こんにちはヤク学長です。
データサイエンティスト兼ファーマシストで、アルゴリズムやBI開発を行っています。
本記事の目的は、「セキュリティの基本を知る」ことを目的としています。
【本記事のもくじ】
下記の方法で、簡単に概要を抑えることができます。
- 1.イントロダクション
- 2.ゼロトラスト概要
- 3.ゼロトラストの技術的要素
それでは、上から順番に見ていきます。
なお、本上記の方法を順番に抑えれば成果が出ます。
記事の内容は「転載 & 引用OK」問題ありません。
- 1 1.イントロダクション
- 2 2.ゼロトラスト概要
- 3 3.ゼロトラストの技術的要素
1.イントロダクション
ゼロトラストセキュリティは、近年注目されている新しいセキュリティアプローチです。従来のネットワークセキュリティは、組織の内部と外部を明確に区別し、組織内にいるユーザーや端末には信頼をおいていました。しかし、現在のセキュリティ脅威は、従来のセキュリティモデルに対して有効な攻撃手法を持っています。
ゼロトラストセキュリティは、「すべてのアクセスリクエスト」に対して厳密な認証を要求することで、ユーザーや端末に対する信頼を置かず、常に状況に応じたアクセス制御を行うことを目指しています。つまり、ユーザーや端末が組織内にいたとしても、そのアクセスリクエストは厳密な認証と認可を経なければ許可されません。
ゼロトラストセキュリティの目的は、不正アクセスやデータ漏洩などのセキュリティリスクを最小限に抑えることです。このアプローチにより、組織はより安全にデータを共有でき、セキュリティに関する問題に対してより速やかに対応できるようになります。
項目概要
・ゼロトラスト概要
・ゼロトラストの技術要素
社内システムをいかに守るかがテーマ
社内システムを守るためには、従業員による認証・認可、データの暗号化、セキュリティポリシーの策定と遵守、ネットワークセキュリティの強化などの対策が必要です。
具体的には、従業員にはアクセス権限の付与や二段階認証の導入、パスワードの強制変更、教育やトレーニングなどを行うことが重要です。
データの暗号化は、外部からの不正アクセスや内部者による不正行為からデータを保護するために必要です。また、セキュリティポリシーの策定と遵守により、セキュリティ対策の基本となるルールを従業員に周知し、守らせることができます。
ネットワークセキュリティの強化としては、ファイアウォールの導入や不正アクセスの監視、インシデント対応などがあります。また、脆弱性を持つシステムやアプリケーションの削除や更新、セキュリティパッチの適用なども必要です。
以上のように、社内システムを守るためには、従業員によるセキュリティ意識の向上やセキュリティポリシーの策定と遵守、技術的な対策の強化などが重要です。
2.ゼロトラスト概要
セキュリティの事故事例
まずは、代表的なセキュリティインシデントの例をいくつか挙げてみます。
- WannaCryランサムウェア攻撃
2017年に発生したランサムウェア攻撃で、WannaCryと呼ばれるマルウェアによって世界中の多くの企業や個人が被害を受けました。この攻撃では、感染したコンピュータ内のデータを暗号化し、身代金の支払いを要求するという手口が用いられました。 - Equifaxの個人情報漏洩
2017年、米国の信用調査会社Equifaxが不正アクセスによって1億4700万人以上の顧客の個人情報を漏洩させるという事件が発生しました。社内のセキュリティ対策が不十分であったことが原因とされています。 - Yahoo!の2度目の大規模情報漏洩
2016年に発覚したYahoo!の情報漏洩事件は、2013年に続いて2度目の大規模な漏洩でした。この事件では、1億5000万人以上のユーザーの個人情報が盗まれたとされています。 - TargetのPOS端末ハッキング事件
2013年、アメリカの大手小売チェーンTargetが、POS端末の不正アクセスによって4000万人以上のクレジットカード情報が流出したという事件が発生しました。攻撃者は、第三者が開発したマルウェアをPOS端末に侵入させ、カード情報を収集していました。 - Sony Picturesのハッキング事件
2014年に発生したSony Picturesのハッキング事件では、不正アクセスによって社内のコンピュータに侵入され、多数の機密情報や社員の個人情報が盗まれたとされています。また、攻撃者は社内のコンピュータを乗っ取り、機密情報を削除したり、社内システムをダウンさせたりするなどの被害を与えました。
セキュリティの基礎
情報セキュリティとは
情報セキュリティとは、情報資産を外部や内部からの攻撃や不正利用から保護するための取り組み全般を指します。情報セキュリティの対象は、機密性、完全性、可用性の三つの要素になります。つまり、情報が機密であることが保たれ、改ざんや破壊から守られ、必要な時に必要な人がアクセスできる状態であることが求められます。具体的には、セキュリティポリシーの策定や社内教育、セキュリティ対策の実施、セキュリティインシデントへの対応などが挙げられます。
情報セキュリティの構成要素
情報セキュリティの構成要素には以下のようなものがあります。
- 機密性 (Confidentiality):情報が不正な者によって閲覧や取得されないように保護すること。
- 完全性 (Integrity):情報が不正に改ざんされたり、正確でなくなることを防ぐこと。
- 可用性 (Availability):情報が必要な時に必要な人が利用できるように保護すること。
- 認証 (Authentication):正当なユーザであることを確認すること。
- 承認 (Authorization):情報資源へのアクセス権限を管理し、必要最小限の権限を与えること。
- 責任追跡性 (Accountability):システムの利用状況を記録し、不正アクセスが行われた場合にそれを特定できるようにすること。
- 非否認性 (Non-Repudiation):ユーザやシステムが行った行動を否認できないようにすること。
これらの要素を組み合わせ、統合的かつ継続的な情報セキュリティ対策を実施することが大切です。
リスクを下げるということ
情報セキュリティにおいてリスクとは、情報資産を脅威から守ることが必要であるが、その情報資産に脅威が及ぶ可能性がある状況を指します。つまり、情報資産を守るための対策が不十分であった場合、情報漏洩や盗難、改ざん、破壊などの被害が発生する可能性があることをリスクとして捉えることができます。
リスクは、脅威、脆弱性、影響度の3つの要素で構成されます。
①脅威とは、情報資産を脅かす存在や出来事のことで、ハッカーによる攻撃や自然災害などが挙げられます。
②脆弱性とは、脅威に対して防御できていない、あるいは不適切な対策をとっている状態のことで、脅威を受ける可能性が高い状態を指します。
③影響度とは、リスクが発生した場合に生じる影響の程度や範囲を表します。
リスクは、これらの要素を分析して算出されます。リスクを評価することで、どのような対策をとる必要があるかを判断することができます。具体的には、リスクアセスメントやリスクマネジメントなどの手法が用いられます。
情報資産
脅威
脅威(threat)とは、情報資産に悪影響を与える可能性のある事象のことを指します。具体的には、コンピュータウイルス、マルウェア、ハッキング、自然災害、人為的ミスなどが挙げられます。脅威は、情報セキュリティの脅威評価において特定され、その後、脆弱性やリスクとの関係性を考慮した上で、適切な対策が立てられます。
脆弱性
脆弱性とは、情報システムにおいて、セキュリティ上の問題を引き起こす可能性のある欠陥や弱点のことを指します。脆弱性がある場合、攻撃者はその脆弱性を利用してシステムに不正アクセスしたり、データを改ざんしたり、盗んだりすることができます。脆弱性は、ソフトウェアのバグやハードウェアの欠陥、設定ミスなどが原因となって生じる場合があります。脆弱性は常に存在するわけではなく、定期的に評価や診断を行うことで、早期に発見し、修正することが重要です。
