セキュリティソリューションマップ2019――新しい環境に適した新しいセキュリティ製品の在り方とは
サイバー攻撃の拡大はとどまるところを知りません。働き方改革の広がりを支える「モバイルデバイス」や「Wi-Fi」は、デスクトップPCや有線ネットワークと比べて、セキュリティ対策が甘い場合も少なくありません。本特集では、企業のセキュリティ担当者やシステム管理者の方々に向け、モバイルを中心としたさまざまな「セキュリティソリューション」の最新動向を紹介します。
セキュリティソリューションの動向に影響を与える要因は大きく2つ挙げられるだろう。
一つは脅威の変遷だ。数年前に日本で複数の組織、企業が被害に遭った標的型攻撃は、未知の脅威に対する備えとともに、「侵入は起こり得る」ことを前提とした検知、対応が注目されるきっかけとなった。また、2017年に猛威を振るったランサムウェアの登場により、資産管理や脆弱(ぜいじゃく)性管理といった基本的な対策の重要性にあらためて目が向けられることになった。
もう一つ、セキュリティソリューションの在り方に影響を与えているのは、デジタルトランスフォーメーション(DX)の進展だ。モバイルデバイスやクラウドの登場はビジネスの在り方だけではなく、セキュリティ対策にも変化を与えている。システムがオンプレミスに閉じていることを前提に外部との境目、境界を守る従来の対策だけでは、新しいデジタルワークスタイルに追い付けないことが明らかになり、新しい環境に合致したソリューションが求められ始めている。
新しい働き方を前提とした新しいセキュリティ
昨今、日本でしばしば目にするキーワードが「働き方改革」だ。自宅のPCやモバイルデバイスからクラウドサービスにアクセスし、時間や場所を問わず仕事ができる環境を整えることで、効率を高め、また従業員一人一人の事情に合った柔軟な働き方を実現しようというものだ。それも、メールやスケジューラーのチェック程度にとどまらず、クラウドサービスを活用して顧客対応や資料作成を行ったり、チャットやテレビ会議を組み合わせて異なる拠点にいる従業員同士で打ち合わせを行ったりと、より深いレベルで業務活用が進んでいる。
ただ、そこで課題となるのがセキュリティの確保だ。IT部門が統制を効かせ、エンドポイントや境界部分でマルウェア対策やフィルタリングといった対策を実施できたオンプレミス環境とは異なり、統一された対策を実施するのが困難だ。そもそも、誰が、どのデバイスから、どんなネットワーク経由でクラウドを利用しているかの把握すら難しいケースも多く、見えないリスクが増大することになる。
かといって、こうした便利な環境の利用を禁じても時間や労力のロスにつながり、ひいては企業の競争力を削ぐだけだろう。従業員の視点から見ても、日常生活で一歩先にデジタル化が進んでいる以上、「なぜ、普段できていることができないのか」と不満につながり、IT部門に断りなくクラウドサービスを利用する「シャドーIT」の増加につながる可能性もある。
そこで今、新しい技術を生かし、DXの進展を妨げない形でセキュリティを担保するソリューションに注目が集まっている。幾つか紹介しよう。
一元管理だけではなく保護も求められるモバイル端末
これまでも、会社支給のスマートフォンやタブレット端末を保護するため、MDM(モバイルデバイス管理)、EMM(エンタープライズモバイル管理)といったソリューションが提供されてきた。誰がどの端末を利用しているか、その上でどんなアプリケーションが動作しているかを一元把握するとともに、モバイルデバイスにとって大きなリスクである紛失、盗難時に備え、リモートからのロック/ワイプ(データ消去)機能を提供する製品群だ。
ただ、最近ではモバイルデバイスそのものに感染し、不正操作や情報窃取を行うマルウェアやサイバー攻撃も無視できない。
こうした背景を踏まえて登場してきたのが、脅威からの防御に力点を置いた「モバイル脅威防御」(MTD)と呼ばれる製品群だ。PCでもそうだが、近年はシグネチャに基づく対策では脅威のスピードに追い付けず、また端末に与える負担が大きいことが課題となっている。そこで、端末そのものの振る舞いを監視したり、機械学習技術を活用したりして、リソースを大幅に消費することなく脅威を検出し、さらにMDM/EMMと連携したり、「VMware AirWatch」のような仮想デスクトップ製品と連携したりすることが可能なものも登場している。
| 主な製品/ベンダー名 | URL |
|---|---|
| Check Point SandBlast Mobile | http://www.checkpoint.co.jp/products/sandblast-mobile/ |
| Symantec Endpoint Protection Mobile | https://www.symantec.com/ja/jp/products/endpoint-protection-mobile |
| Zimperium Mobile IPS(zIPS) | https://www.softbank.jp/biz/cloud/saas/zimperium/ |
| MobileIron Threat Defense | https://www.mobileiron.com/ja/endpoint-security/threat-defense |
他にもESET、Kaspersky Lab、McAfee、Sophosなど、PC向けのエンドポイントセキュリティ製品を提供してきたベンダーの多くが、モバイルデバイス向けにも製品を提供している。
