デジタルテクノロジーの進化はビジネスや生活に大きなメリットを与えた反面、サイバー攻撃や情報セキュリティ事故の増加といった問題を生み出す要因ともなった。セキュリティインシデントへの対応は、あらゆる企業にとって重要なミッションとなり、インシデントレスポンス(事故対応)の最適解が模索されている。

2020年9月15日に開催されたWebセミナー「マイナビニュース スペシャルセミナー 事件・事故発生時の対策 スムーズな初動に必要な環境と考え方」では、数々のセッションとパネルディスカッションで、インシデントレスポンスの基本的な考え方や、日頃の備え、有効な製品・サービスなどについて解説された。

本稿では、株式会社日立ソリューションズ セキュリティマーケティング推進部 部長、セキュリティエバンジェリスト、早稲田大学 グローバルエデュケーションセンター 非常勤講師の扇 健一氏によるセッション「ゼロトラスト時代に考慮すべきリスクと求められる対応策」の内容をレポートする。

テレワークの拡大で表面化した、境界型セキュリティ対策の限界

株式会社日立ソリューションズ  セキュリティマーケティング推進部 部長  セキュリティエバンジェリスト 早稲田大学グローバルエデュケーションセンター非常勤講師 扇 健一氏

株式会社日立ソリューションズ
セキュリティマーケティング推進部 部長
セキュリティエバンジェリスト
早稲田大学グローバルエデュケーション
センター非常勤講師

扇 健一氏

「情報漏洩防止ソリューション 秘文」を提供する開発ベンダーである一方、多くの海外製品を扱うマルチベンダー型のシステムインテグレーターとしての一面も持つ日立ソリューションズ。同社でセキュリティマーケティング推進部の部長を務める扇氏は、20年以上セキュリティの最前線で活躍してきたセキュリティエバンジェリストだ。扇氏は、働き方改革の推進や昨今の新型コロナウイルス感染症の拡大防止に向けた対策として、テレワークを導入した企業が直面した課題についての解説からセッションをスタートした。

「短期間でテレワークを導入した企業の多くは、モバイルPCの確保に悩まされています。テレワーク用の機器が確保できず、会社のPCを持ち帰ることで対応したというケースも少なくないはずです。そこで注意しなくてはならないのが、PCのセキュリティとなります」

自宅にPCを持ち帰ることは、盗難・紛失のリスクを生じさせると扇氏は言う。さらに自宅で業務を行う際には、社内の業務システムからデータをコピーして持ち帰ったり、クラウドサービス経由でデータにアクセスしたりすることも多く、情報漏えいのリスクが増大すると語る。

  • テレワークの浸透で見えてきたICT面での課題

このように、テレワーク環境には盗難・紛失や不正アクセスなどによる情報漏えいのリスクが潜んでいる。在宅勤務など社外の業務では、危険なサイトへのアクセスや、企業が承認していないクラウドサービスの利用を制限することは難しく、その結果としてマルウェア感染のリスクも高まってしまう。また、VPNが利用できなかったり、VPN回線に大きな負荷がかかったりして円滑な業務が阻害されることも、テレワーク環境に起こりがちな問題といえる。

こうしたテレワークが内包する課題のなかで、扇氏が注意を促すのが自宅でインターネットを利用する際のセキュリティ対策となる。近年では、企業を狙ったサイバー攻撃も増加を続けており、IDやパスワードなどの情報を窃取するマルウェアやPC内のデータを暗号化して身代金を要求するランサムウェアが多くの企業に被害を与えていると扇氏。「サイバー攻撃はセキュリティ対策の弱いリモートワークの環境を狙ってきています」と警鐘を鳴らす。実際、新型コロナウイルス感染症拡大の波に合わせて、マルウェア検知数も増加傾向にあるという。

講演では、不正サイトへのアクセスによるマルウェア感染と、クラウドサービス経由でのマルウェア感染のルートを図解し、従来のオフィス(社内)環境よりもテレワーク環境の方が感染リスクが高いことが確認された。扇氏は、オフィス環境で採用されていた境界型のセキュリティ対策では、テレワークが浸透した現在の環境を守れないと指摘。これからの時代には「ゼロトラストセキュリティ」の考え方が重要になってくると解説する。

  • 不正サイトへのアクセスでマルウェア感染
  • クラウドサービス経由でのマルウェア感染

ゼロトラストセキュリティは、境界に頼らないセキュリティ対策の考え方となる。業務に使うデータの保存場所が社内システムからクラウド・モバイル端末へと拡大し、テレワークの浸透により仕事をする場も自宅や外出先など多様化。さらにサイバー攻撃も複雑化・巧妙化が進んでおり、もはや“境界”を設けることが困難になってきていると扇氏は語る。

「ゼロトラストセキュリティの考え方は、境界を設けず、ネットワーク・デバイス・ユーザー・アプリケーションのすべてを“信頼しない”ことを前提にしたものです。境界をとおらないアクセスや、境界を突破されることを想定した対策を講じる必要があります」

従来の境界型のセキュリティ対策では「社内は安全」で「社外は危険」と定義し、社内でのトラフィックは信頼されていたが、ゼロトラストセキュリティでは、社内・社外を含め、すべてのトラフィックを信頼しないことで情報漏えいのリスクに対処する。本セッションでは、アカウント侵害、デバイス侵害、ネットワーク侵害、アプリケーション侵害の4つの侵害リスクを挙げ、それぞれの侵害に対するアクションが提示された。扇氏は、4つの侵害のなかからデバイス侵害に注目。その対策としてEDRやMDRサービスの活用を推奨した。

