第3回(最終回) セキュリティリスクMAPから読み解く:企業インフラの新たな課題と解決策 【今さら聞けない ゼロトラストことはじめ】
全3回のシリーズでお送りした「今さら聞けないゼロトラストことはじめ」、いよいよ最終回となりました。
第1回では「ゼロトラストはなぜ必要になったのか?」、第2回では「脱VPNへの転換を考える」をテーマに取り上げました。ゼロトラストと、脱VPNが求められる背景を探りながら、企業のITの利用形態の変化とともに浮かび上がってきた「現在の企業インフラの抱える課題」が見えてきたのではないでしょうか。
最終回では、本シリーズのまとめとして、従来の境界型防御における「セキュリティリスクMAP」をもとに、各種リスクへのアプローチ方法を考えます。
また、ブログの最後には弊社取り扱い製品の中から、これらの課題解決に有用なソリューションをご紹介しておりますので、是非最後までご覧ください。
今までのブログはこちら!
第1回 ゼロトラストはなぜ必要になったのか?「なぜ」がわかると「何が必要か」がわかる!
第2回 ランサムウェア感染の最大の原因はVPN機器?脱VPNへの転換を考える
目次[非表示]
企業ネットワークに潜むリスク・課題とは?
~セキュリティリスクMAP~
従来の境界型防御の企業ネットワークが抱えるリスクと課題について、ポイントを「セキュリティリスクMAP」としてまとめました。
↑図をクリックで拡大表示されます。↑
様々な場所に、様々なリスクが存在しています。これらリスクに対し、「これさえ導入すれば…」という万能なソリューションは残念ながら存在しません。
各種ソリューションを組み合わせながら、多面的なセキュリティ対策を展開していく必要があります。
セキュリティリスク、どこから着手すべきか?
とはいえ、これら多くのリスクを、効果的かつ効率的に対処するにはどうすれよいのでしょう?
下記の3点から、自社にとって今一番対策が必要なものは何か?を考えてみるのはいかがでしょうか。
①従来の境界型防御からの脱却
~セキュリティチェックはオンプレからクラウドへ、SSEの導入~
セキュリティリスクマップでは、境界(Firewall)の外側、インターネットを経由する環境に多くのリスクがあることがわかります。
FirewallやUTMの制御下から飛び出して発生したリスクをどうするか?第1回の「ゼロトラストはなぜ必要になったのか?」のテーマでも触れた通り、セキュリティチェックをオンプレミス環境からインターネット環境(クラウドサービス)へ移すことで、ロケーションフリーなチェックを実現します。
SSEに含まれる、SWG、CASBなどの機能導入により、従来の境界型防御の環境が抱える、境界外からのインターネットアクセスに関する複数のリスク・課題にアプローチすることができます。
- オンプレミス機器の脆弱性が狙われるリスク
- シャドウITの可視化/制御
- ロケーションに関わらず、同レベルのセキュリティの担保
- オンプレミス機器のパフォーマンス問題
- 一極集中化、通信量増加により機器に求められるスペックが高くなっていた
- SSLインスペクション等、パフォーマンス不足で諦めていたセキュリティ機能
- 高負荷/帯域不足等による通信遅延にともなう生産性低下
機器パフォーマンス不足による生産性の低下は、それ自体が直接的なセキュリティリスクではありませんが、通信環境への不満等から、IT部門が許可していない直接のインターネットアクセスや、不許可SaaSの利用などの問題行動につながる危険性があります。
②攻撃面の最小化
~ランサムウェアの侵入経路VPNの見直し、脱VPN~
2024年現在、ランサムウェアが最も注目されている脅威の1つです。IPAから発表された「情報セキュリティ10大脅威 2024」でも、2016年以降9年連続でランクインし、2021年からは連続して不動の1位を獲得し続けています。
ランサムウェア対策には様々な方法がありますが、ランサムウェア被害において、感染経路の多くがVPN機器からの侵入であるという点からも、VPNの見直しは欠かせません。
「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)を加工して作成
注 図中の割合は小数点第1位以下を四捨五入しているため、統計が必ずしも100になりません。
第2回「脱VPNへの転換を考える」では、攻撃表面を減らすことで攻撃リスクを低減し、万が一感染してしまった場合も、最小限のアクセス権限付与により、ラテラルムーブメントでの被害の拡大を抑えることの重要性を述べました。従来のVPN方式に頼らないリモートアクセス環境で、企業のネットワークセキュリティの強化を目指しましょう。
