セキュリティ監視・運用・診断|知る×学ぶ
【前編】多様化するセキュリティソリューションの適切な選定・活用に向けたアプローチ
急速な勢いで進化を続けるサイバー攻撃。これに対抗するため、セキュリティソリューションも新たなカテゴリーが続々と登場し、多様化し続けています。これらを適切に選定・活用することは、強固なセキュリティを確保する上で必要不可欠だと言えるでしょう。ここでは、最新のセキュリティソリューションを俯瞰した上で、それらを選定・活用するにあたって直面する課題とその解決策について前後編に分けて紹介します。
▼ 目次
1.次々に登場する新カテゴリーのセキュリティソリューション
2.アタックサーフェス管理(Attack Surface Management:ASM)
3.サプライチェーンリスクマネジメント/セキュリティリスクレーティング
4.マイクロセグメンテーション/特権ID管理
1.次々に登場する新カテゴリーのセキュリティソリューション
サイバー攻撃は日々進化を続けており、新たな脆弱性を狙った不正侵入はもちろん、クラウド環境の設定不備を悪用した攻撃や、大企業や政府組織を直接狙うのではなく、セキュリティ対策が不十分な取引先などを足がかりにして本丸への攻撃を行う「サプライチェーン攻撃」も増えてきました。さらに、攻撃先のシステムに長期にわたって潜伏し、より上位の権限を持つ認証情報を収集、それを他のサイバー攻撃者に販売するケースも多くなっています。
このようなサイバー攻撃の多様化・高度化に対抗するため、セキュリティソリューションも以前に比べて急速な勢いで多様化しています。
十数年前は、企業ネットワークの出入り口を固めるファイアウォールと、マルウェア感染を防止するシグネチャ型のアンチウイルスソフトしか導入していない企業・組織が一般的であり、それでも一定の防御を実現できていました。数年前からは、防御ありきの対策では不十分との考えからEDRを導入する企業、あるいは新型コロナウイルス流行や働き方改革推進を機にゼロトラストネットワークの実現に向けてSASEを導入する企業も増えました。しかし、現在ではEDRやSASEだけではなく、複数の攻撃手法や攻撃段階に合わせて、最適なセキュリティソリューションを組み合わせて活用する必要があるのです。
ここで、近年登場した代表的なセキュリティソリューションを取り上げ、簡単に説明しておきましょう。
2.アタックサーフェス管理(Attack Surface Management:ASM)
多様化・高度化するサイバー攻撃から情報資産を守るには、闇雲に対策を立てても意味がありません。攻撃者の侵入経路や直接的な攻撃対象となりえるポイントを洗い出し、それらの対策がどこまで進んでいるのか、セキュリティリスクが内包していないかを把握した上で、リスクの高い部分に対して優先的に対策を施しながら、最終的に全ての「穴」を塞いでいくべきです。
これを支援するソリューションがASMです。社外に公開されている(データセンターやパブリッククラウドに配置している)サーバーやシステム、テレワークで利用されるVPN装置は攻撃者から狙われる危険性が高いため、多岐にわたる情報資産を精査し、攻撃者に悪用される危険性のある侵入経路を特定、そこに内在する脆弱性やリスクを減らしていくべく管理を行います。コロナ禍では社外から社内システムにアクセスするためのVPNが多く狙われましたが、事前にASMを活用し、脆弱性を解消しておくことで、このようなリスクも回避しやすくなります。
近年は、Whoisやバナーチェックといった表面的な情報だけでなく、実際に攻撃シミュレーションやアクティブスキャンを行い、より危険度が高い情報資産から順に対応を進めることが可能なASM製品も出てきています。
類似する対策として「脆弱性診断」がありますが、脆弱性診断が「既知の資産(既に自社で存在を把握している資産)」を対象に詳細な調査・評価を行うのに対し、ASMでは「未知の資産(自社で把握できていない資産)」も含めて網羅的に外部公開資産を可視化し、インターネット上から分かる範囲でのリスク検出・評価を行います。クラウドの利活用が進み、サバーの追加や削除、設定変更などの環境変化が激しくなった現在のIT環境において、従来の手法だけでシステムやIT資産の全容を把握することは極めて困難であることから、ASMのようなツールを活用して継続的かつ自動的に管理を行うことが求められています。
3.サプライチェーンリスクマネジメント/セキュリティリスクレーティング
すでに述べたように、セキュリティ対策が不十分な取引先やグループ会社を踏み台にし、そこから本丸に侵入する「サプライチェーン攻撃」も増えています。また、業務委託先からの情報流出や、外部から調達したIT機器やソフトウェアの脆弱性などによる脅威の増大、といったリスクも高くなっています。
自社だけでセキュリティを確保できる時代は、すでに終わってしまったと言っても過言ではありません。最近では、このようなサプライチェーンリスクの可視化などを行うサービスやソリューションも登場しています。具体的にはサプライチェーン全体、グループ会社、海外子会社、取引先や委託先など、企業の外部から見えるサイバー攻撃の侵害可能性からスコアを算出し、どの会社でセキュリティリスクが内包しているか、攻撃者から狙われやすいかをモニタリングすることが可能です。加えて、サプライチェーン全体へアンケートを行い、机上で独自調査、評価可能なソリューションも出てきています。このような対策を行うことで自社だけではなくサプライチェーンのリスク管理にもつなげることができるようになります。
4.マイクロセグメンテーション/特権ID管理
近年のサイバー攻撃は、攻撃対象にマルウェアを感染させて即座に攻撃する、といった単純なものではなくなっています。発見されないよう密かに侵入、潜伏し、時間をかけて内部情報を収集、十分な情報が収集された段階でランサムウェアなどを起動し、一気にデータを利用不能にするといった、多段階の攻撃が増えているのです。そのプロセスを理解する上で役立つのが「MITRE ATT & CKフレームワーク」です。このフレームワークでは、攻撃者が使う戦術や手法が整理され、それらの実行手順が示されています。
その中には、侵入したマルウェアを横展開する「ラテラルムーブメント」や、より多くの情報にアクセスするための「権限昇格」などが含まれています。これらの活動を抑制できれば、侵入された後の影響を抑え込むことが容易になります。マイクロセグメンテーションは、システム内を細かいセキュリティ区画に分けることでラテラルムーブメントを防止するものであり、特権ID管理は権限昇格されるリスクを回避するためのものです。
関連記事
【後編】多様化するセキュリティソリューションの適切な選定・活用に向けたアプローチ
後編ではセキュリティソリューションの多様化で直面する課題とソリューションを解説します。
セキュリティソリューション支援の紹介資料はこちらからダウンロードいただけます。