リスク対策の種類
- リスク回避:リスクを回避することでリスクが発生しないようにする対策。
- リスク最適化:リスクとリターンのバランスを考慮して最適なリスク対策を決定する対策。
- リスク転移:リスクを別の機関や業者などに移転することで、リスクを分散し対処する対策。
- リスク保有:リスクに対する保有を選択することで、リスク対策を実施しないことで対処する対策。
リスクコントロールとは、リスクを最小化するための具体的な対策や手順を講じることを指します。上述のリスク回避とリスク最適化が該当します。例えば、物理的なセキュリティ対策や、適切なアクセス権限の設定などが該当します。
一方、リスクファイナンスとは、リスクに対する資金的な対策を講じることを指します。上述のリスク転移とリスク保有が該当します。保険などの金融商品を利用したリスク軽減や、予算の確保などが該当します。
リスク対策の選択
リスク対応の選択について、リスクの発生可能性と影響の大きさに基づいたマトリックスがあります。
| リスクの発生可能性 / 影響の大きさ | 低い | 中程度 | 高い |
|---|---|---|---|
| 低い | 対応策不要 | 監視・管理 | 対応策検討 |
| 中程度 | 監視・管理 | 対応策検討 | 対応策実施 |
| 高い | 対応策検討 | 対応策実施 | 避けられないので対応策を実施 |
このマトリックスでは、リスクの発生可能性と影響の大きさをそれぞれ「低い」「中程度」「高い」の3段階で評価し、それに基づいてリスク対応の選択肢を示しています。具体的には、発生可能性が低く、影響も小さい場合は対応策不要ですが、発生可能性や影響が高くなるにつれて、監視・管理、対応策検討、対応策実施の順に対応していくことが示されています。
マルウェアとは
マルウェアとは、”Malicious software”(悪意あるソフトウェア)の略で、コンピュータやネットワークシステムに侵入し、データを破壊・改ざんする、不正な処理を行う、個人情報を盗み取る、システムの機能を停止させるなど、悪意のある目的で作成されたソフトウェアのことを指します。ウイルス、ワーム、トロイの木馬、スパイウェア、ランサムウェアなど、多様な種類が存在します。マルウェアは不正アクセスや個人情報の漏洩、サイバー攻撃などに利用され、被害が深刻化しています。
マルウェアの種類
マルウェアの種類について、主要なものを以下のように分類できます。
| 種類 | 説明 |
|---|---|
| ウイルス (Virus) | ホストコンピューターに感染し、コンピューターやファイルなどの実行可能なプログラムに対して、自己複製の機能を持ち、感染したプログラムを実行することで、システムを破壊したり、機密情報を盗んだりする。 |
| ワーム (Worm) | ネットワーク上のコンピューターやサーバーなどに感染し、自己複製機能を利用して、感染したコンピューターから別のコンピューターへと感染を広げる。 |
| トロイの木馬 (Trojan horse) | 有害なプログラムを仮装させた偽装ソフトウェアであり、利用者によって実行されることで、コンピューターシステムやネットワークを侵害する。 |
| スパイウェア (Spyware) | インターネットを通じて、コンピューターに潜り込んで、利用者の個人情報や行動履歴を収集する。 |
| アドウェア (Adware) | インターネットを通じて、コンピューターに潜り込み、広告を表示させる。 |
| ルートキット (Rootkit) | 攻撃者がコンピューターに侵入した際に、自分たちの存在を隠すために使用されるソフトウェアであり、システム管理者でさえ、攻撃者の存在を知ることができないようにする。 |
| フィッシング (Phishing) | インターネット上で、信頼を悪用し、不正な情報を収集したり、詐欺行為を行ったりする手法のこと。 |
なお、マルウェアにはこれ以外にも様々な種類が存在します。
サイバー攻撃のプロセス
一般的なサイバー攻撃のプロセスは、以下のような手順で行われます。
1.偵察(Reconnaissance): 攻撃者はターゲットとなるシステムや組織についての情報を収集します。これには、インターネット上で公開されている情報、ソーシャルエンジニアリング、フィッシング攻撃などが含まれます。
2.侵入(Exploitation): 攻撃者は、偵察で収集した情報を基に、ターゲットのシステムやネットワークに侵入するための脆弱性を探索します。ここで使用される手法には、ゼロデイ攻撃、SQLインジェクション、クロスサイトスクリプティングなどがあります。
3.拡散(Propagation): 攻撃者は、侵入したシステム内部に侵入経路を作り、他のシステムやネットワークに拡散します。ここで使用される手法には、ワーム、トロイの木馬、バックドアなどがあります。
4.エスカレーション(Elevation of privilege): 攻撃者は、侵入したシステムの管理者権限を取得するなどして、自分たちに有利な条件を作り出します。
5.コマンド&コントロール(Command and control): 攻撃者は、侵入したシステムからリモートでコントロールするためのC&Cサーバを設置し、機密情報の窃取や破壊行為を行います。
6.行動(Actions on objectives): 攻撃者は、偵察で得た情報に基づき、目的に応じて情報窃取、サービス遮断、ランサムウェア感染などの攻撃を行います。
7.カバーアップ(Covering tracks): 攻撃者は、攻撃が発覚しないように、ログの消去や改ざんなどのカバーアップを行います。
このように、サイバー攻撃は複数の段階に分かれており、攻撃者はターゲットのシステムやネットワークに対して、時間をかけて計画的に攻撃を行っています。企業や組織がサイバーセキュリティ対策を行う際には、上記のプロセスを考慮して、全体的なセキュリティ対策を立てる必要があります。
今回はCyber Kill Chainについてご紹介します。
Cyber Kill Chain
Cyber Kill Chain(サイバーキルチェーン)は、サイバー攻撃のプロセスを7つの段階に分類したもので、攻撃者の行動を理解し、事前に備えることができるフレームワークです。
- Reconnaissance(偵察):攻撃者がターゲットに関する情報を収集する段階
- Weaponization(武装化):攻撃者が悪意のあるコードを開発・入手する段階
- Delivery(配信):攻撃者が武装化したコードをターゲットに送信する段階
- Exploitation(攻撃):攻撃者が武装化したコードを利用して、システムに侵入する段階
- Installation(侵入):攻撃者が自分たちの存在を確立する段階
- Command and Control(C2):攻撃者がシステムに対して指令を送信し、システムを制御する段階
- Actions on Objective(目標達成):攻撃者が最終的な目標を達成する段階
Cyber Kill Chainは、攻撃の過程を明確化することで、セキュリティ対策の方針や施策を立てる際の指標となります。
ATT&CK for Enterprise
ATT&CK for Enterpriseは、MITRE Corporationが開発したサイバー攻撃のフレームワークで、サイバー攻撃者が企業を侵害するために使用する手順やテクニックをリスト化しています。ATT&CK for Enterpriseは、侵害された組織がよりよいセキュリティ戦略を開発し、攻撃者による被害を最小限に抑えることを目的としています。このフレームワークには、侵害行為が実行される順序に基づいた攻撃チェーンが含まれており、技術的なテクニックと手順が細分化されています。
従来の防ぎ方
①境界型セキュリティ
境界型セキュリティとは、組織の情報システムを外部からの攻撃や不正アクセスから守るためのセキュリティ対策のことを指します。主にネットワークの外部境界(インターネット接続点や外部のパートナー企業との接続点など)に設置されるセキュリティ対策が中心となります。
