第7回 エンドポイントセキュリティ② サイバー攻撃への対策や端末の情報漏えい対策
ゼロトラストセキュリティ導入記の第7回。前回はエンドポイントセキュリティ導入のための準備ともいえる「セキュリティホールの再チェック」について紹介した。今回は具体的なアライドテレシスのエンドポイントセキュリティに対する取り組みを紹介する。
ゼロトラストセキュリティ導入記のまとめはこちら
コロナ禍で変容する働き方に求められるエンドポイントセキュリティ
エンドポイントセキュリティとは、その名の通り、エンドポイントのデバイスについてのセキュリティ対策のことだ。いわゆる境界型のセキュリティにおいては、ファイアウォールやUTMなどにより、ネットワークに脅威を侵入させないこと、境界で防ぐことが最重視され、デバイスについてはアンチウイルスなどの対策で十分と考えられていた。しかしコロナ禍で在宅勤務が推奨されるなど働き方が変容していくなかでは、境界型セキュリティだけでは不十分だ。リモートワークなど社外で利用されるデバイスについても“ゼロトラスト”でセキュリティを考える必要がある。
福川原当社でももちろんすべてのPC端末にセキュリティソフトを導入しています。セキュリティソフトがウイルスやマルウェアを検知すると、AMF-SECのアプリケーション連携により、被疑端末を自動で遮断し、隔離します。
アライドテレシスでは以前から社員のPC端末にセキュリティソフトをインストールし、さらにアプリケーション連携でセキュリティを強化するAMF-SECにより、問題なくセキュアに業務を継続してきた(AMF-SECについては次回詳しく紹介する)。しかし導入していたセキュリティソフトはいわゆる「EPP(Endpoint Protection Platform)」で、ゼロトラストの観点からすると、もう少し強化が必要となる。つまり「EDR(Endpoint Detection and Response)」だ。
多様なEDR製品を実際に導入して検証
一般的にEPPはウイルスやマルウェアからのデバイス保護を、EDRはそれに加え感染した際の被害を抑えることを目的にする。よく知られているアンチウィルスソフトがEPPで、ふるまい検知やゼロデイ攻撃などの検知、対応、可視化などの機能を持ったものがEDRとされる。
アライドテレシスでは複数のEDR製品について複数の部署、PoC(検証環境)で導入、検証を継続的に行ってきた。
一般的なEPPとEDRの違い
| EPP | EDR | |
|---|---|---|
| 目的 | デバイスの保護 | 感染後の素早い対応 |
| 手法 | ウイルスデータベースによる パターンマッチング | 振る舞い検知など 感染後の動きを監視 |
| ゼロデイ攻撃 | 対応する製品もあり | 未知の攻撃にも対応 |
| 感染後の対応 | 手動対応 | 自動対応 |
| 証跡管理 | 対応する製品もあり | 対応 |
福川原EDRについては多くのソリューションが展開されており、そのうち複数製品を社内で実際に導入、検証してきました。ただ、実際に感染してみて検証というのはなかなか難しいものがありますので、擬似的に感染させる検証なども実施しています。
中村当社へ適用するというだけでなく、お客様にご提案/インテグレートするにあたって、展開や運用のしやすさなども含め、どのようなお客様にどのEDRが適しているのかもDevOpsで検証してきました。ネットワークの構築にあわせEDRを含めたセキュリティのインテグレートも提供していきます。お客様環境により、利用されている端末の種類やセキュリティ対策が千差万別なため、エンドポイントセキュリティはインテグレート型の提供が最適だと考えています。
福川原当社でもそうですが、EDR製品は種類が豊富なためお客様としても何を導入すればよいのか分からないケースも多いかと思います。お客様に最適な製品をマルチベンダーで提案、構築するためにも、複数のEDR製品をさまざまな角度から検証しています。