VPN から ZTNA への切替がすぐには難しい…という場合は、第2回でご紹介した「VPN機器のセキュリティ対策」を参考に、脆弱性修正プログラムの適用漏れ確認、不要アカウントの棚卸、多要素認証の導入検討など、今できることから着実に対応していきましょう。
③エンドポイントセキュリティの強化
~脅威の侵入を前提としたEDR、企業として必要なパスワード管理~
サイバー攻撃被害の多くがマルウェア感染など、エンドポイントを起点にしているため、エンドポイントのセキュリティ強化は不可欠です。
近年のエンドポイントセキュリティには、EDRが欠かせない存在となっています。
「マルウェアを100%検知して事前に防ぐ」ことは、もはや不可能なため、脅威の侵入を前提に、侵入後の対策を考慮したEDRに注目が高まっています。
アンチウィルス、NGAV(Next Generation AntiVirus) を利用されている場合は、EDRの導入も有効です。
また、業務で利用するSaaSが増えるにつれて、個人が管理するID/パスワードの数も増加しています。これらパスワード情報についても管理を個人に任せるのではなく、企業が責任をもって正しく運用されているかをチェックする体制が重要です。
「強力なパスワードを設定する」「パスワードの使いまわしをしない」などのルールを定めて運用することも良いでしょう。しかし、実際にそのルールが正しく運用されているかどうかの把握までは至っておらず、この点を課題として認識されている企業も多いのではないでしょうか。
このような課題には、法人向けのパスワードマネージャツールの利用が効果的です。
エンドポイントでの対策については、SSE導入や脱VPNと比べ、比較的短期間で導入しやすいという利点があります。
EDR、パスワードマネージャをまだ導入されていない場合、まずはエンドポイントのセキュリティ強化から着手し、並行してSSEや脱VPNについても検討を進めることをお勧めします。
セキュリティ強化と利便性はトレードオフ?
ゼロトラストの取り組みがもたらす効果
一般的に、セキュリティと利便性はトレードオフの関係にありますが、ゼロトラストの考え方ではこのトレードオフを軽減することもまた目指しています。
ゼロトラストや、脱VPNへの取り組みがもたらす効果は、セキュリティ強化のみではありません。
下記のようなコスト削減、そして生産性向上という効果ももたらします。
コスト削減効果
- IT部門の管理・運用工数の削減
- 5年毎に発生するリプレイス作業に関わる工数の低減
- オンプレミス環境費用の削減(機器スペックダウン、ライセンス、ファシリティなど)
- ランサムウェア被害等発生した場合の復旧費用・機会損失リスクの低減
生産性向上効果
- 従業員の利便性・効率性の向上
- IT部門のリソース開放による、さらなるDXの推進
特に、ランサムウェア被害にあってしまった場合の損失については、考えたことはあるでしょうか?復旧までに1ヶ月以上、調査・復旧費用の総額に1000万円以上の費用を費やした、という例(※)も報告されています。しかし、損失はそれだけでは済みません。
※警察庁『令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について』より
システムの復旧期間中はもちろん、その後の信用回復にかかる期間に発生する機会損失まで考慮すると、莫大な損失が発生することになります。
ゼロトラストの取り組みは、セキュリティリスクに対する「保険」、または企業の信用を守るための「投資」と考え、検討していきましょう。
デジタルテクノロジーお勧めのソリューション
Zscaler
ZIA(Zscaler Internet Access)、ZPA(Zscaler Private Access) の主要な2つのサービスの組み合わせで多くのリスク・課題を解決できます。
ZIAでは、全てのインターネットアクセスをクラウドサービス上でチェックします。
今までUTMで実施していたようなインターネット宛通信の各種セキュリティチェックをクラウドサービス上で実施することにより、従業員のロケーションに依存せず、社内でも社外でも同一レベルのセキュリティチェックを実施することが可能です。
ZPAでは、ZTNAによるVPNを伴わないリモートアクセスを提供します。従来のVPNのようにGlobal-IPを公開してクライアントからの接続を待ち受ける必要がなくなるため、攻撃表面を削除することが可能です。
