ゼロトラストセキュリティ導入記～今なすべきセキュリティ対策のコツ～

第6回
エンドポイントセキュリティ① セキュリティホールの再チェック

ゼロトラストセキュリティ導入記の第6回。インターネットブレイクアウトの導入により、テレワークから生まれた課題やWANの遅延による業務停滞は解消した。今回からはゼロトラストセキュリティの要素の一つとなる「エンドポイントセキュリティ」について、3回に分けて紹介する。まずはエンドポイントセキュリティ導入のための準備ともいえる「セキュリティホールの再チェック」についてお届けする。

ゼロトラストセキュリティ実現の第一歩は「脆弱性診断」から

リモートワークの増加にともなうWAN1のひっ迫を、インターネットブレイクアウト2導入により解消したアライドテレシスは、本格的にゼロトラストセキュリティ3の実現に向け、さまざまな対策の検討、検証をスタートした。導入済みのセキュリティ対策と連携しながら強化を行うか、あるいは新たな対策に移行するかといった検討も含め、ゼロトラストセキュリティへの移行は進んでいく。

用語解説

• 1

  WAN（ワン）：Wide Area Networkの略。広域情報通信網。いくつかの遠隔地のLAN（ラン、Local Area Network）を接続するネットワーク。一般の公衆回線やISDN、専用回線などを介して構築される。

• 2

  インターネットブレイクアウト：特定のアプリケーションを抽出して、データセンターを経由せずに拠点から直接インターネットへ接続し、センター側回線のトラフィックを削減する機能もしくはその方法のこと。

• 3

  ゼロトラストセキュリティ：「信頼しない（ゼロトラスト）」ことを前提とするセキュリティ対策の考え方。モバイル端末の活用拡大、テレワークなどの働き方の変化により、これまでの「社内ネットワークの端末は安全」という境界型ではなく、全ての通信を信頼しない前提でさまざまなセキュリティ対策を行うことが必要となっている。

（ゼロトラストセキュリティの要素）

• ユーザー認証：
  IDaaS4でユーザー・デバイスに基づいた認証
• エンドポイントセキュリティ：
  UEM5による端末管理、EDR6で脅威対策
• アクセス制御：
  セキュリティゲートウェイ、SD-WAN7/SD-LAN8で常に通信をチェックして最小限でアクセスを許可
• ログ監視：
  SIEM9で通信や端末、IDの挙動を監査・分析

用語解説

• 4

  IDaaS（アイダース）：Identity as a Serviceの略。クラウド上の各種サービスで利用されるID情報などの統合管理と認証基盤を提供し、シングルサインオンを可能とするクラウドサービスのひとつ。

• 5

  UEM（ユーイーエム）：Unified Endpoint Managementの略。統合エンドポイント管理。ネットワークに接続された端末(エンドポイント)を包括的に集中して管理するソリューションもしくは仕組みをいう。

• 6

  EDR（イーディーアール）：Endpoint Detection and Responseの略。ネットワーク配下に接続されているパソコンなどいわゆるエンドポイントを監視し、疑わしい挙動や脅威を検知して対策などを講じる機能もしくは方法のこと。

• 7

  SD-WAN（エスディー・ワン）：Software-Defined Wide Area Networkの略。ソフトウェア制御により広域ネットワークを運用管理する技術。従来のように現場に赴いて機器の設定や調整を行うのではなく、中央のソフトウェアで広域なWANネットワークの構築や設定、制御を行うこと。

• 8

  SD-LAN（エスディー・ラン）：Software-Defined LANの略。会社や組織内のLANをソフトウェア制御して、運用や設定変更などを効率化・容易化する仕組み。

• 9

  SIEM（シーム）：Security Information and Event Managementの略。セキュリティ情報イベント管理。ファイアウォールなど複数のセキュリティ機器から情報を一元的に集めて分析を行い、同時に監視と驚異の検出、通知を行う仕組みもしくはその方法をさす。

アクセス制御についてはインターネットブレイクアウトの実施で、ある程度の対応が完了した。その他のユーザー認証、エンドポイントセキュリティ、ログ監視について並行して検討、検証を進めていったが、本記事ではエンドポイントセキュリティを取り上げる。