EDRは製品によってオンプレミスでサーバーにインストールするタイプや、クラウドのみのタイプもある。展開のしやすさや使い勝手も異なるため、さまざまな製品を実際に導入、検証して、顧客の要望に真に最適な提案ができるようにしている。アライドテレシス社内への展開については、現在、検証を兼ねて複数のEDRを導入しているが、2021年中には複数導入したEDRを絞っていく予定だ。ただ、今後も新しいソリューションが出てきた場合は、特定の部門で検証を兼ねて導入していく体制は維持していく。
福川原EDRは実際に導入運用してみないと、そのソリューションの良い点、悪い点というのがなかなか見えません。とはいえ、複数の同じタイプのソリューションを導入するのは、運用的には負担であり、複雑化することでセキュリティリスクを高めてしまうことにもつながります。約1年間、複数のEDRを導入し、多くの有益なノウハウを蓄積できたので、社内で継続的に利用していくEDRについては、1つに絞っていくつもりです。
システムエンジニアの持ち出しPC端末をセキュアに
エンドポイントセキュリティとして検証しているのはEDRだけではない。「UEM(Unified Endpoint Management)」もその一つだ。UEMは、統合エンドポイント管理のことで、ネットワークに接続されるデバイスの安全性、セキュリティを統合的に管理するソリューションだ。アライドテレシスは、日々システムエンジニアが顧客のもとに赴き、対応を行っている。その際にはPC端末を持ち出すことも多い。
福川原システムエンジニアはPC端末を持ってお客様のところにお伺いして作業することも多いのですが、PC端末を持ち出す際には余計なデータが入ってないか、ISMSの運用にもとづいてチェックしています。情報の漏えいを防ぐためのチェックですが、このチェックには大きな負荷が掛かっていて課題となっていました。
もともとMDM(Mobile Device Management、モバイルデバイス管理)のツールは導入済みで、PC端末の紛失や盗難には対応していたが、持ち出す頻度が多いだけに、そのデータもしっかりと管理し、漏えいを防ぐ必要があるのだ。そこでゼロトラストセキュリティの観点で導入の検討を行ったのがUEMだ。製品は複数あるが、システムエンジニアを中心に実際に導入して、使い勝手などを検証している。
中村UEMを使うことによって、そのPC端末が所持しているデータがどのようなものか、重要か否かを分別でき、またデータは暗号化できるので万一PC端末を紛失しても漏えいしません。データの変更もログを残すことができ、漏えいした際の証跡を追うこともできます。こうしたことを統合的に管理できますので、運用管理の手間も大きく削減できます。
福川原まずはPC端末を持ち出すことの多いシステムエンジニアのPC端末にUEMを入れて、持ち出すデータの制限/管理を実現しています。これによりチェックの負荷を大きく減らすことができています。ただ全社員のPC端末持ち出しに対応できるかというと、基準をどう設けるかなど難しい問題がまだまだありますので、実際に運用しながらそうした面も検討していきます。
マルチベンダーでネットワークセキュリティをインテグレート
なおアライドテレシスはテレワークを推進すると同時に、USBシンクライアントを導入している。USBからシンクライアントをブートすることで、データをPC端末に残すことなく、安全に業務を継続することができている。
福川原システムエンジニアのようにFAT PC(PC端末)でなければ外での業務が難しい人は除き、シンクライアントでも問題なく業務を進められる部署、人に対しては、テレワーク環境でシンクライアントを利用してもらっています。
さらにアライドテレシスでは資産管理ツールも導入している。これはゼロトラストセキュリティの推進以前より導入しており、AMF-SECとアプリケーション連携して、不正な振る舞いなどがあった際には端末をネットワークから遮断、隔離している。
福川原USBメモリーやスマートフォンへのデータ保存などを禁止し、簡単にデータを持ち出せないよう制御しています。大量のファイルコピーなども監視し、操作ログも取っています。
中村デバイス制御についてはEDRでも可能ですので、何を使うか、最適解を見付けることが大切です。デバイスの制御は生産性とトレードオフの面もあるので容易ではありませんが、自分たちで使いながらベストプラクティスを見つけ、さらにお客様に提供して行きたいと思っています。
