はじめに
昨今、サイバー攻撃が盛んになっています。国立研究開発法人 情報通信研究機構(NICT)が発表した「NICTER観測レポート2022」によると、2022年に観測したサイバー攻撃に関連する通信数は2015年と比較して約8.2倍になっています。
このようにサイバー攻撃を受けるリスクが増大していますが、企業では、運用およびコストの問題から十分な対策を取ることが難しい場合があります。また、サイバーセキュリティのためのソリューションを導入しただけでは、十分な対策にならない場合もあります。
本コラムでは、企業のIT部門に向けて、次世代セキュリティの基礎について解説します。
境界型セキュリティと次世代セキュリティ
境界型セキュリティ
現在、多くの企業では「境界型セキュリティ」が導入されています。境界型セキュリティとは、社内ネットワークと外部ネットワークの境界にファイアウォールをはじめとするセキュリティ対策を施し、社内ネットワークへの侵入を防止しセキュリティを確保することを指します。
しかし昨今のサイバー攻撃に対しては、境界型セキュリティのみで企業を守ることは難しくなっています。例えば、ファイアウォールは攻撃的な通信に対して機能しますが、正規の認証情報や端末が盗まれた場合の侵入を防ぐことはできません。また、脆弱性を悪用した侵入への対処も難しくなります。
さらに、サプライチェーン攻撃では、大企業から発注を受けている中小企業が標的になることがあります。攻撃者は、中小企業のシステムに侵入したうえで、業務上のネットワークを悪用して大企業のシステムに侵入します。攻撃者が一度でもネットワーク内に侵入してしまうと、境界型セキュリティでは対処ができない場合が多くあります。
こうしたなか、注目を集めているのが「次世代セキュリティ」です。
次世代セキュリティ
次世代セキュリティとは、社内ネットワークと外部ネットワークの境界にこだわらず、社内ネットワーク上の全端末、全通信に対して対策を施すことでセキュリティを確保するものです。
次世代セキュリティには、次の2つの領域があります。
● サイバーハイジーン:サイバー攻撃を予防管理する取り組み
● サイバーレジリエンス:サイバー攻撃を受けた際のリスクを軽減する取り組み
次世代セキュリティを構築する場合は、サイバーレジリエンスから始めることをおすすめします。具体的には、特権IDの保護から着手します。
特権IDとは、システム管理者など通常のIDにはない特別な権限を有するIDを指します。多くの場合、特権IDを用いて各ユーザーの権限を変更でき、システム内にある大半の情報を取得できます。特権IDを攻撃者に奪われると、サイバー攻撃による被害が大きくなります。そのため特権IDの保護から着手する必要があります。特権IDを保護するには、24時間365日、アクセスログを収集・監視、分析して、攻撃を発見した場合は、対象のアカウントを停止するなどの対応を実施します。「AD(Active Directory)監視サービス」の導入も有効です。
インシデントの検知と対応
次世代セキュリティの対策として、EDR(Endpoint Detection and Response)ソリューションを導入している企業もあります。EDRとは、クライアントの端末やサーバーをはじめとするエンドポイントで実行されたアクティビティを常時記録し、不正な挙動を検知するものです。
EDRは、サイバーアタックの兆候を検知するためには役立ちます。しかし、不正な挙動を検知した後の対応まで行うソリューションではない点に注意が必要です。アラートが発生した場合、企業はセキュリティソリューションベンダーをはじめさまざまな関係者とコミュニケーションを取って、原因を調査しなければなりません。
● EDRソリューションを提供するベンダーとの調整
● ファイアウォールを提供するベンダーへの確認
● ネットワーク環境の確認
SOC(Security Operation Center)は、サイバー攻撃の検出・分析を行い、対応策のアドバイスなどを行う専門組織です。SOCサービスを導入して、アラート後の対応までを依頼する場合も、SOCが対応する領域を正確に理解する必要があります。SOCの対応範囲が不十分な場合は、不足した部分をお客様自身が調査をしなければならなくなります。