エンドポイントセキュリティと言うと、なにか特別なセキュリティ対策が必要となるように聞こえるかもしれない。しかし、エンドポイント＝ネットワーク上の端末に対するセキュリティ対策はごく基本的なことで、たいていの企業や組織のPC端末にはアンチウイルス10ソフトがインストールされているだろうし、IDとパスワードによる保護も掛けているだろう。
ではなぜ今エンドポイントセキュリティという言葉が多く聞かれているかと言えば、環境の変化により、アンチウイルスソフトだけでは十分と言えない状況だからである。

企業や組織のネットワーク内、つまり境界内のPC端末への対策はアンチウイルスソフトによる対策でも十分だった。なぜなら境界そのものがファイアウォール11やUTM12など、ネットワークセキュリティにより守られていたからだ。しかし、今やリモートワーク、テレワーク、サテライトオフィスなど、境界の外にもPC端末を持ち出して仕事をするように働き方は変化している。それは新型コロナ禍においてはとくに顕著だ。境界の外に持ち出されたPC端末へのセキュリティ対策と考えると、アンチウイルスソフトだけというわけにはいかない。

用語解説

• 10

  アンチウイルス：Anti-Virusとも表記。パソコンなどのデバイスが感染するウイルスやマルウェアへの対策を行う仕組みやそのソフトウェアを呼ぶ。

• 11

  ファイアウォール：FW、F/Wと略して記載されることも多い。ファイアウォール（防火壁）はインターネット・イントラネットで接続された社内（グループ内）のホスト（端末やサーバーなど）および、ホスト内部の機密情報を外部からのウイルスや不正侵入者から守る装置の総称を指す。

• 12

  UTM（ユーティーエム）：Unified Threat Managementの略。統合脅威管理。ファイアウォールのみならず、不正侵入検知（IDS/IPS）やアンチウイルスやアンチスパム、Webフィルタリングなどのセキュリティ機能を集約した製品。管理・運用面の負荷軽減と一元管理を実現できる。クラウドUTMはアプライアンスではなくクラウドサービスとしてUTM機能を提供するもの。

そこでエンドポイントのセキュリティを強化するためにまず取り組んだのが、「セキュリティホール13（脆弱性）の再チェック」だ。具体的には、

• Webサーバー・Webアプリケーション周りの脆弱性診断
• インフラ周りのプラットフォームの脆弱性診断
• 社員のセキュリティ意識チェック（フィッシングメール訓練）

の3つを実施した上で、端末のセキュリティ対策強化に進んでいくこととした。

用語解説

• 13

  セキュリティホール：ホールは穴(ホール)のことで、文字通りセキュリティに空いた穴の意。主に機器やシステムに組み込まれるソフトウェアを設計する際のプログラミングミスやバグなどの不具合で生じ、セキュリティの観点で安全性に欠陥があること。脆弱性もセキュリティホールとほぼ同義で使われる。

しっかりと脆弱性に対処した上でエンドポイント対策を推進

脆弱性を診断するテストツールは数多く存在しており、無料で手軽に利用できるものから、高機能でカスタマイズも可能な有料ツールなどさまざまだ。
まずテストツールを自社開発して社外向けWebサイトすべて（12サイト）の脆弱性診断を実施。それから社内ネットワークに接続されているすべてのIP機器を対象に脆弱性を診断した。
結果はさまざまながら、重大な脆弱性は発見されず、軽微なものもすべて修整を行った。

用語解説

• 14

  WAF（ワフ）：Web Application Firewallの略。従来のファイアウォールや不正侵入検知（IDS/IPS）では防ぐことができないWebアプリケーションの脆弱性を利用した不正な攻撃からWebアプリケーションを守るファイアウォール。

WAFは、WebサイトやWebサーバーへの攻撃を遮断し、情報漏えいやWeb改ざん、サーバーダウンを狙った攻撃などに対応する。

脆弱性診断に続き、社員のセキュリティ意識をチェックするために、フィッシングメールの訓練も実施した。フィッシングメールや標的型攻撃など、メールから始まるサイバー攻撃に対する社員のリテラシーを確認するとともに、さらなる注意を促す目的でもある。