アライドテレシスのエンドポイントセキュリティ対策
| 社 内 | 社 外 | |
|---|---|---|
| 不正端末の接続 情報漏えい対策 | 資産管理ツール(UEM) | UEM |
| サイバー攻撃への対策 | EDR(+EPP) | EDR(+EPP) |
| 社 外 | ||
| 安全なネットワークアクセス | USBシンクライアント | |
これらエンドポイントへのサイバー攻撃対策や情報漏えい対策は、基本的にサードベンダーのソフトウェア・ツールを利用している。アライドテレシスではDevOpsの考え方で、実際に運用しながら開発を行っているが、ネットワークセキュリティを提供する上でもDevOpsに基づき、しっかりと導入/検証した上でそれぞれの顧客に最適なものを提案していく。
福川原アライドテレシスはベンダーニュートラルで、自社の標準サービスだけでなくサードベンダーの製品も組み合わせて、お客様に最適なソリューションを提案します。
次回はエンドポイントセキュリティ3として、エンドポイントのセキュリティをさらに強化し、運用を容易にするアライドテレシスのソリューションを紹介する。
(第8話につづく)
関連動画
- 音声がございますので、再生の際には、お気を付けください。
連載記事
ゼロトラストセキュリティ導入記
働き方の変化などで最近注目の的となった新たなセキュリティの考え方「ゼロトラストセキュリティ」。一言に「ゼロトラスト=信頼しない」セキュリティ対策と言っても、そうシンプルなものではない。
そこで当連載では、アライドテレシスが実際にゼロトラストセキュリティを導入した例を交え、ゼロトラストセキュリティが目指すもの、個別の手法とその効果などを中心にお伝えしていく。
-
第1回 ゼロトラストセキュリティ導入のきっかけは「新型コロナ対策」から?
-
第2回 ゼロトラストセキュリティの実現には何が必要?
-
第3回 アクセス管理1 インターネットブレイクアウト導入のメリットと準備
-
第4回 アクセス管理2 インターネットブレイクアウト導入の実施例とその効果
-
第5回 アクセス管理3 インターネットブレイクアウトのサービス展開、導入のポイント
-
第6回 エンドポイントセキュリティ① セキュリティホールの再チェック
-
第7回 エンドポイントセキュリティ② サイバー攻撃への対策や端末の情報漏えい対策
-
第8回 エンドポイントセキュリティ③ アライドテレシスが提供するエンドポイントセキュリティ
-
第9回 IDaaSでユーザー認証の「運用管理性/利便性」と「セキュリティ」を強化
-
第10回 ログ監視と今後のゼロトラストセキュリティへの取り組み
-
連載ななめ読み「ゼロトラストセキュリティ導入記」第1回目から第10回目の連載内容を振り返って
登場者
アライドテレシス株式会社
サポート&サービス事業本部
上級執行役員 本部長
福川原 朋広
アライドテレシス株式会社
サポート&サービス事業本部
サービスDevOps部 部長
中村 徹
- 本記事の内容は公開日時点の情報です。
- 記載されている商品またはサービスの名称等はアライドテレシスホールディングス株式会社、アライドテレシス株式会社およびグループ各社、ならびに第三者や各社の商標または登録商標です。
ネットワークのお困りごと、まずは相談してみませんか?
現状の把握から課題の解決まで 一緒に考え抜きます!
- どうしたいいかわからないから、とにかく相談に乗ってほしい!
- サービスやソリューションについて、もうすこし聞いてみたい。
- 新しいツールを取り入れたけど、通信が遅くて使えない…。
- 他ベンダーを使っているけど、アセスメントや保守をお願いしたい。
ネットワークのお困りごと
まずは相談してみませんか?
何から始めればいいのか分からずに悩んでいる方、サービスやソリューションについてもう少し詳しく聞きたい方、まずはお気軽にご相談ください!
現状の把握から課題の解決まで、私たちが一緒に考え抜き、最適なサポートをご提案いたします。
とは?