具体的な対策としては、ファイアウォール、IDS(侵入検知システム)、IPS(侵入防止システム)、アンチウイルスソフトウェア、VPN(仮想プライベートネットワーク)などがあります。これらのセキュリティ対策により、不正アクセスや攻撃からの侵入を防ぎ、情報システムを安全に保護することが目的です。
しかし、現代の攻撃者は高度化し、従来の境界型セキュリティだけでは不十分な場合があります。そのため、境界型セキュリティに加えて、内部のセキュリティ対策や、従業員の教育・訓練、監視・検知などの対策が必要とされています。
②多層防御
多層防御とは、セキュリティ対策を複数のレイヤーに分けて実施することで、複数の防御策を組み合わせることにより、攻撃者が一つの防御策を突破した場合でも、他の防御策により攻撃を防ぐという考え方です。例えば、パスワードによる認証だけではなく、二要素認証やバイオメトリクス認証などの多層的な認証を組み合わせることで、不正アクセスを防ぐことができます。また、ファイアウォール、IDS/IPS、ウイルス対策ソフト、ログ分析ツールなどを組み合わせて、複数の防御策を構築することも多層防御の一例です。
③最小権限の原則
最小権限の原則とは、ユーザーやプログラムに与えられる権限を最小限に抑えることで、システムへの不正アクセスや攻撃による損害を最小限に抑えることを目的としたセキュリティ対策の一つです。
この原則に従えば、ユーザーに必要な権限のみ与え、それ以外の権限は与えないようにします。また、プログラムについても同様に、必要最小限の権限を与え、不必要な権限は持たせません。
最小権限の原則を実施することで、システムへの不正アクセスや攻撃による被害を最小限に抑えることができます。また、ユーザーやプログラムの誤操作によるシステム障害やデータ破壊なども防ぐことができます。
最小権限の原則は、情報セキュリティポリシーの策定や、アクセス制御の設計、権限管理の運用など、情報セキュリティ対策のあらゆる段階で考慮されるべき重要な原則です。
境界型セキュリティの課題
境界型セキュリティの課題としては一般的には以下のようなものが挙げられます。
- クラウドサービスの普及による境界の曖昧化 クラウドサービスが普及することで、企業の情報システムが拡散し、従来の境界が曖昧になってきました。このため、クラウドサービスを利用することで、境界型セキュリティの対象範囲が広がり、脅威が企業のシステムに侵入する可能性が高まります。
- セキュリティの脅威が増加している 現在のセキュリティ脅威は、従来のマルウェアに加えて、ランサムウェア、ボットネット、ソーシャルエンジニアリングなどがあり、境界型セキュリティだけでは対応しきれなくなっています。
- リモートアクセスによる脅威の増大 リモートアクセスが一般的になったことにより、企業のシステムに対する脅威が増大しています。たとえば、VPNを利用したリモートアクセスでは、ユーザーの認証情報が漏洩する可能性があります。
- ユーザーの教育が不十分 ユーザーがセキュリティに関する知識を持っていないため、セキュリティ対策が不十分になっています。たとえば、フィッシング詐欺のような攻撃に対して、ユーザーが十分に警戒心を持たない場合があります。
- ゼロデイ攻撃の発生 ゼロデイ攻撃とは、まだ発見されていない脆弱性を突いた攻撃です。ゼロデイ攻撃に対しては、既知の脆弱性を利用する攻撃に比べて、防御が難しいとされています。
特に昨今の課題として、以下のようなものがあります。
- VPN枯渇: 境界型セキュリティを実現するために、VPN(Virtual Private Network)を利用することが多く、大量のVPN接続が同時に発生した場合、VPNサーバーが枯渇してしまうことがあります。これは、テレワークやリモートワークが一般的になったことにより、VPN接続数が増加したことが原因となっています。
- 出口の負荷集中: 境界型セキュリティにおいて、外部との通信をコントロールする出口を設定している場合、その出口に通信が集中するため、通信速度が低下してしまうことがあります。特に、大量のデータをやり取りする場合には、出口に負荷がかかり、通信が不安定になることがあります。
- クラウド移行: クラウドサービスを利用することにより、境界型セキュリティの範囲が拡大し、セキュリティの管理が複雑化することがあります。また、クラウドサービスを利用する場合、クラウドサービス提供者が提供するセキュリティ対策に依存することになり、自社のセキュリティ対策が効果を発揮しなくなる可能性があるため、リスクの把握が必要となります。
オーロラ作戦とBeyondCorp
オーロラ作戦
「オーロラ作戦」とは、アメリカの国家安全保障局(NSA)が実施していた、世界中のあらゆるコンピューターシステムを監視・攻撃するための大規模なサイバー攻撃計画のことです。この計画は、2010年1月に、数千ものコンピューターシステムを攻撃し、その内部情報を収集することで実行されていました。
オーロラ作戦では、マルウェアを利用してターゲットとなるコンピューターシステムに侵入し、内部の情報を盗み出すことが主な攻撃手法でした。また、同時に複数のコンピューターシステムに攻撃を仕掛けることで、攻撃が発覚した場合に攻撃源を特定することを困難にする手法も用いられていました。
このようなサイバー攻撃は、標的とされる国や組織に対して大きな被害をもたらす可能性があり、世界的な注目を集めました。また、オーロラ作戦が明るみに出たことで、サイバーセキュリティに対する意識が高まるきっかけともなりました。
BeyondCorp
BeyondCorpは、Googleが採用しているセキュリティアプローチであり、従来のネットワーク境界型セキュリティの代替として提案されています。BeyondCorpは、信頼されたネットワーク内部にいるユーザーだけでなく、リモートからアクセスするユーザー、クラウドプロバイダー、パートナー、顧客、およびその他の第三者にも同じように適用されます。このアプローチでは、認証、認可、暗号化、ネットワークセグメンテーション、ログの取得などのセキュリティ機能を組み合わせて、ユーザーアクセスの可視性と制御を実現します。このアプローチにより、すべてのアクセスリクエストは、コンテキストに基づいた決定を下すために分析され、安全な環境でのみ許可されます。
ゼロトラストの考え方:すべてを疑う
ゼロトラストの考え方は、「すべてを疑う」というものです。従来のセキュリティは、企業内と外を明確に分け、企業内にいる人たちは信頼され、外にいる人たちは信頼されないという前提に立っていました。しかし、現代のビジネス環境では、従業員やパートナー、顧客が様々な場所からアクセスするようになり、この前提は崩れています。ゼロトラストは、誰でも不正行為を行う可能性があるという前提で、すべてのリソースやトラフィックを検証し、認証・承認を行うというアプローチをとります。
NISTの基本原則が大原則になります。
NISTとは、National Institute of Standards and Technology(米国国立標準技術研究所)の略称です。NISTは、米国商務省の標準技術局の一部門として、科学技術の発展を支援し、経済成長や公共サービスの改善に貢献するために設立されました。NISTは、米国政府の科学技術政策に対する主要な助言機関の一つであり、科学技術の発展と安全保障、経済成長、公共サービス、医療などの分野で活躍しています。NISTは、標準化、測定、試験、認定、情報技術の研究などを行っています。また、NISTは、米国政府機関や民間企業のセキュリティ基準策定にも関与しており、特に情報セキュリティの分野では、多くのセキュリティ基準やガイドラインを策定しています。
NISTが提唱する7つの基本原則は以下のとおりです。
- Risk-based approach to security: リスクに基づくアプローチを取ること。リスクに応じたセキュリティ対策を講じることが求められます。
