情報セキュリティ対策をしなければいけないけど、大企業はともかく、それ以外の組織では今の十分なセキュリティ対策を行えていないかもしれません。
ここではセキュリティ対策をなにから始めるべきか論じていきます。
対策に必要なものはなにか
まずはセキュリティ対策を考えるうえで「敵」を知ることです。攻撃手法は様々あり、それに対応するためのそれぞれのソリューションがあります。
最近だとランサムウェアとかフィッシングなど聞くことが多いですが、ある製品を導入するだけで、防げるようになるとは言い切れません。なぜなら、攻撃手法が多岐にわたるためです。
そこでまず考えるのが「監視」をすることです。
検知は素早く
セキュリティインシデントの被害が大きくなるのは、システム侵入が検知できずにその間、情報漏洩やシステムの破壊行為が続くためです。
そのため、できるだけ早くシステム侵入を検知し対応することが必要です。
監視の仕組みを導入することにより、早く検知する確率もあげる可能性が大幅に高まるので、対策だけでなく対応のためにも「監視」が必要です。
監視するには主に3つのソリューションがあります。
境界型監視(IDS/ IPS)
IDS(Intrusion Detection System 侵入検知システム)は主にネットワークの境界線上(例:インターネットの出口)に置かれます。侵入を試みるセッションを検知します。ただし、IDSは問題があると判断したセッションをアラート通知しますが、問題があると検知したセッションを停止させることはないです。
IPS(Intrusion Prevention System 侵入防止システム)は問題があると検知したセッションを止める機能はあります。
一見するとIPSでいいじゃないかと思われますが、誤検知した場合はアプリが使えなくなるためIDSのほうが適している場合があります。
IDSはネットワークの境界線上に配置されるネットワーク型とは別にホスト型がありますが、ネットワーク全体を対象とするネットワーク型が多く使われていると考えられています。ホスト型IDSは他のエンドポイント管理製品と機能が重なる製品があります。
ログ監視(SIEM)
IDSやIPSはネットワーク境界での防御には有効ですが、問題が検知できなかった場合やネットワーク境界を通らない場合は役に立ちません。SIEM( Security Information and Event Management )は、各サーバーやホストのログデーターを収集し分析をして、問題がある挙動を検知し通知を行います。
エンドポイント管理(EDR/ UEMなど)
IDS/IPSやSIEMは、境界型ネットワーク・ベースのソリューションです。
一方最近はモバイルやモバイルオフィスの普及により境界型ソリューションでは対応しきれなくなってきました。たとえば組織の施設外のインターネットに接続された端末をSIEMで監視することはおそらく技術的に不可能ではないですが、現実的とは言えません。
モバイルを監視する機能を有するのはEDR(Endpoint Detection and Response)があります。EDRはリアルタイムで脅威を検知して対応します。(技術的にはホスト型IDS/ IPSとEDRの利用用途は同じものです。)
モバイルは紛失するリスクもあるのでEDRやSIEMだけでは何ともならないこともあります。
UEM(Unified Endpoint Management )はOS/アプリ管理、リモートロックとデーター削除を行うワイプ機能が標準的についています。EDRほど詳細ではないですがモニタリング機能もあります。
まとめ
ニーズにあわせて様々なソリューションがあります。
そのため、組み合わせることにより強力なセキュリティー対策ができます。
IDS/ IPSとSIEMは、例えばインターネットと組織内部のネットワークを境界がある場合はとても有効です。
最近リモートワークが一般的になり、クラウドサービスを利用することが一般的になってきており、オンプレミスのサーバーなどがない場合は境界が存在しないためIDS/ IPSやSIEMは必要ありません。
インターネット利用の際は、OSやアプリケーションの脆弱性を悪用した攻撃のリスクが常にあります。
そのような攻撃を検知し対策を考える場合はEDR、脆弱性対策やセキュリティポリシーの徹底を行う場合はUEMが必要になります。
EDRは残念ながら、残念ながら全ての脅威を検知できるわけではありません。また問題のない動きも攻撃と誤検知することもあり、EDRだけで解決するわけではないです。
UEMはデバイス管理することで、セキュリティ強度を高めます。