セキュリティ

ゼロトラスト時代における平時のITオペレーションのあり方とは?

blur chains chrome close up

 ラック社の「ゼロトラスト時代における平時のITオペレーションのあり方とは?」という動画を見て学んだので、メモを記載します。セキュリティエンジニアは設計時と障害時以外に何をしているのだろう?と疑問に感じていたのですが、この動画を見てクリアになりました。

いま求められるIT衛生管理

 健康であること=価値

 日常の衛生管理は人が病気を予防する。ITにおける衛生管理とは。サイバーハイジーン(コンピュータの病気を予防する)である。昔からパッチを適用しましょうといわれているが、そういった当たり前の対策を続けることが大事。

 例えばセキュリティパッチが未適用の端末がある。構成情報が最新化されていない(特にサーバ)、認知していない特権アカウントがある、独自購入PCが無許可でネットワークに接続(気づかない)など

 US-CERTなど複数のセキュリティ組織が行った調査によれば。

 ソフトウェアを常にアップデートし、管理者権限の付与を制限するといった管理を徹底するだけで、標的型攻撃の85%は防止できる。また「実際に悪用された脆弱性の99.9%は公表後1年以上経過したもの」とされている。つまり当たり前の攻撃を受けにくくするセキュリティを保つことが大事である。

 ですがもちろん

 健康を維持する=お金がかかる

 私達自身も健康維持のためにマスクを買ったりとお金をかけている。ITの健康管理もタダでは手に入らない。ですがタダで方針を得ることはできます。それが

 CIS Controls 組織がサイバー攻撃から身を守る基本的な考え・指針

 CISがまとめたグローバルに公開されているセキュリティガイドライン。18のコントロールからできており、それぞれに具体的な保護手段が書かれている(計153の保護手段:セーフガード)。

 CIS Controlsは定期的に更新されているが、いつの時代でも変わらない保護手段がある。それは組織の資産のインベントリーと管理である(インベントリとはインフラに物理的、仮想的、リモート、クラウドで接続されている資産のこと)。例えば資産検知ツールを使って、インベントリの認知、認知していない端末の検知を行いなさいという話である。

 CIS Controlsには3段階があり、組織の規模に応じて優先度をつけて対処することが可能である。(もちろんIG1-3をすべて満たすのが理想ではあるが)

 IG1 小規模組織 IG2 中規模 IG3 大規模

 つまるところ重要なことは、資産管理・構成管理ツールにより端末の状態を正しく把握すること、脆弱性を確認すること、パッチとソフトウェア更新を継続することが大事である。

平時のITオペレーションって本当に重要ですか?

 ハッカーとの戦いやWAFなどを使った対処は華やかであるが、平時のITオペレーションは日が当たっていない。

「視えないものは守れない」すべての組織が抱える深刻な課題

 すべての企業に15%は視えない端末がいる。また視えている端末の中でもパッチ等の低い端末やサーバは40%ほどもある。(ラック社調べ)つまりIT衛生管理ができていない端末が55%もある。この管理ができていない状況は、グローバルよりも日本企業のほうが深刻である。

 ITチーム・セキュリティチームのみなさんにこの結果を伝えると、「まあそうだよね」と苦笑いする状況である。一方、経営者の方々はお前たち知っていたのか?という反応になる。

 日本企業の構造的欠陥

 重要情報へアクセスする経路の多様化……社員・派遣社員・グループ会社社員・協力会社社員×スマホ・パソコン×オフィス・在宅・リモートオフィス×IaaS・SaaS・オンプレミス

 急激なIT環境の変化により組み合わせが増大しており、全てを管理しきれていないと考えられる。情報セキュリティ部門だけでは統制しきれない(事業を止めて健全化することはできない、事業側のほうが権限が強いため。米国の大規模企業のセキュリティ部門は警察のような立ち位置である)。

 一方、CSERT、SOCなどのセキュリティ部門をガイドラインとプロセスを確立し、運用できている企業は優秀である。

 オンプレミスの公開システムはパッチ適用が低いことが多い(再起動が必要であり、冗長化できていないシステムだと適用ができない。そもそもパッチ適用が想定されないまま運用されている)。

 2021年はランサムウェアが大流行。他はマルウェア(API、不正送金、コインマイナー、スパムボット)、サーバ不正侵入(Webアプリ脆弱性、PF脆弱性、ID不正利用なあど(、内部犯、DDoS、BEC(ビジネスメール詐欺)。

 最近は標的型攻撃などにより社内の情報を収集したあとで、脆弱性を個別に攻撃してくるケースが多い。被害拡大防止の活動を抑止するためC2サーバ通信を制限。その後どこまで被害が行っているか全台調査を行う(ドメイン参加しているすべての端末に被害が出ている可能性がある)。全台を把握していないとインシデントを収束させることはできない。

 セキュリティ部門が大きくなり、分割されていくと、サイロ化して別々のツールが使われてしまい、セキュリティ統合ができなくなる。

企業のIT衛生基盤を実現する統制基盤TANIUM

 TANIUMが提供できるのは、単一プラットフォームで衛生管理・運用管理・緊急対応を実施できる。社内外関係なく自社端末の可視化・コントロールが可能であり、管理対象も多彩である。API連携によりSIEMやCMDBに連携できる。

 大規模環境でもリアルタイム管理、リアルタイムに端末を可視化・コントロール、コマンドラインで実行できることはすべて実現可能(500以上のスクリプトがある)。 TANIUMは全端末へのASK(質問)→KNOW(把握)→ACT(対策)を繰り返す。基本機能以外にも様々な拡張モジュールが追加できる。下記のIT衛生管理コストと期間が劇的に改善された。

特定 Asset,Discover,Reveal,Complyモジュールにて実現
 全数IT資産の把握
 非管理端末の定期調査

防御 Enforce,Patch,Deproy,IMモジュールにて実現
 Windows10 FU対応
 パッチ適用率の可視化

検知 Threat Responseモジュールにて実現
 特定リスクの影響度調査
 感染端末の緊急隔離/遮断

対応・復旧 Threat Responseモジュールにて実現
 汚染箇所の修復
 修復状況の全数調査