ゼロトラストセキュリティとEDR
-多層防御の考え方
ゼロトラストセキュリティとは
ゼロトラストセキュリティとは、「トラスト(信頼)がゼロ」、つまり何も信頼しないセキュリティ対策の考え方です。ネットワークの内側は安全、外部は危険であると見なして対策を講じる従来の境界型セキュリティとはまったく逆の発想で、社内ネットワークからのアクセスだから安全などと信頼するのではなく、どこからのアクセスであろうと適切に検証を行うことにより安全性を担保するというものです。
進化するサイバー攻撃に対抗するための「ゼロトラストセキュリティ」を紹介します。
EDR…Endpoint Detection and Responseの略
ITインフラの変化で露呈した境界型セキュリティの弱点
境界型セキュリティとは
従来の企業におけるセキュリティ対策において、基本となっていたのは「境界型セキュリティ」と呼ばれるものである。これは社内ネットワーク(内部)とインターネット(外部)の境界で、ファイアウォールやUTM(Unified Threat Management)などのセキュリティ機器を用いて通信を制御する、あるいは不正なアクセスを検知することで内部にあるサーバーやクライアントPCを守るという考え方だ。
しかし企業のIT環境は大きく変化し、従来の境界型セキュリティでは十分にサイバー攻撃を防ぐことが難しくなっているのが現状だ。
そもそも、従来は業務で利用するシステムやデータは、ネットワークの内側にあることが前提であった。こうした状況に変化が生じたきっかけとなったのはクラウドの普及であり、現在では各種システムや業務上のデータが外部に存在することが珍しくなくなっている。
各種システムへのアクセス元である、クライアントPCのセキュリティ対策も見直しが迫られている。その原因となっているのが、ウイルス対策ソフトで検知できない、未知のマルウェアの増加である。
言うまでもなく、ウイルス対策ソフトの導入はクライアントPCにおけるセキュリティ対策の基本となっているが、昨今では未知のマルウェアが使われるケースが多い。このため、ウイルス対策ソフトだけでは不十分になっている。また侵入したマルウェアが社内に感染を拡げるといったことも十分に考えられるが、境界だけの防御ではこれを防ぐことができない。
業務システムへアクセスする経路も大きく変化している。昨今ではスマートフォンなどのモバイルデバイスが業務でも使われるようになり、外出先や自宅などオフィス以外の場所で業務を行うことは珍しくない。こうした場所で通信を行う場合、社内ネットワークとインターネットの境界を経由するとは限らないため、従来の境界型セキュリティでは適切に防御することが難しい。
「アクセス先」「アクセス元」「アクセス経路」の変化により境界型セキュリティでは不十分に
| 過去 | 現在 | |
|---|---|---|
| アクセス先 | データセンターなど境界の内側にアクセス先となる業務システムを構築 | 境界の外側にあるクラウド上に社内システムが構築されるようになった |
| アクセス元 | ウイルス対策ソフトを中心にクライアントPCを保護 | 未知のウイルスの増加により、ウイルス対策ソフトでは不十分に |
| アクセス経路 | クライアントPCから社内システムへのアクセス経路は境界の内側で完結 | 外出先や自宅からクラウド上のシステムにアクセスするなど、アクセス経路が多様化 |
このようにアクセス先とアクセス元、そしてアクセス経路の各層において大きな変化が生じており、従来の境界型セキュリティでは対策が不十分となっていることから、それぞれの層の現状に対応したセキュリティ対策が求められている。そのような中、セキュリティの3層(多層)防御として注目されている新たなセキュリティ対策が「ゼロトラストセキュリティ」と呼ばれる考え方だ。
何も信頼しない「ゼロトラストセキュリティ」と多層防御の考え方
ゼロトラストセキュリティとは、「トラスト(信頼)がゼロ」、つまり何も信頼しないセキュリティ対策の考え方である。
従来の境界型セキュリティはネットワークの内側は安全、外部は危険であると見なして対策を講じるものであった。
しかし、内側であっても外部から侵入したマルウェアの拡散や従業員による不正などといったリスクが存在する。また外部であるパブリッククラウドで重要なシステムを運営する、あるいは機密性の高いデータを保存するといったことが行われている。
システムにアクセスするのも、内側にあるクライアントPCだけでなく、モバイルデバイスを使ってインターネット経由でアクセスするといったことも考えられる。このように、ネットワークの境界が極めて曖昧な状況になっているわけだ。
そこでゼロトラストセキュリティでは、社内ネットワークからのアクセスだから安全などと信頼するのではなく、どこからのアクセスであろうと適切に検証を行うことにより安全性を担保するわけである。そこでポイントとなるのが多層防御の考え方であり、アクセス先とアクセス元、アクセス経路のそれぞれで適切にセキュリティ対策を実施することによりゼロトラストセキュリティを実現する。
「EDR」はエンドポイントの挙動から脅威を識別・対応
進化するサイバー攻撃に対応するため、「EDR(Endpoint Detection and Response)」と呼ばれるセキュリティソリューションも広まっている。すでに多層防御の一環として、EDRをセキュリティ対策に組み込んでいる企業も多い。
EDRとは
EDRはサイバー攻撃による侵入を受けることを前提に、エンドポイントつまりクライアントPCなどの端末で脅威を検知し、その対策を支援するためのものである。
具体的には端末内で動作するプログラムなどの挙動を監視し、そこで攻撃が疑われるアクションがあった場合にそれを検知して管理者などへ通報し、被害の拡大を防ぐことをサポートすることがEDRの役割である。
EDRとウィルス対策ソフトの違い
前述したように、昨今では未知のマルウェアが使われるケースが多く、ウイルス対策ソフトでは検知できない。そこでEDRを用い、プログラムの挙動から脅威を識別し、迅速な対応を可能にする。このEDRも昨今のセキュリティ対策において大きなトレンドとなっており、すでに多くの企業で導入されている。
このようにIT環境の変化やサイバー攻撃の高度化に対処するために、境界型セキュリティから多層防御の考え方を採り入れたゼロトラストセキュリティへと基本的な考え方やソリューションも変化している。ただ、ここで意識しておきたいのはこれらを採り入れるだけで安全になるわけではないということだ。
運用の重要性とアウトソーシング
そもそもセキュリティ対策において重要になるのは、日々の運用である。利用している各種セキュリティソリューションのアップデートを適切に行う必要があるほか、出力されるログをチェックして攻撃の兆候を把握するといったことも欠かせない。攻撃者は組織の中でもっとも脆弱なポイントを狙って攻撃を行うため、セキュリティ対策の一元化やグループおよびグローバルでのワンストップでの運用体制の整備も重要になる。
とはいえ実際に拠点ごとにセキュリティ機器の適切な運用からログの解析まで、すべて自社で担うのは困難だろう。これらの業務を行う専門組織であるCSIRT(Computer Security Incident Response Team)の立ち上げを検討している企業も増えているが、自社のリソースだけで全拠点のセキュリティ機器の監視やログの解析を行うのは容易ではない。
そこで活用したいのがセキュリティ運用のアウトソーシングサービスである。
NTTコミュニケーションズの「トータルマネージドセキュリティ」であれば、EDRによるセキュリティ脅威を検知した後、最短で1時間以内にネットワーク隔離などのインシデントハンドリングを実施し、ユーザーに代わって24時間365日体制で外部のセキュリティ脅威からITインフラを保護する仕組みを提供する。このようなサービスの活用も視野に入れ、ITインフラのセキュリティ強化を進めていきたい。