- Security by design: セキュリティを設計の段階から組み込むこと。システムやプロダクトの設計の段階からセキュリティを考慮することが重要です。
- Identity and access management: アイデンティティとアクセス管理。アイデンティティの管理やアクセス制御を適切に行い、不正アクセスを防止することが求められます。
- Risk management: リスク管理。リスクに応じた対策を講じることが求められます。
- Incident response: インシデント対応。インシデントが発生した場合に備え、適切な対応を講じることが求められます。
- Privacy: プライバシー。個人情報の保護について適切な対策を講じることが求められます。
- Governance: ガバナンス。セキュリティに関する責任を明確にし、それを遵守することが求められます。
少し難しいですね。かみ砕くと以下のようになります
- ①すべてリソースとみなす
- ②すべての通信を保護する
- ③個別のセッション単位で許可する
- ④動的なポリシーによって決定される
- ⑤継続的に監視・計測する
- ⑥アクセスが許可される前に動的かつ厳密に実施される
- ⑦可能な限り多くの情報を収集して利用する
ゼロトラストの実現のためには
ゼロトラストを実現するためには、以下のような手順が必要となります。
- ネットワークの可視性の向上 ゼロトラストには、ネットワーク全体の可視性が重要です。それには、ネットワーク全体を監視するセキュリティソリューションの導入が必要です。
- アイデンティティの管理 アイデンティティの管理がゼロトラストにおいて非常に重要です。アイデンティティの確認には、多要素認証をはじめとした厳格な認証が必要です。
- アクセス制御の強化 ゼロトラストでは、アクセス制御の強化が求められます。アクセス制御を強化することで、ネットワーク全体に対するリスクを低減することができます。
- データの暗号化 データの暗号化は、ゼロトラストにおいて重要な要素です。データの暗号化をすることで、データを外部から保護することができます。
- セキュリティイベントの監視 ゼロトラストには、セキュリティイベントの監視が不可欠です。セキュリティイベントを監視することで、攻撃を事前に検知することができます。
- セキュリティの自動化とオーケストレーション ゼロトラストを実現するためには、セキュリティの自動化とオーケストレーションが必要です。これにより、攻撃に対する対応が迅速化されます。
- セキュリティコンプライアンスの確保 ゼロトラストを実現するためには、セキュリティコンプライアンスの確保が必要です。これにより、セキュリティポリシーの遵守が確保されます。
ゼロトラストの全体像
以下のようなイメージでゼロトラストの全体像を可視化することができます。
- ユーザーの認証と認可
ユーザーが認証を行い、アクセス権を取得します。この際、権限は最小限に抑えられます。 - アプリケーションの認証と認可
アプリケーションが認証を行い、アクセス権を取得します。この際、権限は最小限に抑えられます。 - セキュリティポリシーの適用
アクセスを許可するかどうかを判断するために、セキュリティポリシーが適用されます。 - アクセス制御
最終的にアクセスが許可された場合、アクセスが許可されるリソースに対してアクセス制御が行われます。 - ネットワークセグメンテーション
ネットワークを論理的なセグメントに分割し、アクセスを制御します。 - 認証の透明性
すべてのアクセスは、ユーザーとアプリケーションが認証されたことを示すことができます。 - 監視とログの取得
セキュリティインシデントが発生した場合、ログを調査することで原因を特定できます。また、セキュリティポリシーの改善に役立ちます。
3.ゼロトラストの技術的要素
認証と認可
認証と認可は情報セキュリティの分野で重要な概念であり、セキュリティ対策において欠かせない要素です。
「認証」は、ユーザーが本人であることを確認するためのプロセスであり、IDとパスワード、生体認証、証明書などの認証手段が用いられます。認証により、ユーザーが自分のアカウントにアクセスできるようになり、機密情報にアクセスする権限を取得します。
「認可」は、認証されたユーザーがアクセス可能な情報やサービス、リソースなどを制御するための仕組みであり、アクセス制御とも呼ばれます。認可により、認証されたユーザーが特定のリソースにアクセスできるかどうかが決定されます。認可は、ユーザーの役割や権限、所属部署などに基づいて設定されます。
認証と認可は密接に関連しており、認証がなければ認可を行うことができません。一方、認証があっても、認可が不適切な場合、機密情報が漏えいしたり、不正アクセスが発生するなどのセキュリティリスクが生じます。そのため、認証と認可の両方が適切に設定され、運用されることが必要です。
識別の重要性
ゼロトラストにおいて、識別は非常に重要な要素です。特定のユーザー、アプリケーション、デバイス、またはサービスを確認し、許可された場合にのみアクセスを許可するために、信頼できる方法でユーザーを識別する必要があります。
従来のセキュリティアーキテクチャでは、特定のユーザーが識別されると、そのユーザーは企業内のリソースにアクセスできることが保証されていました。しかし、ゼロトラストアーキテクチャでは、ユーザーは証明されたとしても、そのユーザーが必要な資格情報を持っていることを確認する必要があります。ゼロトラストは、ユーザーの識別とアクセスの許可が切り離されていることを前提としており、信頼された識別システムが必要です。
ゼロトラストにおいて、ユーザーの識別は、多要素認証、シングルサインオン、アプリケーション認証、APIトークン、セッション管理などの技術を使用して実現されます。ユーザーが正当な認証を受け、信頼できると判断されると、許可されたアクセス範囲内でのみアクセスを許可されます。
信頼と信用
信頼と信用は似たような意味を持つ言葉で、誰かや何かに対して安心して依存したり、信じたりすることができる状態を表します。
「信頼」は、主観的なもので人やシステムに対して、その信頼できる性質や行動、信用できる実績や能力を見て、信頼するということです。例えば、会社の同僚や友人、パスワードを管理するアプリやウェブサイトなどが信頼できると思った場合、その人やシステムに対して安心して情報を預けたり、利用したりすることができます。
「信用」は、客観的なもので人や企業などの組織が信頼できるかどうかを、第三者の情報や評価などから判断することです。例えば、信用情報機関からの信用調査結果や、ビジネスパートナーからの評価などを参考にして、ある企業が信用できるかどうかを判断することができます。
ゼロトラストでは、識別の段階で、ユーザーやデバイス、アプリケーションなどの信頼性や信用性を判断し、アクセスの可否を決定することが重要です。このため、正確な識別と信頼性の判断が求められます。
多要素認証 リスクベース認証
多要素認証とリスクベース認証は、両方ともセキュリティの向上を目的とした認証方法です。
多要素認証は、従来のパスワード認証に加えて、もう1つ以上の認証要素を使用することで、不正アクセスを防止しようとするものです。例えば、何かを知っている(パスワード)、何かを持っている(スマートフォンなどのデバイス)、何かを持っている(指紋、顔認証などのバイオメトリクス)などが考えられます。これらの認証要素を組み合わせることで、不正アクセスを防ぐことができます。
一方、リスクベース認証は、ユーザーのアクセスリクエストのリスクを評価し、必要に応じて追加の認証ステップを要求することで、セキュリティを向上させることを目的としています。例えば、ユーザーが不審な場所からアクセスしようとした場合、追加の認証要素を要求することができます。
どちらの方法も、単純なパスワード認証に比べてセキュリティを向上させることができますが、両方を組み合わせて使用することで、より高度なセキュリティを実現することができます。
IDアクセス管理(IAM)
