EDRの次に取り組むべきセキュリティー対策を5つ紹介しよう。攻撃の予防に力を入れる「サイバーハイジーン(衛生)」や「IDP」「NGAV」が検討候補だ。社内に侵入されても致命傷を回避する「XDR」や対応を高速化する「SOAR」も有効だ。
セキュリティー対策は、世界が過去3年間四苦八苦してきた感染症対策と似ている。ウイルスなどの完全な封じ込めは不可能であるため、ある程度の感染を前提に対策を用意する必要がある。そして同時に、感染そのものを減らすために「検査」「隔離」「予防」に力を注ぐことも重要だ。
予防のツールは3つある。セキュリティー脆弱性の修正状況などを検査してITの衛生状態を管理する「サイバーハイジーン(衛生)」、問題のあるデバイスやユーザーアカウントを見つけたら隔離して重要な業務アプリケーションやデータを利用できなくするのに使用する「IDP(IDプラットフォーム)」、マルウエアの感染を予防する「NGAV(次世代ウイルス対策)」だ。
衛生管理で攻撃を予防
サイバーハイジーンとは「セキュリティーを維持するために組織や従業員が行う基本的な施策や行動」(トレンドマイクロの平子正人シニアスレットスペシャリスト)だ。ハイジーン(衛生)という言葉のイメージ通り、パソコンからサーバー、アプリケーション、データにいたる全てのIT資産を日ごろから監視・検査し、セキュリティー脆弱性を潰して安全に保つ。
具体的な確認項目としては、OSへのセキュリティー修正プログラム(パッチ)の適用状況や脆弱性の有無、ファイルの変更履歴やユーザーのログイン情報などがある。守備対象が広範囲にわたるため、ツールを用いて一元的に管理したり、リスクを可視化したりするのが一般的だ。
主要なサイバーハイジーン用ツールとしては、米タニウムの「TaniumCloud」や米テナブルの「TenableOne」、米マイクロソフトの「MicrosoftIntune」などがある。
タニウムによると、動的なサイバーハイジーンによってセキュリティーリスクの99.6%は抑止できるという。同社の楢原盛史Chief IT Architectは「端末数が数万台単位になると対処もそれだけ大変になる」と指摘する。
サイバーハイジーンのツールはエージェントをインストールしたデバイスの衛生状態を検査し、未適用のパッチを強制適用するだけではない。企業内ネットワークを隅から隅まで探索して、エージェントが未導入で管理されていないデバイスを見つけ出す機能も備える。冒頭で取り上げたNTTコミュニケーションズの事例では、撤去予定だったサーバーが攻撃の入り口となった。管理されていないデバイスを見つけ出すのは重要だ。
サイバーハイジーンはアメリカで先行して普及し始めている。米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は米国の連邦政府機関に対し既知の脆弱性への対策について報告するよう義務付けた。米証券取引委員会(SEC)は、インシデント発生時においては民間企業にも情報開示することを義務付けようとしている。
テナブルの貴島直也カントリーマネージャーは2022年12月に開催された記者説明会で、今後「サイバーエクスポージャー管理へのシフトが進む」と予測した。サイバーエクスポージャー(露出)とは米ガートナーが提唱した概念。IT資産の情報をデータレイクに蓄積して、データを分析した上で対応すべき問題に優先順位をつけるアプローチだ。