  • 情報資産へのアクセスの利便性を損なわず、下記を実現

システムインテグレーターとして積み重ねた知見を活用したMDRサービスを提供

扇氏は、テレワークで利用するPCなどのデバイスは、インターネットに直接接続されるため、セキュリティ対策の強化が不可欠と語る。

「社外での業務ではエンドポイントであるPCが最後の砦となります。マルウェア感染を防ぐための事前対策であるEPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)としてマルウェア対策製品を導入している企業も多いと思いますが、高度なマルウェアはこの防御をすり抜けてくる場合があります。マルウェア対策製品による防御が突破された場合のセキュリティ対策として注目したいのが、事後対策を行うEDR(Endpoint Detection and Response:エンドポイントでの検知と対応)です」

マルウェアは、メモリアクセスやレジストリアクセス、プロセス起動といった攻撃行動を行う。この情報をEDRで収集して、MDR(Managed Detection and Response:検知と対応のマネージドサービス)やSIEM(Security Information and Event Management:セキュリティ情報イベント管理)で分析することで、マルウェアに感染したPCを社内ネットワークから隔離したり、プロセス起動を阻止したりといった対策が行える。扇氏は、EPP・EDR・MDRを組み合わせることで、デバイス侵害を防ぐことができると話す。
「EPPで事前防御(未知のマルウェア検知)を行い、そこをすり抜けたマルウェアをEDRで調査・解析し、MDRサービスでセキュリティの専門技術者がEDRの運用・自動化をサポートするという役割分担で、デバイス侵害に対するゼロトラストセキュリティを実現することができます」

EDRはマルウェアのふるまいを検知して感染を判断するが、EDRだけでは万一の際の感染拡大を防止することはできない。EDRを効果的に運用するために有効なのが、マルウェアの侵入検知からインシデント対応までを顧客に代わって実行するMDRサービスとなる。日立ソリューションズが提供するMDRサービスでは、セキュリティのエキスパートチームによるインシデント対応支援も受けられると扇氏。EDRから送られてくる検知情報をクラウド上で監視し、状況を定期的にレポートで報告。万一の際にはインシデント対応を行うサービスであることを解説した。また、日立ソリューションズでは、EDRを導入せずインシデント発生時にのみ調査を行う「サイバー保険」を活用したインシデント対応サービスも用意しており、企業のニーズに合わせて選択することができるようになっている。

  • MDRサービスの種類と選択方法

講演では、日立ソリューションズのMDRサービスが提供する「監視」「初動」「調査」「インシデント対応」の4つの運用フェーズに分かれたメニューについて詳細に解説。標準メニューとして「監視」フェーズでは「脅威イベント監視」「脅威イベント分析」「定期報告」を、「初動対応」フェーズでは「端末隔離」を、「調査」フェーズでは「侵入経路調査」「影響範囲調査」を提供する。さらに、オプションメニューとして「インシデント対応」フェーズでは「オンサイト駆けつけ支援」「コンピュータフォレンジック」を利用できることが確認できた。

  • MDRサービスの内容

システムインテグレーターとして豊富な実績を持つ日立ソリューションズのMDRサービスを利用すれば、EDRの効果的な運用が可能となり、脅威の監視からインシデント対応までがワンストップで提供される。リモート対応だけでなく、オンサイトでの方針策定対応や、情報漏えいの痕跡調査、被害調査を目的としたコンピュータフォレンジックも実施可能。同社に依頼すれば、デバイス侵害への対応策をはじめとして、アカウント侵害、ネットワーク侵害、アプリケーション侵害といったあらゆる方位からゼロトラストセキュリティの実現をトータルでサポートしてくれる。

  • システムインテグレーターだからこそ、できること

終盤では、MDRサービスによる月次レポートのサンプルも提示された。扇氏は「日立ソリューションズは、ITからOT・IoTまで100を超える多くの製品・サービス・コンサルテーションを取り揃えており、お客様の環境や要望に合わせた提案が可能です」と語った。

脅威の検出数や詳細情報をサマリーとしてまとめたレポートとは

講演の最後には「情報セキュリティ事故対応アワード」審査員より、EGセキュアソリューションズ株式会社代表 徳丸 浩 氏と、SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻 伸弘 氏がパネラーとなり、扇氏とのディスカッションも実施された。

  • EGセキュアソリューションズ株式会社 代表 京セラコミュニケーションシステム技術顧問 独立行政法人情報処理推進機構(IPA)非常勤研究員 技術士(情報工学部門) 徳丸 浩 氏

    EGセキュアソリューションズ株式会社代表
    京セラコミュニケーションシステム技術顧問
    独立行政法人情報処理推進機構(IPA)非常勤研究員
    技術士(情報工学部門)
    徳丸 浩 氏

  • SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻 伸弘 氏

    SBテクノロジー株式会社
    プリンシパルセキュリティリサーチャー
    辻 伸弘 氏

徳丸氏が、レポートを読む際に求められるセキュリティの知識のレベルについて尋ねると、扇氏は「企業インフラに携わっていらっしゃるような、ネットワークの知識をお持ちの情報システム部門の方なら読み取れます。トータルでどんなインシデントが何件、いつ頃発生したのか、といったサマリーをレポートにしておりますので、もちろん経営者の方にも見ていただけると思います」と回答した。

続いて辻氏が、担当者が上司に状況を適切に伝えられるレポートなのかを尋ねると、扇氏は実際にサンプルを見せ、検出された端末ごとや日ごとの脅威の数をグラフ化したものや脅威の詳細情報がどこまで提示されるのかを説明した。

  • レポート

    レポートのサンプル

テレワーク時代のセキュリティ対策に悩む企業にとって、日立ソリューションズが提供するセキュリティサービスは、今後も注視していく必要があるだろう。

◆関連情報◆

さまざまなセキュリティニーズに対応したソリューションをご提供中!!
MDRサービス for Cylance®
トータルセキュリティソリューション

[PR]提供:日立ソリューションズ