セキュリティ監視・運用・診断|知る×学ぶ
サイバーハイジーンとは|サイバー攻撃への予防はリスクの可視化と把握から
サイバー攻撃の被害が増加の一途をたどる中、対策を強化しなければいけないと感じる企業は多い。
だが、ITアセットの把握やパッチ適用といった「サイバーハイジーン(サイバー衛生管理)」を徹底することによって、かなりの被害を防ぐことが可能なのだ。
そこで本記事では、脅威からビジネスを守るための「リスク予防」の基本対策として、サイバーハイジーンを社内に定着化する方法について解説する。
▼目次
・サイバーハイジーンとは
・企業がサイバーハイジーンを徹底できていない理由とは
・サイバーハイジーンを社内に定着化する方法
・「予防 x 検知 x 対応」による隙を生じぬ三段構えがビジネスを守る
1. サイバーハイジーンとは
サイバーハイジーン(Cyber Hygiene : サイバー衛生管理)とは、社内のIT環境や社員のPC、及びインターネット接続環境等を把握・セキュアな状態を可視化するとともに、企業全体のセキュリティ意識を醸成し「リスクの軽減、予防」を目指す取り組みを指す。
多くの企業がサイバーハイジーンに注目している背景を説明しよう。
サイバー攻撃の増加、巧妙化に対抗すべく、市場には次から次へと新たなセキュリティソリューションが登場している。
さらに、さまざまなセキュリティガイドラインや法規制が整備されたこともあり、企業に求められる対策は増える一方で、ついつい新しいキーワードや最新のソリューションに目が奪われがちだ。
しかし、多くのセキュリティ専門家は「基本が大事」ということを指摘する。
具体的には下記の3点が徹底すべき基本である。
- 自社が利用している端末やソフトウェアの把握
- 脆弱性を修正するパッチの適用
- 認証とアクセス権限の制御
実はこれだけでも、サイバー攻撃を防ぐことができるのだ。
このようなリスク予防策の基本対策のことをサイバーハイジーンと呼び、米国のThe Center for Internet Securityが提唱する「CIS Controls」(旧称Critical Security Controls、SANS Top20)でも重視されている。
防御や検知だけでなく、大半の攻撃に有効な「予防」にも目を配ることも重要なのだ。
2. 企業がサイバーハイジーンを徹底できていない理由とは
残念ながら、サイバーハイジーンを徹底できている企業は少ない。
その主な理由として、企業ネットワークに下記のITアセットが存在するためであると伊藤忠テクノソリューションズ(以下、CTC)のサイバーセキュリティサービス部 平賀辰樹が指摘する。
- 野良サーバ、野良PCの存在
- 脆弱性を修正していない古いバージョンのソフトウェアやファームウェアが稼働し続けている
- 在宅テレワーク環境
いずれもIT管理者にとって管理・把握が難しいのだが、ITアセット管理の課題を放置することはセキュリティリスクを生むすることを意味しており、これが原因となって深刻な被害を招くケースが後を絶たない。
他の理由として、脆弱性には速やかにパッチを当てることが第一だということを重々分かっている企業でも「既存アプリケーションの動作に影響が生じるためすぐには当てられない」といったケースもある。
平賀はそうした事情に理解を示しつつ「そうした環境も含めて可視化が大事です。把握できていない端末を入り口にしてサイバー攻撃を受けてしまうと、何が起きたかすら分かりません。『その端末って何? 誰が管理しているの?』というところから話がスタートするため調査や対処に多大な時間がかかり、被害の拡大につながってしまいます」と指摘する。
米Ponemon Institute の調査によると、情報漏えいの経験がある企業のうち「ソフトウェアの脆弱性に対応するパッチを適用しなかったことが原因」とした企業は68%に上る。つまり、攻撃を受けた企業の3分の2以上は、パッチ適用さえしていれば被害を予防できたはずなのだ。
昨今のセキュリティ対策では「防御」に次いで、「検知」「対応」「復旧」にフォーカスが当てられてきた。