サイバーセキュリティ対策を検討する際には、まずはセキュリティ全体に関するプランニングを設計しておきましょう。そのうえでプランニングに沿って必要なソリューションを導入すると、自社のセキュリティを効率的に向上させられます。
サイバーセキュリティにおけるプランニングの重要性
サイバーインシデントが発生した場合、いかに迅速に対応できるかが重要になります。そのためには、インシデント発生時の対応手順や役割分担などを記載する、インシデント対応計画を事前に定めておく必要があります。
インシデント対応計画がないと、インシデント発生時にさまざまな場所および機器から発せられるアラートを一つひとつ調査しなければなりません。こうした調査は往々にして連続性を持たず、後手に回ることにつながります。
この点、事前に明確な計画を定めておくと、インシデント発生時に迅速に行動できます。また、優先度の高い対応から着手できるため、インシデント発生時の影響を最低限に抑えられます。
セキュリティとコストの関係
セキュリティに関連する支出は、コストや投資として考えられる傾向があります。しかし、企業においてセキュリティ対策は、事業継続のために欠かせないものです。
多くの企業では、地震などの自然災害等に備えてDR拠点(※)を準備したり、バックアップデータを遠隔地に保存し災害からの復旧時にはDR拠点にデータを移したりするなど、コストをかけてBCP(事業継続計画)対策を実施しています。一方、サイバー攻撃を受けた場合にも事業は停止する場合があります。つまり、BCPの観点では、どちらの対策も必要なのです。
サイバー攻撃の場合、標的にされた企業の多くは何度も繰り返し攻撃を受けます。例えば、1時間に2回のペースで攻撃を受けた場合、1日に48回、1カ月の間に1,440回の攻撃を受けることになります。
このような攻撃に対処するために、企業としてセキュリティ対策をどこまで実施すべきかを丁寧に検討しましょう。その際は、攻撃を受けた場合に被害が大きくなることが予想されるポイントから対策を実施していきます。
例えば、前述した特権ID保護のために「AD監視サービス」を活用したうえで、「EDR」を導入するだけでも、コストを抑えながら最低限のセキュリティ対策を整えられます。
※ DR拠点:災害の影響で主たるシステム拠点が利用できなくなった場合に、代替拠点として使用する設備や施設
まとめ
サイバー領域における脅威の増大や、それに対応するテクノロジーの進化によって企業に求められるセキュリティ対策は変化しています。
クラウド化が急速に進み、インターネットを活用してクラウド環境でビジネスを営む企業も増えています。従来のオンプレミス環境向けのセキュリティ対策ではサイバー攻撃から企業を守り切れず、次世代セキュリティが必要になっています。
富士ソフトでは、お客様が最も大切にしているデータおよびサービスに焦点を当てて、予算の範囲内で最大限の効果を発揮するセキュリティ対策を提案しています。既存のソリューションの利活用を前提としたプランニングも提案いたします。
また、本コラムで紹介したセキュリティ対策についても、富士ソフトでは様々なサービスを提供しています。
「AD監視サービス」 :クラウド導入の内製化支援サービス|AWS 導入支援サービス
ログ収集を24時間365日行い、収集したログをセキュリティアナリストが分析管理します。攻撃と思われるログを見つけた場合は、アラートを出すのみならず、リスクのあるアカウントの停止まで対応しています。
「SOC(Security Operation Center)」
お客様の環境で活用されている既存のソリューションを活かして、セキュリティプランの再設計を支援します。インシデント発生時の対応プロセスも提案します。
クラウド環境でのセキュリティ対策については、次回のコラムにて詳しく解説します。
クラウドセキュリティを実践する2つの方法|対策範囲の決め方も解説
自社のセキュリティを見直したいとお考えの場合は、ぜひ富士ソフトにご相談ください。
執筆者の事例
日星電気株式会社様(AWS内製化支援サービス)|アマゾン ウェブ サービス(AWS) |富士ソフト株式会社 (fsi.co.jp)
Fujifastener
FujiFastener|富士ソフト株式会社 (fsi.co.jp)