ここまでは取り立てて変わったことをしているわけではない。強いて言えば、こうした脆弱性のチェックは見落とされがちなので、できれば定期的に、少なくとも何らかのセキュリティ対策を実施する前には脆弱性チェックを実施すべきだ。でなければ、せっかくの対策も無駄になりかねない。

脆弱性診断サービスとクラウドWAFをDevOpsでサービス展開

アライドテレシスがDevOps15体制でゼロトラストセキュリティの導入を推進していることは第2回で紹介した。実際に導入、検証して、効果を確認したうえで、サービスとして展開していく目的だ。
これら脆弱性診断とフィッシングメール訓練、クラウドWAFについても同様で、すでにサービス展開をスタートしている。多彩なセキュリティ対策をワンストップで提供する「Net.CyberSecurity16」のWebサーバー診断サービス、LANシステム診断サービス、それにクラウドWAFサービスだ。これらはアライドテレシスで導入、検証した上で、サービス展開を行ったものだ。

用語解説

• 15

  DevOps：開発(Development)と運用(Operation)を組み合わせた言葉。開発チームと運用チームが協同し、製品などのビジネスの価値を生み出す仕組みやそれを行う組織をいう。開発スピード、信頼性、生産性、品質の向上が本仕組みのメリットとしてあげられる。

• 16

  Net.CyberSecurity：アライドテレシスが開発した脆弱性診断サービス。自社のWebサイトや社内のLANシステムが抱えるセキュリティリスクを洗い出し、守るべきシステムや資産、データを低コストかつシンプルに可視化し、特定します。

Webサーバー診断サービスは、クラウド上からWebサーバーの脆弱性を診断するサービス。診断結果は専用のセキュリティ診断結果サイトで確認でき、ネットワーク環境の変更や特別なツールをインストールする必要はない。

LANシステム診断サービスは、社内ネットワークにセキュリティボックスを設置し、接続されているIP機器の脆弱性を診断するサービス。スキャンデータは安全なクラウド上に保存されて、診断が行われる。結果はクラウド上のセキュリティ診断結果サイトから確認できる。

診断サービスはともに、セキュリティ診断結果サイトから診断結果を確認できるだけでなく、脆弱性の改善方法なども確認でき、システムごとの再診断も可能となっている。

クラウドWAFサービスは、WebサイトやWebサーバーへの攻撃を遮断し、情報漏えいやWeb改ざん、サーバーダウンを狙った攻撃などに対応し、24時間365日稼働の高いセキュリティ対策を実現する。

DNS17の切り替えのみで導入が完了し、機器の設置や面倒な設定は不要だ。Webサイトへのリソースの負荷も掛かからない。

用語解説

• 17

  DNS(ディーエヌエス)：Domain Name Systemの略。Webサイトや電子メールなどのドメイン名とIPアドレスを紐づけて管理するシステム。DNSがドメイン名とIPアドレスの対応関係を記述したデータベースを持っているため、ドメインを指定して目的のWebサーバーやメールサーバーにアクセスできる。

なお、社員のセキュリティ意識をチェックするためのフィッシングメール訓練もサービス化している。「Net.CyberSecurity フィッシングメール訓練サービス」は、クラウド上に用意された管理画面（セキュリティポータル）から、予め準備したメールアドレス宛に、訓練用のメールを送信する。メール本文は用途ごとに用意されたテンプレートを活用しカスタマイズが可能となっている。訓練結果のデータはエクスポートし保存しておくこともできる。

次回はエンドポイントセキュリティ2として、サイバー攻撃へのセキュリティ対策や端末の情報漏えい対策など、具体的な検証内容を紹介していく。

（第7話につづく）

• 本記事の内容は公開日時点の情報です。
• 記載されている商品またはサービスの名称等はアライドテレシスホールディングス株式会社、アライドテレシス株式会社およびグループ各社、ならびに第三者や各社の商標または登録商標です。