IDアクセス管理(Identity and Access Management、IAM)とは、情報システム内でのユーザーやシステムのアクセス権限を管理することで、セキュリティを強化するための取り組みです。IAMは、ユーザーのアイデンティティを確認してから、そのユーザーにアクセス権限を与えることで、情報資産を保護するために利用されます。
IAMの主な機能としては、以下のようなものが挙げられます。
- 認証と認可
- ユーザーのプロビジョニングとデプロビジョニング
- アクセス制御
- 監査ログの収集
認証と認可についてはすでに説明しましたが、ユーザーのプロビジョニングとデプロビジョニングは、ユーザーのアカウント作成や変更、削除などを管理することを指します。アクセス制御は、ユーザーがどのような情報資産にアクセスできるかを制御するための仕組みです。監査ログの収集は、システムの利用状況を監視し、セキュリティインシデントの発生時に追跡調査を行うために行われます。
IAMの実装には、認証局(CA)やディレクトリサービス、アクセス制御ツールなどが使用されます。IAMを適切に実装することで、情報資産を適切に保護し、情報漏洩や不正アクセスなどのリスクを低減することができます。
主なIAM製品
- Okta
- Microsoft Azure Active Directory
- Google Cloud IAM
- AWS IAM
- OneLogin
- Ping Identity
- ForgeRock
- Auth0
- IBM Cloud IAM
- Salesforce Identity
などがあります。
多要素認証(MFA)
多要素認証(MFA)は、ユーザーの認証に複数の要素を使用することにより、セキュリティを強化する方法です。通常、MFAは以下のいずれかの要素を使用します。
- パスワード:何か知っている情報を使用します。例えば、ユーザー名とパスワードの組み合わせ。
- セキュリティトークン:何か所有している情報を使用します。例えば、スマートフォンにインストールされたアプリから生成されたワンタイムパスワード(OTP)。
- バイオメトリクス:何か持っている情報を使用します。例えば、指紋認証や顔認証。
多要素認証を使用することで、ユーザーがパスワードを忘れた場合でも、セキュリティが確保されます。また、不正アクセスのリスクを減らすことができます。
要素とは
要素は、多要素認証の中で、認証に必要な何らかの「要素」のことを指します。一般的には、以下の3つの要素が使用されます。
- 知識要素(something you know): パスワードやPINなどの秘密情報
- 所持要素(something you have): スマートフォンやUSBキーなどの物理的なデバイス
- 生体要素(something you are): 指紋認証や顔認証などの生体情報
多要素認証(MFA)の例
多要素認証(MFA)の例としては、以下のようなものがあります。
- パスワードとトークン:パスワードとセキュリティトークン(例えば、スマートフォンのアプリで生成されるワンタイムパスワードなど)を使用して認証する方法。
- スマートカード:スマートカードに格納された暗証番号と情報を使用して認証する方法。
- 生体認証:指紋、虹彩、顔認証などの生体情報を使用して認証する方法。
- ワンタイムパスワード:SMS、メール、アプリなどを使用して、1回限りのパスワードを生成して認証する方法。
- バイオメトリクス:生体情報(指紋、声紋、顔認証など)を使用して認証する方法。
なお、これらの方法を組み合わせたMFAもあります。例えば、スマートフォンのアプリで生成されたワンタイムパスワードと指紋認証を組み合わせた認証などがあります。
二段階認証
二段階認証は、パスワードなどの単一の要素だけでなく、もう1つ以上の認証要素を必要とする認証方法です。通常、最初にパスワードを入力し、次にSMSやアプリからのトークン、生体認証など、別の認証要素が必要になります。この方法により、ユーザーの認証をより強固にし、セキュリティを強化することができます。
リスクベース認証(RBA)
リスクベース認証(Risk-Based Authentication, RBA)は、ユーザーの認証において、リスクの高さに応じて認証方法を変えることで、より高度なセキュリティを実現する技術です。RBAでは、ユーザーの行動パターンや端末の情報、IPアドレスなどの要素を総合的に評価して、リスクの高いユーザーほど厳しい認証を行い、リスクの低いユーザーには簡易的な認証を許可するといった柔軟なアプローチが可能です。
例えば、ユーザーが普段と異なる場所からログインした場合、あるいは不審なログインが試みられた場合には、より厳しい認証を要求することができます。このように、RBAはユーザーの行動パターンを分析することで、セキュリティの脅威をより正確に評価することができます。
ID認識型プロキシ(IAP)
ID認識型プロキシ(Identity-Aware Proxy、IAP)とは、Google Cloud Platform(GCP)で提供されるサービスの一つで、WebアプリケーションやAPIなどのクラウドリソースへのアクセス制御を行うためのプロキシサービスです。IAPを使うことで、認証済みのユーザーのみがクラウドリソースにアクセスできるようになります。IAPは、GoogleアカウントやG Suiteアカウント、Google Cloud Directory Syncなどで管理されているユーザーの情報を利用して、アクセス制御を行います。また、IAPは、VPNやファイアウォールなどの境界型セキュリティを置かなくても、クラウドリソースに対するアクセス制御を行うことができるため、ゼロトラストアーキテクチャにおけるアクセス制御の実現に役立つ技術の一つとして注目されています。
IAPとVPNの違い
IAPとVPNの主な違いは、アクセス制御の仕組みにあります。
VPNは、ユーザーが外部ネットワークに接続するためには、まずVPNに接続する必要があります。VPNに接続すると、内部ネットワーク上の資源にアクセスできるようになります。VPNは、内部ネットワークに対する外部からの攻撃を防ぐのに役立ちますが、ユーザーがVPNに接続している限り、内部ネットワークにアクセスできるため、一度VPNに接続したユーザーが悪意のある行為を行う可能性があります。
一方、IAPは、Google Cloud Platformのようなクラウド環境で使用されるセキュリティソリューションで、ユーザーがアクセス可能な資源を認証に基づいて動的に制御します。IAPを使用すると、ユーザーがアクセスできるリソースを制御でき、必要に応じてアクセスを制限できます。IAPは、ユーザーが外部ネットワークに接続する必要がなく、ユーザーがアクセスできるリソースを柔軟に制御できるため、VPNよりもセキュリティが高いとされています。
ラテラルムーブメント
ラテラルムーブメント(Lateral Movement)とは、コンピュータシステム内で攻撃者が動き回ることを指します。具体的には、攻撃者が感染させた端末やサーバーから、他の端末やサーバーに侵入し、攻撃を拡大するために行われます。
例えば、あるサーバーに侵入した攻撃者が、そのサーバー内にある別のサーバーに攻撃を仕掛けるために侵入し、更にその先の別のサーバーに侵入するなど、サーバー内で攻撃を拡大していくことがラテラルムーブメントにあたります。
ラテラルムーブメントを行う攻撃者は、攻撃が拡大するにつれて権限の高いシステムにアクセスできるようになるため、早期に発見・防止することが重要です。
IAPとVPNの違い
IAPのメリットは以下の通りです。
- 最小限のアクセス制御:IAPは、ユーザーがアクセスできるアプリケーション、サービス、リソースを制限することができます。VPNとは異なり、ネットワークへの完全なアクセスが必要ではありません。
- 認証と認可:IAPは、認証と認可を組み合わせた方法でアクセスを制御します。ログイン情報を持っていても、アクセスが許可されていない場合は、アクセスできません。