利用者目線では従来のような「社外ではまずVPN接続」といった操作は一切必要なく、ZIA、ZPA のサービスを有効/無効にするなどを、利用者が意識する必要はありません。
VPN利用時によく発生していた「VPN接続が切れる」「VPNが遅い」といったこともなくなり、まさにセキュリティと利便性の両方の実現を体感できます。
既存の環境から大きく仕組みを変更するような場合、PoCの実施も重要です。
PoC用のライセンスはメーカーから無償提供されますが、実際の運用と同じ条件の環境を準備して検証を実施する必要があるため、『PoC環境の設計や構築』に苦労されるお客様もいらっしゃいます。別途有償での対応となりますが、弊社エンジニアによるPoCのご支援も可能ですのでご相談下さい。
SentinelOne
EDRの有効性については前出したとおりですが、中堅・中小企業がEDR導入を検討する際、壁となって立ちはだかるものが下記の2つです。
- ライセンス数
- SOC費用
EDRについては、購入時の最低ライセンス数が設定されているものも多く、自社が必要としているライセンス数での見積もりがそもそも取れない…ということも発生します。
SentinelOne であれば、1ライセンスから購入可能(※)です。
※当社商流の場合、1ライセンスからの購入が可能です。他社商流の場合は1ライセンスからの販売をしていない場合がございます。
インシデント発生時に人が対応する「調査」「隔離」「復旧」の作業を、AIが自動対応することにより「SOCなし」での運用も可能となります。
AIによる自動対応型EDRの利点は、なんといってもその対応スピードです。人が気付いて対応するよりも早く、必要な処理が終了しています。初動対応の1分1秒が、被害をどれだけ最小限に抑えられるか?に直結するのは想像に難くないはずです。
また、SentinelOne は MITRE Engenuity ATT&CK(※)で100%の検知率を達成するなど、EDRとして高い防御性能を持ち合わせています。
※MITRE Engenuity ATT&CK:世界中の脆弱性を管理しCVE-IDを発行するNPOであるMITERの「MITRE ATT&CK フレームワーク」に沿って、実在するサイバー攻撃者グループの攻撃手法を再現し、標的型攻撃に対するセキュリティソリューションを評価するテストです。EDR製品のベンチマーク試験を実施している唯一の団体で、中立かつ高度な試験で、信憑性が高くなっています。
Keeper Security
Keeper Password Manager は、法人向けのパスワードマネージャです。複雑なパスワードの自動生成・保存、ログイン時の時導入力をサポートします。パスワード強度、使いまわし有無の評価、ダークウェブ上に漏洩したパスワード有無を可視化します。
さらに、アカウントの共有が必要となる場面では、パスワード非表示の状態で共有できるなど、共有アカウントや特権アカウントの管理に便利な機能を備えています。
管理者は各ユーザのパスワード強度評価、漏洩パスワード有無等のステータスを可視化して把握できるため、パスワード管理ステータスに問題のあるユーザに対し、直接改善を依頼するなど具体的なアプローチを実施することで、企業全体のパスワード運用を改善することが可能です。
このように、『企業としてパスワード運用の衛生管理』ができる、という点は企業のセキュリティ対策において重要な観点になってきます。
上記3製品の情報収集はこちらもお勧め
上記でご紹介した3製品については、昨年(2023年)の弊社オリジナルイベント「DxT2023」でもご紹介させて頂きました。
各メーカーの登壇セッションのアーカイブ動画を公開しております。アーカイブページでは、登壇資料、製品資料もダウンロード可能ですので、気になるものがございましたら是非下記からお申込みのうえご視聴ください。
まとめ
「今さら聞けないゼロトラストことはじめ」シリーズのまとめとして、一般的な境界型防御環境下でのセキュリティリスクMAPと、各リスクに対するアプローチの考え方3つをご紹介致しましたが、いかがでしたでしょうか。
セキュリティリスクMAPの中で、気になるリスク・課題はございましたか?
今回のシリーズブログが、ゼロトラスト実現に向けての一助となりましたら幸いです。
もし、気になる課題がございましたら、お気軽にお問い合わせください。本ブログで取り上げた以外の課題やソリューションに関するご相談もお待ちしております。
最後までお読みいただき、ありがとうございました。