マルウェアや不正アクセスの侵入を食い止め、それでも防ぎきれない高度な攻撃があればすばやく検知して対応し、被害を最小限に食い止めるというアプローチに沿って、EDR 製品などの先進的なエンドポイントセキュリティの導入や、CSIRT の整備が進められてきた。
だが、平賀は「基本の徹底によって防げる攻撃は多々ある。もう少し予防の部分に注力すればバランスの良い効果的なセキュリティ対策が実現できる」と話す。
図 1. 企業ネットワークのITアセット管理の課題
3. サイバーハイジーンを社内に定着化する方法
CTCは企業にサイバーハイジーンを定着化させる手段を提供すべく、同社が提供するマネージドセキュリティサービス(CTC-MSS)から「CTCサイバー衛生管理サービス(CTC-CH)」の提供を開始した。
CTCサイバー衛生管理サービス(CTC-CH)の特徴は下記となる。
- CTCがITアセットのセキュリティリスクを発見して対応、これを定期的に報告
- サイバー衛生状態を可視化
具体的には、CTCサイバー衛生管理サービス(CTC-CH)はサイバーハイジーンの運用支援を提供するとともに、可視化されたセキュリティリスクへの予防処置を実施する。
- アセット管理
- どのようなハードウェア/ソフトウェア資産が社内に存在するかを可視化、管理する
- 必要なソフトが入っているか、禁止されているソフトがインストールされていないかを管理する
- ソフトウェアの配布やアンインストールといった操作までを行う
- 脆弱性管理
- Windows や主要なアプリケーションソフトウェアのセキュリティパッチを管理する
- リモートからのパッチ適用や脆弱性のリスク評価を行う
- 脅威ハンティング
- ポリシーに違反する行為や脅威の予兆を監視して、セキュリティリスクを報告する
サイバー衛生管理サービス(CTC-CH)は、リモートワークを推奨している企業や、多数の拠点や「見えない」「目の届かない」部分を多く抱えている企業を中心に注目を集めている。
CTCサイバー衛生管理サービス(CTC-CH)の主なアーキテクチャは下記となる。
- 統合エンドポイントセキュリティソリューション「Tanium™プラットフォーム」
- ITアセットの可視化や管理、脅威の調査、軽減策の実行といった豊富な機能を備えているエンドポイントセキュリティソリューション
- Tanium管理サーバが、サーバやPCにインストールされたTaniumエージェントソフトウェアから、リアルタイムに情報を収集し、状況を可視化できる
- 独自技術を用いて何万台、何十万台といった大規模なエンドポイント環境でも対応
- CTC が独自開発したITアセット管理ダッシュボード「Asset Integrity Management(AIM)」
- 「どのようなアセットがあるか」を過去に遡り現在までのデータを可視化し、それらが最新の状態にあるかどうかを分かりやすく把握できる
図 2. CTCサイバー衛生管理サービス(CTC-CH)
平賀はCTCサイバー衛生管理サービス(CTC-CH)について、次の通りにコメントする。
「テレワーク環境も含めたサーバやユーザーのPCの最新状態を常時可視化し、リスクがあればお客様に報告することで予防的な対応を支援します。要望に応じて、CTC がリモートからリスクのある端末をネットワークから隔離することもできます。」
さらに平賀はサイバーリスクの予防だけでなく、検知と対応の観点についても重要であることを強調した。
「サイバーハイジーンを徹底することにより、かなりの程度の被害を防ぐことができますが、もしもの場合を考えて、予防だけではなくセキュリティインシデントの検知、被害を最小に抑えるための対応手段についても備えるべきです。」
4. 「予防 x 検知 x 対応」による隙を生じぬ三段構えがビジネスを守る
サイバーハイジーンはセキュリティリスクへの有効な予防策と言える。
しかし、サイバーセキュリティ対策を万全にするためには予防の他に、検知、対応といったプロセスを一貫して考える必要があり、サイバー脅威への対策を徹底している企業の多くは「予防 x 検知 x 対応」を備えている。
- 予防
- セキュリティリスクや脅威を防止する
- 検知
- セキュリティインシデントの発生を検知する
