「サイバーレジリエンス」が注目されています。このサイバーレジリエンスを実現するには、どうすればいいのでしょうか。
インシデント増加中!「防ぐ」のではなく「サイバーレジリエンス」での対処法が重要
サイバー攻撃へのセキュリティ対策は、これまで「防ぐ」ことに主眼が置かれていた。マルウェアの感染や組織内への侵入を防ぐ、あるいは脆弱性を解消するためのパッチをいち早く適用し、サーバーへの不正アクセスを防ぐといった形である。
しかしながらサイバー攻撃が激化している現状を考えると、単に防ぐだけではなく、マルウェアの感染やサーバーへの不正アクセスを防げなかった場合も想定し、組織に侵入されることを前提としたセキュリティ対策に取り組むことも重要だろう。
JPCERTコーディネーションセンター(JPCERT/CC)は、「インシデント報告対応レポート」(2021年1月)において、2020年のインシデント報告件数の推移を発表。2020年後半から右肩上がりに増加し、9月をピークに一旦下降したものの、12月に再び増加している。企業の多くは基本的なセキュリティ対策を行っているであろうことを考えると、侵入を前提としたセキュリティ対策の重要性が理解できるのではないだろうか。
それには、セキュリティ対策に何をプラスすればよいのだろうか。これを考える際のキーワードとなるのが「サイバーレジリエンス」である。
レジリエンスは「弾力」や「回復力」、「復元力」などを意味する言葉である。サイバーセキュリティの世界では、攻撃の影響を最小限に留めつつ、迅速に元の状態に回復、復元することを指す。
防ぐことに重点を置いた従来のセキュリティ対策に、サイバーレジリエンスを高める仕組みを組み合わせれば、仮にサイバー攻撃を受けてしまっても、その被害を最小化することができる。サイバー攻撃が進化し、完全に防ぐことは困難な現状を考えると、サイバーレジリエンスは極めて重要な概念であると言えるだろう。
このサイバーレジリエンスと同様に、新たなセキュリティ対策の考え方として広まっているのが「ゼロトラストセキュリティ」である。これは組織の内側と外側(インターネット)に分けてセキュリティを考えるのではなく、すべての通信に対して認証や認可、あるいは暗号化を行うことでセキュリティ対策を強化するという考え方である。
このゼロトラストセキュリティはサイバー攻撃を防ぐことに主眼を置いたセキュリティモデルであり、サイバーレジリエンスと対立する概念ではない。これからセキュリティの強化を考えるのであれば、両方を意識して進めていくべきだろう。
サイバーレジリエンス向上のためのアクションとは
それでは、サイバーレジリエンスの向上のために何をすべきなのだろうか。これにはいくつかの観点があるが、まず意識したいのは現状の把握と迅速なサイバー攻撃の検知である。
たとえばマルウェアに感染したPCが組織内で放置されていれば、そのPCを踏み台としてほかのPCやサーバーに不正アクセスされる恐れがある。しかし、その時々の状況を適切に把握し、早急にマルウェア感染を検知することができれば、被害が拡大してしまうことを防げる。
サイバー攻撃を受けた際に、どのように対処するかをあらかじめ想定しておくことも重要だ。場当たり的な対応では、必要なアクションを適切なタイミングで実施することができず、被害の拡大を招きかねない。
このサイバー攻撃の検知や対処のための組織として、多くの企業で設立されているのが「CSIRT」(Computer Security Incident Response Team)である。
具体的なCSIRTの役割としては、IT環境の監視やサイバー攻撃の検知、攻撃を受けた際の調査や復旧作業などが挙げられる。とはいえ、これらの業務には高いレベルの専門知識が求められるため、すべてを自社で対応することは困難だ。そこでポイントとなるのがセキュリティソリューションやサービスの活用である。
「可視化」と「検知」でレジリエンスを高める
サイバーレジリエンスを高めるためのソリューションとして、積極的に導入を検討したいのがエンドポイントマネジメントである。組織内にあるクライアントPCやサーバーなどといったエンドポイントを適切に管理することができれば、インシデントの早期発見や迅速な調査につながる。
このエンドポイントマネジメントのためのプラットフォームとして、多くの大企業で使われているのが「Tanium(タニウム)」である。グローバル全体のエンドポイントの資産管理や状態管理を一括して行うことが可能であり、パッチ未適用の端末を即座に洗い出すといった機能も備えている。
さらに迅速なインシデントの検知を可能にするソリューションとしては、「AIアノマリー検知」が挙げられる。これは平時の組織内の通信について機械学習を用いて学習し、異常な通信を検知した際に警告を行うソリューションである。これを利用すれば、組織内に侵入したマルウェアによる通信などを素早く捕捉することが可能となり、インシデントが拡大する前に対策を講じることができる。
また昨今では多くのシステムがクラウド化されているため、クラウド環境にも監視の目を拡げるべきだろう。昨今はクラウドを監視するためのマネジメントサービスがあり、サイバーレジリエンスの向上に活用できる。
なおNTT Comでは、Taniumを用いたエンドポイント管理やAIアノマリー検知を実現するためのソリューション、さらにはクラウド監視のための「マルチクラウドマネジメント」を提供している。現状のセキュリティ対策に不安が残る、あるいはサイバーレジリエンスを高めたいと考えているのであれば、これらソリューションの導入を検討したい。