「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていない」という本音も聞こえてきます。「手軽に、そして全体的に知識が得られる方法って無いの?」とコスパを求める情シスのための情報セキュリティ基礎知識をまとめました。
ある程度ご存じの方にはおさらいの意味を込めて、またこれから情シスを目指す方には基礎知識として、「セキュリティ脅威」に関する内容をシリーズでお届けします。

前回(「ゼロから学ぶ」セキュリティ脅威(基礎編) #1)では、そもそも情報セキュリティとは何なのかをおさらいしました。
90年代に入り、オフコンからパソコン(PC)へ端末の進化により、業務がPC中心で行われるようになったこと、そして時を同じくしてインターネットが普及したにより、当時のDXとも言っても良いような業務変革が行われた結果、情報セキュリティが必要になったのです。

情報セキュリティ、どうやって守るのか

情報セキュリティ対策では守るべき対象が多いため、どれもこれもを”ひとつの盾”で守るのは困難なのが現状です。
また、防御の仕方にも様々な方法が存在し、自社の業務環境に最も適したものを選ばなければ意味がありません。全部入りのシステムを導入しても使い切れなければ、逆効果となり、人的なセキュリティホールとなることだってあるのです。

情報セキュリティ対策として、まず考えるべきなのが、「多層防御」であることは前回お話しした通りです。しかしながら、最近では働き方も変わり、防御の概念も変わりつつあります。
しかしながら、多層防御の考え方はセキュリティを学ぶ上では不可欠な要素ですので、しっかりと覚えておくことをオススメします。

そして繰り返しになりますが、多層防御とはさまざまなセキュリティ対策を組み合わせて階層を作り、1つの対策が破られても次の対策、そこがやぶられてもまたその次の対策というように、攻撃をいくつもの種類の違う防護壁で防ぐことができるようにすることです。
なので、ある程度は防壁が破られてしまうことは折り込み済みで、それでも最終的に大事な情報を守るためには、早い段階での侵入検知や攻撃の予兆検知を行う必要もあります。
そして多層防御では、たくさんある保護対象に対してそれぞれ適切に対策を施していくことが基本となります。

では、実際のシステムに対してどのような防護策があるのか見ていくことにしましょう。

 

端末を守る!

・ログイン管理

置き忘れた端末を誰かに拾われてしまってもログインさえできなければ情報を盗み見されることはありません。
ユーザーIDやパスワード等によるログイン管理をしっかり行っておきましょう。クラウドサービスの利用がほとんどというのであれば、SSO:Single Sign On(シングルサインオン)の機能をクラウドサービスとして提供しているところもあります。
利用するクラウドサービスが多岐にわたる場合のパスワード管理はこういったサービスを利用することでリスクを低減することが可能になります。
(参考:使える! 情シス三段用語辞典97「IDaaS」)

・アンチウイルスソフト

USBを介したデータのやりとりやトロイの木馬、EMOTETなどインターネットを通じてダウンロードしてしまった(コンピュータ)ウィルスなどから個人の端末を守る為には、アンチウイルスソフトは必須です。一般的にアンチウィルスソフトはウィルスのパターンファイルを参照して端末内のプログラムに対してチェック(スキャン)を行います。ウィルスがダウンロードされてしまった場合に侵入検知を行い、駆除してくれます。最近では不正サイトの検出を行うような多機能なアンチウイルスソフトもあります。

・データ暗号化

端末内のデータの盗み出しに対抗するのがデータの暗号化です。暗号化されていれば、仮に端末から抜き出されたディスクが第三者の手に渡ったとしても、解読することができません。暗号化されていない場合、マスターのままではファイルを覗くことはできなくても、スレーブとして別のPCに接続することで中身は丸見えになってしまいます。

例えば、WindowsではBitLockerという暗号化機能がついています。これにより、パスワードや解除鍵を持っていないとデータを読むこと自体が不可能となります。(もちろん自分のパスワードは忘れないように管理が必要です。)
SSDがオンボードに実装されているPCでない場合は、データ暗号化機能はONにしておくのが、ビジネスPCには必要でしょう。

・OSやアプリの更新

OSやアプリには脆弱性が潜んでいます。プログラムは人の手で書かれたものですから、抜けや漏れはあると考えるべきでしょう。
そういった脆弱性をつかれてマルウェアに侵入されてしまうことがあります。
このような被害を防ぐためには、OSやアプリを常に最新版へ更新する”セキュリティアップデート”を行う必要があります。