クラウド利用状況の可視化と制御を
日本でも数年前までは、「クラウドを仕事で使うなんてセキュリティが心配だ」という声をよく耳にした。だが、コストパフォーマンスの良さや利便性の高さが認識されるにつれ、Office 365やAmazon Web Services(AWS)に代表されるクラウドサービスが当たり前のように利用されるようになっている。
必要なときに柔軟に使えるのがクラウドの良いところだ。問題は、その特徴故に利用状況が不透明になりがちなことだ。IT部門のあずかり知らぬところで使われる「シャドーIT」が増加し、従業員がどんなクラウドを利用し、そこにどんなデータをアップロードしているかといった事柄が把握できない不透明な状態が続いていては、ある日突然、「自社の情報がクラウド経由で公表されているけれど、大丈夫か」といった通知を受けてうろたえることになりかねない。
そこでまず確認したいのは、AWSやMicrosoft Azure、Google Cloud Platformといったクラウドサービス自身が提供しているログや利用状況の可視化機能だ。まずはこれらを積極的に活用したい。ただ、マルチクラウド環境の場合は、異なるクラウドをまたいだ橋渡しやポリシー、管理の一元化が課題になる。
そこを受けてこの数年広がっているのが、「CASB」(Cloud Access Security Broker)と呼ばれるソリューションだ。CASBの主な機能の一つは「可視化」だ。どのユーザーがどんなクラウドサービスを利用しているかを明らかにする。その上で認証を行い、既存のセキュリティポリシーと照らし合わせながら「このユーザーにはこのクラウドサービス利用を許可する」といった具合にきめ細かくアクセス制御を行ってポリシーを適用していく。これによってオンプレミスのシステムだけでなくクラウドサービスに対しても、「誰が、何を、どのように利用すべきか」をコントロールし、機密情報が不用意にクラウドに送信される事態を防いでいく。
製品の中には、データの暗号化を行ったり、利用するクラウドサービスのセキュリティ水準を判断するなど、インテリジェンスとして提供したりするものも登場している。
| 主な製品/ベンダー名 | URL |
|---|---|
| Cisco CloudLock | https://www.cisco.com/c/ja_jp/products/security/cloudlock/index.html |
| Dome9 | https://www.softbank.jp/biz/cloud/saas/dome9/ |
| McAfee MVISION Cloud | https://www.mcafee.com/enterprise/ja-jp/products/mvision-cloud.html |
| Netskope Security Cloud | https://www.netskope.com/jp/ |
| Symantec CloudSOC Cloud Access Security Broker | https://www.symantec.com/ja/jp/products/cloud-application-security-cloudsoc |
また、NTTドコモがAWS向けに提供している「ScanMonster」のように、ベストプラクティスに基づいてクラウドサービス利用時の設定を確認し、不備があれば警告してくれるツールもある。クラウド利用に当たっては、コミュニティーや先行ユーザーのナレッジを積極的に活用することも検討したい。
潜伏中の脅威や対策の死角を洗い出す「スレットハンティング」「レッドチーム演習」
最近、実体をファイルとして書き込むのではなく、既存のWindows上のプロセスを乗っ取って感染活動を行う「ファイルレスマルウェア」の増加が指摘されている。こうした手法は、既存のセキュリティ対策では検出が困難だ。
またVerizon CommunicationsがまとめているDBIR(Data Breach Investigations Report:データ漏えい/侵害調査報告書)によると、企業システムが侵害を受けた場合、68%は発見されるまでに数カ月以上かかっているという。それだけの時間、脅威はシステム内に潜伏して情報を収集し、より高い権限を持つユーザーのクレデンシャル情報を取得し、侵害範囲を広げている。
そこで、脅威が防御の網の目をすり抜け、システム内に潜んでいることを前提に、能動的に「狩り」にいくサービスが登場してきた。それが「スレットハンティング」(脅威ハンティング)と呼ばれるサービスだ。
脅威が侵入し得ることを前提に、不審な兆候をいち早く見つけ出して対処する「EDR(Endpoint Detection and Response)」やログの統合解析を行う「SIEM(Security Information and Event Management)」の採用を検討する企業が増えている。スレットハンティングはそうしたツールを活用し、システム内部に潜んでいる脅威、あるいは脅威に利用される恐れのある脆弱な設定や隠れ端末などを見つけ出す。マネージドサービスやSOC(Security Operation Center)、あるいは世界的な攻撃の動向を反映した脅威インテリジェンスの情報と組み合わせ、ハンティングを実施するサービスも多い。
| 主な製品/ベンダー名 | URL |
|---|---|
| サイバーリーズン | https://www.cybereason.co.jp/blog/security/1709/ |
