• 会員限定
  • 2021/07/08 掲載

脱「現場主義」のセキュリティを専門家が指南、Withコロナで構築すべき体制とは?

  • icon-mail
  • icon-print
  • icon-hatena
  • icon-line
  • icon-close-snsbtns
記事をお気に入りリストに登録することができます。
コロナ禍であっても、国内外でのサイバー攻撃は止まらない。だが一方で、リモートワークの急激な普及により、情報セキュリティ対策・インシデント対応は複雑化している。管理すべき端末は組織のネットワーク外にもあり、組織のメンバー同士が離れた環境で勤務する状況は今後も継続されるため、従来のような現場主義的なセキュリティ対応では対処できなくなっているのだ。東洋大学 情報連携学部 准教授でサイバーセキュリティの専門家としても活躍する満永拓邦氏が、Withコロナの時代に適応する、新たな情報セキュリティ体制の確立について解説する。
photo
セキュリティの知見の深い満永氏が、「特定・防御」「検知」「対応・復旧」というフェーズごとに解説する
(Photo/Getty Images)

現場主義のインシデント対応が通用しない時代に

 リモートワークは時間と場所の有効活用、生産性の向上など、さまざまな恩恵を私たちにもたらしたが、一方で、組織のサイバーセキュリティ対策やインシデント対応は困難になっている。

「従来の情報セキュリティ・インシデント対応は、火事の消火活動に例えられることが多かったといえます。情報セキュリティ担当者や関係者は、インシデントが発生した現場に集まり、調査や初動対応を行い、被害が大きな場合はホワイトボードに情報を記載・共有するような進め方をしていたためです」

 こう語るのは、東洋大学 情報連携学部 准教授であり、情報処理推進機構(IPA)産業サイバーセキュリティセンター 専門委員も務める満永 拓邦氏。セキュリティに関する情報収集分析や論文・書籍の執筆活動を行う専門家だ。

 しかし、コロナ禍を経てリモートワークが普及した状況では、このような現場主義から発想を大きく転換することが必要とされている。満永氏は続ける。

「たとえばシステムが侵害されたときに備え、ログデータを保存・収集する仕組みが必要ですが、リモートワーク環境では端末が社内外に分散している場合もあり、ログを一元的に収集するためには工夫が必要となります。また、メンバーの端末がマルウェアに感染した場合、オフィスにいればその端末を回収するなど速やかな対応ができますが、リモートワーク環境の場合では、被害にあった端末の回収方法や代替端末の受け渡しなどの手順も取り決めておかなければ、事業の継続が危ぶまれるのです」(満永氏)

画像
図は従来のインシデント対応のフェーズだが、リモートワークが普及した今、内容を一つひとつ見直していく必要がある

 インシデント対応には「特定・防御」「検知」「対応・復旧」というフェーズごとのフレームワークがある。オフィスワークとリモートワークが共存する環境で、各フェーズに訪れる変化や必要なツール、そしてコロナ禍でのセキュリティ担当者育成法などを満永氏が説く。

リモートワーク中に生じた、セキュリティ対策のすきをついた攻撃

「リモートワーク時代に適用するインシデント対応では、各フェーズを構成する要素を1つひとつ分類して見直していくのがいいと考えます」(満永氏)

 まず、「特定・防御」のフェーズに焦点を当てる。ここでは、資産管理やリスク評価、脆弱性管理、セキュリティパッチの適用などが求められる。満永氏は、2020年8月に報道された、米Pulse Secure社のVPN機器を利用する国内外の約900組織が不正アクセスを受け、テレワークに利用される接続情報が流出した事例を挙げた。

 Pulse Secure社によって脆弱性を解消するパッチの配布はされていたものの、セキュリティ担当者自身がリモートワークをしており、社内ネットワークからのパッチの適用が遅れて、被害が拡大したという話もある。

 満永氏は「リモートからVPN機器にパッチをあてることも可能です。ただし、ネットワーク機器は設定した後に再起動をしたけれど、想定した通り動作しないといったこともありますので、仕組みを考え直す必要があります」と述べた。たとえば予備のネットワークや装置を備えて複数の対処法を実行できるようにするなどの方法が考えられるだろう。また、2021年に入ってからもVPN機器の脆弱性を悪用する攻撃も報告されており、こうした対策はもはや待ったなしの状況である。

 組織のメンバーが持ち出すPCの管理についても、どこまで管理するかが大きな課題となっている。米国CIS(Center for Internet Security)のガイドラインにおいても、継続的な脆弱性管理は優先度の高い項目とされており、自動OSパッチ管理ツールの導入や自動ソフトウェアパッチ管理ツールの導入が推奨されている。オフィスワークが主流であれば、オフィス内のネットワークからのパッチ適用ができるが、リモート環境では難しい。そこで近年注目されているのが、EDR(Endpoint Detection and Response、エンドポイント検出応答)と呼ばれる、リモート端末に対して脅威を継続的に監視する資産管理ツールだ。

【次ページ】データ集約とインシデント発生時のワークフロー明確化が重要

関連タグ タグをフォローすると最新情報が表示されます

関連コンテンツ

あなたの投稿

    PR

    PR

    PR

処理に失敗しました

人気のタグ

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます