ソリトンシステムズのサイバーセキュリティ第3回「Weakest Link が標的に? 『検疫』は『ポリシーコントロール』にシフトする」

脆弱な端末をインターネットに接続すると、数分としないうちにマルウェアに感染する。2000年代前半には、インターネットはこのように汚れた場所と化し、企業ネットワークを守るためにはFirewallなどの境界防衛を行うことが定石となった。

モバイルワークが盛んになると、今度は感染源となるモバイルPCへの対応が重要となった。脆弱でリスクのある端末を見つけ出し、企業ネットワークから隔離・修復することが命題となり、「検疫」という考え方が有効とされた。

しかし、一般的な「検疫」ソリューションでは、「検疫」が終わるまで、端末は一時領域に隔離され、企業ネットワークに入れず業務ができないことが多い。生産性向上、コスト削減を重んじる日本企業では、「検疫ネットワーク」は安全をもたらすものというよりも、業務に悪影響を与えるものとして毛嫌いされる傾向があったことは否めない。

そのような「検疫」が、ここにきて見直され、導入に踏み切る企業が増えているという。ソリトンシステムズ荒木氏に話を聞いた。

● 「検疫」ではなく「ポリシーコントロール」

「インターネットをまるで『腐海（※1）』のようなものとして受け止めるお客様が増えてきたと感じます。『瘴気マスク』に相当するセキュリティ対策をしないと『5分で肺が腐る』ようにマルウェア感染し、『菌糸』のようなマルウェアの侵入を早期発見できないとシステム全体がテイクダウンされかねないというリスクの変化が、徐々に認識されつつあります。

従来型の『検疫』で企業ネットワークをクリーンに保つことは難しくなってきていますが、リスクの早期発見のために、『検疫』で行っていたような端末の構成管理は有効です。このため業務効率を無視してまで、端末のネットワーク接続時のチェックを厳しくすることに固執するのではなく、リスクや被害を最小限に抑えることに重心を置く形へと、『検疫』のあり方も変わってきています。

いま求められているのは、いかにリスクファクターを早期発見し、対処するかという『ポリシーコントロール』であり、これまで『検疫』とカテゴライズされてきたソリューション群は、こちらにシフトしてきています。これらのソリューションを表現する場合、『検疫』という言葉はもう適切ではないかもしれません。(荒木氏)」

※1
漫画・アニメーション作品「風の谷のナウシカ」の舞台となる新しい生態系の、人類による呼称。

● 「検疫」と「ポリシーコントロール」、何が違うのか？

セキュリティポリシー違反とその対処(コントロール)も、様々なレベルがある。企業で許可されていない端末は、企業ネットワークに接続させないという厳しいコントロールで良い。一方、企業の正規端末で、セキュリティパッチが適用されていないという状態であれば、企業ネットワークから切り離すというよりも、いち早くパッチ適用を行うことが重要となる。

ソリトンシステムズが取り扱う CounterACT では、正規端末であれば企業ネットワークへの接続は許可し、バックグラウンドでポリシーチェックを行う。ポリシー違反端末を見つけると、違反の内容に応じたアクション、例えばパッチ適用やメッセージ表示、通信の制御などを行うことができる。ポリシー違反のレベルに合わせたアクションを行うことで、業務への影響を最小限にできる。

また従来型の「検疫」では、チェックは端末がネットワークに接続する時のみであり、違反端末は隔離して修正するという画一的なアクションしか行わなかったが、 CounterACT による「ポリシーコントロール」は、それを柔軟に、継続的に行う点が大きな違いだという。

「例えば、資産管理ソフトが正常に稼動していない端末にはインストールを促したり、特定のフリーソフトが稼動していたら強制終了するなど、これまで管理者が手動で行っていた端末構成管理を継続的に行うだけでなく、自動化出来るので楽になったと言われます。

端末管理の現場では、悪意のないポリシー違反も少なくありません。端末固有の問題で、セキュリティソフトが上手く動かないといったこともありますが、こういったことを隅々までリアルタイムに管理者が把握するのは困難です。
状況を把握しきれていない環境に限ってインシデントが発生し、リスクファクターを平時から把握・管理しておくことの重要性を実感することも多いです。(荒木氏)」

● 「ポリシーコントロール」は変化への追従が必須

企業システムは、人事異動や業務の拡張にともない常に変化していく。サイバー攻撃対策に取り組もうにも、現在の端末、サーバ、プリンターの台数が分からず、ネットワーク構成もどうもはっきりしない、というケースは少なくない。

CounterACT はネットワーク監視と、エージェントレス型のポリシーチェック機能でシステム全体を可視化する。それも、管理外端末、例えば私物のスマートデバイスや無線LANアクセスポイントのようなPC以外のデバイスも、通信監視である程度その種別を把握し、GUIに一覧表示することができる。

環境が複雑になればなるほど、システムの現状把握は困難となる。エージェントレスで状況把握し、それに合わせた「ポリシーコントロール」ができる CounterACT は、インシデント対応体制を構築する企業・組織の大きな助けになっているという。

● Weakest Linkを意識した対策を

「サイバー攻撃からの防御が困難になってきたいま、”Weakest Link”(※2)を意識すべきであると言われています。攻撃者は弱いところを突いてくるため、セキュリティパッチ適用の徹底や、マルウェア対策が想定通りに稼働していることをチェックするといった基本的な対策を行うことで、かなりのリスク低減となります。

逆に、どんなに立派なセキュリティ対策製品を導入していても、脆弱な端末が1台あればそこが攻撃の足掛かりとされかねません。Weakest Link は、端末に限ったことではなく、脆弱なシステムを持つ拠点、取引先、知人・家族など、本来はもう少し大きな視点を持つ必要がありますが、まずはシステム全体の状況をリアルタイムで把握できる環境を整備し、ポリシーコントロールするところから始めることをお勧めしています。(荒木氏)」

※2
A chain is only as strong as its weakest link.「鎖全体の強さは、その中の最も弱い環によって決まる。」ということわざ

経済産業省が示した「サイバーセキュリティ経営ガイドライン」では、「セキュリティ事故は起こるもの」というインシデントを前提とした対策を求めている。こうした体制整備を進める上で、 CounterACT のようなツールが果たす役割は大きいと言えそうだ。