- 対応
- セキュリティインシデントを最小に抑え、復旧し、事業を継続する
CTCマネージド・セキュリティ・サービス(CTC-MSS)では、前述した予防を支援する「CTCサイバー衛生管理サービス(CTC-CH)」の他、検知を支援する「CTCセキュリティオペレーションセンター(CTC-SOC)」、対応を支援する「CTCインシデントハンドリング初動対応サービス(CTC-IH)」を提供しており、隙を生じさせない三段構えよって一貫したサイバーセキュリティ対策を講じることができる。
- 検知を支援する「CTCセキュリティオペレーションセンター(CTC-SOC)」
- オンプレミス環境やクラウドに導入されたセキュリティ製品から発せられる検知ログやアラートを、24時間365日体制で監視する
- 専任のセキュリティアナリストが解析し、深刻度や危険度に応じて4段階にレベル分けをした上で、企業のセキュリティ担当者に通知、対応を促す
- セキュリティ機器の設定変更やアップデート、バックアップを代行
- セキュリティ機器の稼働状況を監視し、障害が発生した場合には問題を切り分け、機器交換が必要な場合には、CTCのサポート部隊と連携してオンサイトでの対応までを一貫して行う
- SOCから通知したインシデントをトリガーにして「特定のIP アドレスからの通信を遮断」するといった、踏み込んだ対応まで行う
- 対応を支援する「CTCインシデントハンドリング初動サービス(CTC-IH)」
- CTC-SOCで検知したセキュリティイベントを調査・分析・緊急度の評価を行い、企業のセキュリティ担当者にアラートを送信するとともに、インシデントの初動対応(トリアージ)を支援する
予防、検知、対応には、セキュリティに関する豊富な知識だけでなく、緊急時の際に適切に対処するための技術力やノウハウを有する人材が求められるが、CTCのマネージドセキュリティサービス(CTC-MSS)のセキュリティスペシャリストの支援を受けることにより、サイバー攻撃に隙無く対処できるだけでなく、企業のセキュリティ担当者の負荷を大幅に軽減できる。
実際、CTC衛生管理サービス(CTC-CH)を契約する企業の殆どは、インシデントが発生した際のリスクも考慮してCTCインシデントハンドリング初動対応サービス(CTC-IH)も合わせて契約するケースが多い。
CTCインシデントハンドリング初動対応サービス(CTC-IH)の概要については、以下をご覧いただくことをお勧めする。
5. さいごに
本記事ではITアセットの把握やパッチ適用といったサイバー攻撃への予防対策「サイバーハイジーン(サイバー衛生管理)」の重要性をはじめ、これを定着化する方法について解説した。
さらにリスクの予防だけでなく、インシデントの検知や対応もサイバーセキュリティ対策においては重要であり、これらの支援を一貫して提供できるマネージドセキュリティサービス(CTC-MSS)が有効であることを解説した。
- 予防
- CTCサイバー衛生管理サービス(CTC-CH)
- 検知
- CTCセキュリティオペレーションセンター(CTC-SOC)
- 対応
- CTCインシデント初動対応サービス(CTC-IH)
セキュリティ対策を考える上での基本は「リスクの可視化と把握」である。
つまり、少なくともリスクが潜むITアセットを把握できていれば、不意打ちを食らう恐れは減り、リスクの緩和策や代替策を取ることもできるし、いざというときの対応も進めやすくなる。
従って、サイバー衛生管理サービスはそんなリスクベースの対策を支援する上でも有効である。
CTC では、長年にわたり実績のあるMSSとして、SOCによるセキュリティ監視サービスや、有事の際のインシデントハンドリング初動対応サービスも組み合わせて提供することで、サイバーセキュリティ対策に求められる予防、検知、対応といったすべてのプロセスを支援する。
さらに、インテグレーションや日々の運用サービスを通じて製品の導入から監視、保守・運用までを一貫して提供し、企業が少ない負荷で効果的な対策が取れるよう支援していく。
CTCの総合マネージドセキュリティサービス(CTC-MSS)については、以下よりご覧いただきたい。