| セキュアワークス | https://www.secureworks.jp/capabilities/incident-response/incident-management/targeted-threat-hunting |
| ソフォス/APRESIA Systems/ディアイティ | https://www.sophos.com/ja-jp/press-office/press-releases/2019/01/apresia-systems.aspx |
| PwCサイバーサービス | https://www.pwc.com/jp/ja/services/cyber-security/threat-hunting.html |
| 東陽テクニカ TOYOサイバースレットハンティングサービス | https://toyo-slc.com/service/cyber-threat-hunting.html |
また、既存システムやアプリケーションのどこにどんな脆弱性があるかを洗い出す「脆弱性診断サービス」にとどまらず、徹底的に社内の弱点を調査したいと考える企業向けに「レッドチーム演習」を提供するセキュリティ企業も増えてきた。
脆弱性診断サービスは、ITシステムやネットワークを対象に脆弱性を検査するものだ。だがレッドチーム演習は、サイバー攻撃者の視点に立ち、物理的な侵入経路や人をだまして情報を聞き出すといった方法も含め、ありとあらゆる手段を用いて侵入が可能かどうかを試していく。時には社内に演習を行うことすら知らせず、抜き打ちで行うこともある。こうして、守る側であるブルーチームの「死角」はどこかを洗い出し、次の対策の検討につなげていく。
| 主なベンダー名 | URL |
|---|---|
| NRIセキュアテクノロジーズ レッドチームオペレーションサービス | https://www.nri-secure.co.jp/service/assessment/redteam_operation.html |
| エフセキュア | https://blog.f-secure.com/ja/f-secure-does-red-teaming/ |
| Cylance レッドチームサービス | https://www.cylance.com/ja_jp/services/left-structure-nav/consulting-by-practice-areas/red-team-services.html |
| SecureWorks Red Team テスト | https://www.secureworks.jp/capabilities/security-risk-consulting/real-world-testing/red-team-testing |
| FireEye レッドチーム攻撃診断 | https://www.fireeye.jp/services/red-team-assessments.html |
| PwCサイバーサービス レッドチーム演習 | https://www.pwc.com/jp/ja/services/cyber-security/red-team-exercises.html |
なお、サービスというわけではないが、シナリオに沿って対応手順を確認する、机上、実践含めた「サイバー演習」、社内のセキュリティ人材を発掘するための「CTF(Capture The Flag)」や「競技会」に取り組む企業や業界団体、官公庁が増えてきたこともここ1〜2年の特徴だろう。
ビジネス、開発を妨げないセキュリティ
技術を活用したDXに注目が集まっている理由の一つは、企業としての意思決定を早くし、より早く市場に製品やサービスを投入して勝ち抜いていくためだ。これに対してセキュリティ対策というものは一般に、「ここに問題があります」「このガイドラインをクリアしていなければリリースは許可できません」といった具合に、開発プロセスの後の段階で問題をチェックし、スピードを鈍らせる役割に陥りがちだった。
だがこれは開発側、セキュリティ担当者側、どちらにとっても幸福な状態とはいえない。そこで浮上してきたのが、開発プロセスにおいて、より前の段階からセキュリティを考慮し、設計に組み入れ、早期にテストを行うなどしてできるだけの対策を実施し、修正に要する工数とコストを削減すると同時にセキュリティも含めた品質を向上させていく「シフトレフト」や「DevSecOps」という考え方だ。
これは具体的なソリューションという形よりも、GitやJenkinsといった開発ツールと、IBM、Hewlett Packard Enterprise、Synopsysといった企業が提供するセキュリティ検査ツールとの連携によって実現し始めている。また、「Aqua Container Security Platform」のように、コンテナやサーバレスといった新しいトレンドに対応した形で脆弱性診断や監視を行う製品も登場している。
ユーザーに安心して製品やサービスを利用してもらうためにも、また自身が安心して仕事を進めていくためにもセキュリティは不可欠な要素だ。だがセキュリティを重視するあまり、ユーザーや開発者に不便さを強いてしまっては本末転倒であり、バランスが大事なことはたびたび指摘されている。DXがますます加速する中、効率性や使いやすさとセキュリティのバランスを取った取り組みがいっそう重視されることだろう。
Copyright © ITmedia, Inc. All Rights Reserved.