- 柔軟性:IAPは、ユーザーがどこからでもアクセスできるようにすることができます。ユーザーがVPNに接続する必要はありません。
IAPとVPNの主な違いは、IAPがアプリケーションレベルのアクセスを制御することができる点です。VPNはネットワークレベルのアクセスを制御するため、IAPと比較して、VPNはアクセスの制御が粗いという欠点があります。また、IAPは、ユーザーが必要なアクセス権を持っている場合にのみアクセスを許可することができます。一方、VPNは、接続されたユーザーに対して一般的にアクセスを許可するため、より大きな脆弱性を持っています。
IAP製品
- Google Cloud Identity-Aware Proxy (IAP)
- Okta Access Gateway
- Microsoft Azure Active Directory Application Proxy
- Cisco Duo Access Gateway
- Amazon Web Services (AWS) Network Load Balancer (NLB) などが、IAPの代表的な製品です。
公開鍵基盤(PKI)
公開鍵基盤(Public Key Infrastructure, PKI)とは、公開鍵暗号を利用したセキュリティの仕組みを実現するための基盤です。PKIは、デジタル証明書を発行する認証局(CA)や、デジタル証明書の管理・配信を行うリポジトリなどのコンポーネントから構成されます。
PKIによって、暗号化や署名などの重要なセキュリティ機能を実現することができます。例えば、Webサーバーとクライアント間の通信において、SSL/TLSプロトコルによる暗号化を実現するために、Webサーバーにはデジタル証明書を取得する必要があります。これにより、Webサーバーの正当性を証明し、クライアントは安心して通信を行うことができます。
PKIは、インターネット上で安全にデータを送受信するための重要な仕組みであり、企業や組織においても重要なセキュリティ対策となっています。
サーバー証明書とルート証明書は、公開鍵基盤における重要な概念の2つです。
サーバー証明書は、Webサイトやアプリケーションなどのサーバーが、訪問者に対して公開鍵暗号方式で暗号化された通信を提供することを証明する証明書です。訪問者がWebサイトなどにアクセスした際、サーバーから提供される公開鍵を使用して通信が暗号化されますが、サーバー証明書は、その公開鍵が本当にそのWebサイトやアプリケーションのサーバーから提供されたものであることを証明するものです。
一方、ルート証明書は、信頼できる認証局(CA)によって発行される証明書で、信頼できるルート認証局の公開鍵を含んでいます。Webサイトなどのサーバー証明書が、信頼できるCAによって発行され、そのCAの公開鍵がルート証明書に含まれている場合、訪問者のブラウザーはそのサーバー証明書を信頼することができます。
つまり、サーバー証明書はサーバーが提供する公開鍵を証明する証明書であり、ルート証明書は信頼できるCAの公開鍵を含む証明書であると言えます。
共通鍵暗号方式と公開鍵暗号方式の違い
| 共通鍵暗号方式 | 公開鍵暗号方式 | |
|---|---|---|
| キーの種類 | 共通の秘密鍵を送受信者が共有 | 公開鍵と秘密鍵を使用する |
| 暗号化速度 | 非常に高速 | 非常に低速 |
| 鍵交換の必要性 | 鍵交換が必要(安全な方法で行う必要がある) | 鍵交換が不要 |
| 安全性 | 相手に鍵を渡すことで情報漏洩の可能性あり | 暗号化と復号に異なる鍵を使用するため、より安全性高い |
| 使用例 | VPNやSSHなどのセキュア通信 | SSL/TLS、SSHなど、安全性が重視される通信に使用される |
共通鍵暗号方式は高速であるため、大量のデータを暗号化する場合に適しています。しかし、暗号化に使用する鍵を共有しなければならないため、鍵交換について十分な安全対策を講じる必要があります。
一方、公開鍵暗号方式は、鍵交換の必要性がなく、情報漏洩の可能性も低いため、セキュリティの要件が高い通信に使用されます。しかし、暗号化速度が遅いため、大量のデータを暗号化する場合には向いていません。
相互TLS(mTLS)
相互TLS(Mutual TLS、mTLS)とは、TLS(Transport Layer Security)プロトコルを使用した相互認証を行うための技術で、クライアントとサーバーがお互いに証明書を検証し、認証することで、通信相手が正当なものであることを確認することができます。
通常のTLSでは、サーバーが証明書を提示し、クライアントがその証明書を検証することで、通信相手が正当なものであることを確認しますが、mTLSでは、クライアントも証明書を持ち、サーバーもそれを検証することで、通信相手が正当なものであることを確認します。mTLSは、特にAPI通信やマイクロサービス間の通信など、個々のユーザーセッションを持たずに大量の接続を行う場合に有効です。
相互TLS(mTLS)はなぜ必要なのか
相互TLS(mTLS)は、クライアントとサーバー間の通信を保護するためのセキュリティ手段の一つです。通常のTLS(Transport Layer Security)では、クライアントがサーバーを認証することができますが、サーバーがクライアントを認証することはできません。しかし、mTLSを使用することで、クライアントもサーバーと同様に証明書を使用して認証されます。
mTLSは、ウェブアプリケーションやAPIなど、クライアントとサーバーの双方が認証が必要な場合に特に有用です。例えば、銀行のオンラインサービスや、APIを使用してユーザーの個人情報を扱う場合などです。mTLSは、偽装クライアントによる攻撃を防止し、より高度なセキュリティを提供することができます。
セキュアWebゲートウェイ
セキュアWebゲートウェイ(SWG)は、Webトラフィックを保護し、Webアプリケーションへの攻撃や悪意のあるトラフィックを防ぐためのゲートウェイです。SWGは、主に以下の機能を持っています。
- リバースプロキシ:SWGは、Webサーバーの前に設置され、リバースプロキシとして機能します。Webサーバーが直接公開されるのを防ぎ、アプリケーションを保護します。
- WAF:SWGには、Webアプリケーションファイアウォール(WAF)が含まれています。WAFは、Webアプリケーションに対する攻撃を監視し、検出してブロックするためのルールを適用することができます。
- SSLオフロード:SWGは、SSL/TLS暗号化のオフロードを処理することができます。つまり、暗号化されたWebトラフィックを復号化し、処理した後に再び暗号化することができます。
- 認証と認可:SWGは、ユーザー認証と認可に使用されることができます。アクセス制御を実行し、許可されていないユーザーがアクセスできないようにします。
SWGは、Webセキュリティを強化するための重要なツールであり、多くの組織が使用しています。
最大の特徴:社内プロキシ分散化が可能
社内プロキシ分散化は、セキュリティの観点から、従来の単一のプロキシサーバーに代わり、分散型のプロキシサーバーを使用することで、より高い可用性と耐久性を実現します。社内プロキシ分散化の特徴は次のとおりです。
- 負荷分散:単一のプロキシサーバーに負荷が集中しないようにすることで、アプリケーションの可用性を向上させます。
- 冗長性:分散型のプロキシサーバーを使用することで、1つのサーバーに障害が発生しても、他のサーバーが引き継ぐことができます。
- セキュリティ:複数のプロキシサーバーを使用することで、ネットワーク内のトラフィックをより細かく制御でき、より高度なセキュリティを実現できます。
- スケーラビリティ:プロキシサーバーを必要に応じて追加できるため、アプリケーションのスケーラビリティが向上します。
- コスト効果:分散型のプロキシサーバーを使用することで、単一のサーバーに比べて、ハードウェアやソフトウェアのコストを削減できます。
もし、クライアント証明書が盗まれたら?