しかしながら、OSをアップデートしたが故に業務システムとの兼ね合いで動作しなくなってしまったなどということも発生します。
これらを防ぐために開発版による事前確認やアップデートタイミングの管理、更新情報の周知徹底なども併せて行う必要があります。

・EPP

EPPとはEndpoint Protection Platformの略で、上記のような端末防御が一つのセットになったセキュリティ製品です。
企業全体で端末管理を行うのであれば、一つ一つの製品を各々一つ一つの端末に入れるのではなく、EPPを使って一元管理すると効率的です。

(参考:使える! 情シス三段用語辞典88「EPP(Endpoint Protection Platform)」)

・EDR

EDRとは、Endpoint Detection and Responseの略で、端末内での不審な挙動の検出と対処をしてくれるセキュリティ製品です。
これは端末内でウィルスやマルウェア等によるリソースの消費やいつもと異なるアクセスを試みるなどの不審な挙動を監視し、もしもウィルスやマルウェアに侵入されてしまったとしても必要に応じてネットワークの遮断、不審なプロセス停止など、脅威への迅速な対応が期待できます。

(参考:使える! 情シス三段用語辞典89「EDR(Endpoint Detection and Response)」)

 

ネットワークを守る!

・ファイヤーウォール

外界のインターネットからやってくる不正なアクセスを遮断してくれるのがファイヤーウォールです。ファイヤーウォールは、ブラックボックスと呼ばれる、不正とわかっているアクセス元を遮断するタイプと、ホワイトボックスと呼ばれる正しいとわかっているアクセス元のみを通すタイプがあります。

・IPS/IDS

IPS/IDSはサーバーへのアクセスを監視するセキュリティ製品です。
IPSは不正侵入検知を行うシステムで、ネットワーク上に流れるパケットを監視して不正とみられる通信を検知します。IDSは不正侵入防御のできるシステムで、不正なアクセスを見つけた場合にその通信に対して遮断をしてくれます。

 

サーバーとデータを守る!

・サンドボックス

サンドボックスとは、外部からの怪しい(かどうかわからないものも含む)ファイルを実際に実行して検査を行う場所のことです。たいていの場合、仮想空間上に構成され、システムとは分離されています。
例えば、サンドボックスが導入されていれば、万が一悪意のあるマルウェアが仕込まれた添付ファイルをダウンロードしてしまったとしても、システムとは切り離されているサンドボックスの中でファイルの検証を行うため、安全が担保されます。
一歩進んで、クラウドサービス内の仮想環境でこれらが実行できれば、端末には検証済の結果しかダウンロードされないことから、さらに安全性は高まります。
(参考:使える! 情シス三段用語辞典98「Webアイソレーション」)

・アクセス権限管理

重要なデータには業務上必要な人のみがアクセスできるように権限を管理します。アクセス権限は、ファイルごと・ユーザー権限ごとに、読み書き削除ができる/読み出しだけできるなどの細かい設定を行います。

・ゼロトラスト

これはアクセス権限管理の一部とも言えますが、クラウド使用やリモートワーク等、企業外から重要データにアクセスすることが多いシステム構成にも適するセキュリティ対策です。ファイヤーウォールやIPS/IDSで外界からの通信だけを検査するのではなく、データにアクセスする通信すべてを毎回検査し、適する通信だけを通すというやり方です。

(参考:使える! 情シス三段用語辞典90「ゼロトラスト」)

このほか、端末を守るのと同じくアンチウイルスやデータ暗号化、OS更新等はどの端末・サーバーでも行う必要があります。

 

人的ミスから守る!

仮に上記にあげたような対策を全て取ったとしても、誰かのほんの少しのミスやちょっとした気のゆるみで起こりえるのがセキュリティインシデントです。
特に、昨今は従業員がなりすましメール(ラテラルフィッシング)などに騙されてしまう詐欺が増加しています。
そのため、従業員によくあるサイバー攻撃手口を紹介するなどのセキュリティ教育や啓蒙が必要となります。

(参考:使える!情シス三段用語辞典113「ラテラルフィッシング」)

 

 

今回は情報セキュリティを実現する手法について紹介しました。
自社での業務内容に照らし合わせ、多層防御の考え方に基づき、どのような防御策を施すべきか考える上での参考になればと思います。

 

【執筆:編集Gp 星野 美緒】

関連記事

情シス求人

  1. 登録されている記事はございません。
ページ上部へ戻る