クライアント証明書が盗まれた場合、証明書を使用した認証が不正に行われる可能性があります。これにより、証明書を盗んだ攻撃者が証明書の所有者であるかのように偽装して、機密情報やリソースにアクセスできる可能性があります。そのため、証明書を盗難から保護するためには、以下のような対策を講じることが重要です。
- パスワード保護:クライアント証明書を保護するためには、パスワード保護を有効にすることができます。証明書を使用する前にパスワードを入力する必要があります。これにより、証明書が盗まれた場合でも、パスワードが不正に使用されることはなく、証明書を保護することができます。
- キーペアの保護:クライアント証明書には、公開鍵と秘密鍵が含まれています。攻撃者が秘密鍵を入手すると、証明書を不正に使用することができます。そのため、秘密鍵を保護することが重要です。秘密鍵は、安全な場所に保存するか、ハードウェアセキュリティモジュール(HSM)などのセキュリティデバイスに保存することができます。
- 証明書の失効:クライアント証明書が盗まれた場合、証明書の失効を通知することができます。証明書を失効させることにより、不正なアクセスを防止することができます。
- 監視:クライアント証明書を監視することにより、不正なアクセスを早期に検出することができます。監視には、証明書の有効期限の監視や、証明書が使用されたログの分析などが含まれます。
そこで、登場するのがセキュリティチップというものです。
セキュリティチップ(TPM)
セキュリティチップ(TPM)は、コンピューターのセキュリティを向上させるための技術の1つで、コンピューター内に暗号化されたキーを保存するための専用のハードウェアチップです。TPMは、セキュリティ上の問題を解決するために設計されており、特定のコンピューターでしか動作せず、外部からの攻撃から保護されます。
TPMは、コンピューターの起動時に、システムが正当であることを検証するために使用されることがあります。このプロセスは、トラステッド・ブートと呼ばれ、TPMによって生成された信頼できるルートに基づいて、OSやアプリケーションの起動前に、システムが正当であるかどうかが検証されます。
TPMはまた、データの暗号化や電子署名にも使用されます。例えば、TPMは、暗号化されたデータを暗号化または復号するために必要なキーを生成し、このキーを保護することができます。TPMは、これらのキーを外部から保護することによって、データのセキュリティを向上させることができます。
TPMの特徴
TPMは、コンピューターのハードウェア上に搭載されたマイクロコントローラーであり、OSから独立してセキュリティ機能を提供します。これにより、OSが侵害されても、TPMに保存された重要な情報は保護されます。また、TPMはセキュアブート機能も提供し、システム起動時にプラットフォームの完全性を確認し、改ざんが検出された場合には自動的にシステムをシャットダウンすることができます。
TPMの利用例
TPMは、コンピューターシステム全体のセキュリティを向上させるために使用されます。以下は、TPMの利用例の一部です。
- ドライブ暗号化:TPMは、ハードドライブの暗号化キーを保存し、不正なアクセスを防止することができます。
- 起動時の信頼性:TPMは、コンピューターシステムの起動時に、OSやブートローダーが正規のものであることを検証することができます。
- ネットワークセキュリティ:TPMを使用することで、コンピューターがネットワークに接続されている場合でも、機密情報の漏洩を防ぐことができます。
- デジタル署名:TPMは、電子署名を作成するためのキーを保存することができます。
- バイオメトリクス認証:TPMは、生体認証情報を保存することができます。
これらは、TPMが使用される一部の一般的な例ですが、実際には、他にも様々なセキュリティアプリケーションで使用されます。
モバイルデバイス管理(MDM)
モバイルデバイス管理(Mobile Device Management、MDM)は、企業などが所有するモバイルデバイス(スマートフォン、タブレット端末など)を一元的に管理することを指します。MDMにより、企業の情報セキュリティポリシーに沿ったセキュアな設定や操作が可能となります。
主な機能としては以下のようなものがあります。
- デバイスの遠隔操作や設定の変更
- デバイスの監視やトラッキング
- セキュアなデータの保存や暗号化
- アプリケーションのインストールや制限
- セキュアなネットワーク接続の提供
MDMは、BYOD(Bring Your Own Device)やテレワークの増加に伴い、企業において重要性が高まっています。また、GDPR(General Data Protection Regulation)などの法規制により、個人情報保護に関する取り組みが求められるようになっており、MDMはその一環としても重要な役割を果たしています。
モバイルデバイス管理(MDM)の特徴
モバイルデバイス管理(MDM)の特徴を示すマトリックスです。
| 特徴 | 説明 |
|---|---|
| 対象デバイス | スマートフォン、タブレット、ラップトップなどのモバイルデバイス |
| 管理機能 | デバイスの設定、監視、保守、セキュリティ管理など |
| セキュリティ | デバイスのロック、データの暗号化、セキュアブート、VPNの設定など |
| アプリケーション管理 | アプリケーションのインストール、更新、アンインストール、アクセス権の設定など |
| データ管理 | データのバックアップ、復元、共有の制限、リモートワイプなど |
| ユーザー管理 | ユーザーの追加、削除、パスワードの変更、アクセス権の設定など |
| 監視・報告 | デバイスの位置情報、利用状況、セキュリティイベントの監視と報告 |
上記の特徴は、MDMソリューションによって提供される範囲や機能が異なる場合があります。
モバイルアプリケーション管理(MAM)
モバイルアプリケーション管理(MAM)とは、組織内のモバイルデバイスにインストールされているアプリケーションを管理することを指します。MAMは、企業が管理しているデバイスにアプリケーションをインストールすることを必要とせず、管理されていない個人所有のデバイスにもアプリケーションを提供することができます。
MAMは、アプリケーションの配信、ライセンスの管理、アプリケーションのセキュリティ機能の制御、およびアプリケーションのデータ保護など、アプリケーションのライフサイクル全体をカバーすることができます。
MAMは、企業がBYOD(Bring Your Own Device)政策を採用する場合や、モバイルワークフォースが増加する中で、モバイルデバイスの管理とセキュリティに関する課題を解決するために利用されます。
モバイルアプリケーション管理(MAM)の特徴
モバイルアプリケーション管理(MAM)の特徴は以下の通りです。
| 特徴 | 説明 |
|---|---|
| アプリケーション単位の管理 | モバイルアプリケーションのみを管理することができ、デバイス自体の管理を必要としない |
| BYODに対応可能 | ユーザーが自分のデバイスを使用してアプリケーションを利用することを許可するため、BYOD環境に対応可能 |
| アプリケーションの導入と配信 | アプリケーションの導入、アップデート、削除を中央から配信することができる |
| アプリケーションのポリシー管理 | アプリケーションの利用に関するポリシーを設定し、強制することができる |
| データの保護 | 企業のデータにアクセスするアプリケーションを保護し、情報漏洩を防止することができる |
| データの削除 | デバイス上のアプリケーションやデータをリモートで削除することができる |
| アプリケーションの使用状況の監視 | アプリケーションの利用状況を監視し、問題があればすぐに対応できる |
MAMは、MDMと比較してアプリケーションに特化した管理ができることが特徴です。デバイス管理をする必要がなく、ユーザーが自分のデバイスを使用するBYOD環境にも対応できます。アプリケーションの導入やアップデート、削除を中央から配信することができるため、アプリケーションの管理にかかる手間やコストを軽減することができます。また、企業のデータにアクセスするアプリケーションを保護し、情報漏洩を防止することができます。
主なMDM/MAM製品の特長
主なMDM/MAM製品には以下のようなものがあります。
- Microsoft Intune
- VMware Workspace ONE
- BlackBerry Unified Endpoint Management
- MobileIron
- IBM MaaS360
- Citrix Endpoint Management
- Sophos Mobile
- Jamf Pro
- Google Mobile Management
- Apple Business Manager/Apple School Manager
情報漏洩防止(DLP)
情報漏洩防止 (Data Loss Prevention, DLP) とは、機密情報や個人情報などの企業資産を外部に流出させることを防止するセキュリティ対策のことです。企業において、機密性やプライバシーを守るためには、社員が作成する文書、メール、ファイル、コピー機やプリンターでの印刷などの場面で情報漏洩が発生する可能性があります。DLPは、こうした情報漏洩を未然に防ぐために、企業資産の監視や検知、遮断を行う技術やプロセスを総称して指します。
具体的には、DLPは、以下のような機能を持っています。
- 情報の転送制御:企業のネットワーク内外への情報の送信・受信を制御する。
- 機密情報の検知:機密情報を特定して監視し、検知したら適切な対応をする。
- コンプライアンスポリシーに基づくチェック:法律や規制に準拠しているか、企業ポリシーに沿っているかなどをチェックする。
- 情報の暗号化・マスキング:情報の暗号化や一部の情報をマスキングして、外部流出を防ぐ。
- 管理対策の実施:情報漏洩対策のルールや規定、管理対策の実施を行う。
DLP製品には、オンプレミス型とクラウド型があり、企業のニーズに合わせて選択することができます。また、DLP製品は、フル機能型とポイントソリューション型があります。フル機能型は、複数の機能を持つため、導入や運用が大変ですが、総合的な情報漏洩対策を行うことができます。ポイントソリューション型は、特定の機能に特化しているため、導入や運用が容易であり、特定の情報漏洩リスクに対して対応することができます。
情報漏洩防止(DLP)製品
情報漏洩防止(DLP)製品は、多数の企業で使用されています。主な製品には、以下のようなものがあります。
- Symantec DLP:データの機密性を保護するために使用される包括的なプラットフォームで、クラウド、データセンター、エンドポイントでのデータ漏洩を検知する機能を備えています。
- McAfee DLP:企業が所有するデータの機密性を保護するための包括的なDLPソリューションで、リアルタイムでのデータ保護と検知機能を提供しています。
- Forcepoint DLP:データの機密性を保護するために使用される包括的なDLPソリューションで、組織内のすべてのデータの保護、検知、制御を提供しています。
- TrendMicro DLP:クラウドやエンドポイントなど、あらゆるデバイスや環境でデータの漏洩を防ぐためのDLPソリューションで、リアルタイムの検知、保護、管理を行うことができます。
- GTB Technologies DLP:リアルタイムでの検出やブロック、監査、レポート作成を提供するDLPソリューションで、機密性の高い情報の漏洩を防止するための包括的な機能を備えています。
これらの製品は、企業が所有する機密データを保護するための包括的なDLPソリューションを提供しています。それぞれの製品には、独自の特徴や機能がありますが、いずれも企業がデータの漏洩を防止するために必要な機能を提供しています。
セキュリティ情報イベント管理(SIEM)
セキュリティ情報イベント管理(Security Information and Event Management、SIEM)は、企業や組織の情報システムで発生するログデータなどの情報を収集し、解析・監視することで、様々なサイバーセキュリティ上の脅威や攻撃を早期に検知し、適切な対応を行うための仕組みです。
SIEMは、主に以下のような機能を持ちます。
・ログの集中収集:企業内の様々なシステムやアプリケーション、ネットワーク機器からログを集めます。 ・ログデータの解析:収集したログデータを解析し、異常なアクセスや不審な動きなどを検知します。 ・警告やアラートの発信:異常なアクセスや不審な動きを検知すると、運用者に警告やアラートを発信します。 ・インシデント対応支援:異常なアクセスや不審な動きを発見した場合、適切な対応を行うために必要な情報や手順を提供します。
SIEM製品には、IBM QRadar、Splunk Enterprise Security、LogRhythm、ArcSightなどがあります。
USER and Entity Behavior Analytics
SOAR
SIEMとSOARの製品
SIEMやSOARの製品には、以下のようなものがあります。
SIEM:
- Splunk Enterprise Security
- IBM Security QRadar
- McAfee Enterprise Security Manager
- LogRhythm NextGen SIEM Platform
- Micro Focus ArcSight
- Elastic Security
SOAR:
- Demisto (Palo Alto Networks)
- Siemplify
- Phantom (Splunk)
- Cyberbit SOC 3D
- DFLabs IncMan
- IBM Resilient
これらの製品は、それぞれ異なる特徴や機能を持っています。企業のニーズに合わせて、適切な製品を選択することが重要です。
というわけで、今回は以上です。大変大変お疲れ様でした。
引き続きで、徐々に発信していきます。
コメントや感想を受け付けています。ちょっとした感想でもいいので嬉しいです。
それでは、以上です。
