後回しにされがちなセキュリティ運用の
必要性と有益性
企業においてさまざまなセキュリティ製品が導入されているが、その運用は十分だろうか。ここ数年でゼロトラストセキュリティの導入が急速に進んだことで、その対象に変化も生じているだろう。日々の業務に追われ、なかなか運用状況の確認や見直しまで手が回っていないケースもあるのではないだろうか。今回は、ゼロトラストセキュリティを象徴する「Security Service Edge」(SSE)を例に、セキュリティ運用の必要性と有益性について説明したい。
運用により有益情報を得られるSSE
まずはSSEについて紹介する。SSEとはSecurity Service Edgeの略で、ガートナーが提唱した概念の一つだ。SSEより先にSASE※1という概念が発表されたが、SASEからSD-WAN※2のようなネットワーク機能を除き、セキュリティ機能だけに絞ったものと考えればよいだろう。SSEとしては、米Netskope、米Zscalerが提供するサービスが代表的なものとして挙げられる。日立ソリューションズからもこれらのサービスを多くの企業に導入してきた。
SSEを導入した企業を見てみると、SSEの導入と併せて最初から運用を要件に入れているケース、まずは導入し段階的に運用を追加するケース、導入のみのケースとまちまちである。自社に十分な運用体制がある場合は導入のみでも問題ないが、もしそうした体制がないのであれば、ぜひこれを機に運用について検討してほしい。セキュリティ機能で構成されているSSEの運用を行わないと、本来SSEから入手できる有益な情報を見落としてしまう可能性があるのだ。それでは、具体的にどのような有益情報が手に入るのかを紹介する。
ログ分析から見えてくること
ほかのセキュリティ製品同様、SSEにもダッシュボード機能がある。ダッシュボードは視覚的には分かりやすいが、全体的な統計が多く、細かい状況を把握するには不向きだ。ダッシュボードで得られる情報の例としては、アクセスしたWebの種別、アクセスしたWebアプリケーション・SNSなどだ。しかし、SSEの導入目的として想定されるセキュリティ強化を達成するためには、全体を俯瞰する統計にとどまらず、より細かな状況を把握することが重要だ。
SSEはCASB※3/DLP※4やSWG※5、ZTNA※6など複数のセキュリティ機能を持っている。そのため、統計情報と併せて、各機能のログを分析すればリスクが可視化できる。例えば以下のような内容だ。
・組織で許可したアプリケーション以外の利用状況
・業務用ファイルの不正な持ち出しの有無
・マルウェアによる攻撃の有無
SSEにおける運用の有益性を理解してもらうために、ダッシュボードの情報やログを分析することでどのようなセキュリティリスクを把握できるのかをもう少し詳しく説明する。
把握できるセキュリティリスク
SSEから取得した情報の分析により把握できるリスクの例を、四つのカテゴリーに分けて見ていきたい。
□アプリケーションの利用状況
[取得できる情報の例]
・利用ユーザー
・利用アプリケーションの種類
・アップロード・ダウンロードされたデータのサイズ
・利用デバイス・OS
・アクセス先Webサイトの信頼性、カテゴリー別分類
[把握できるセキュリティリスクの例]
・業務外アプリケーションの利用状況
・極端に利用データのサイズが大きいアプリケーションの把握
・業務利用禁止デバイス・OSの利用状況
・サポート終了OSの利用状況
・リスクがあるアプリケーションの利用状況
□アクセスポリシーに対するリスク検知情報
[取得できる情報の例]
・URLフィルタリングに対するアラート・ブロックの状況
・過去に漏えいしたアカウントの利用状況
・アクセスしたファイルの種別
[把握できるセキュリティリスクの例]
・アクセス禁止Webサイトへのアクセス状況
・過去のID・パスワード漏えいの可能性
・マルウェア感染の疑い
□悪意のあるWebサイトへのアクセス
[取得できる情報の例]
・悪意のあるWebサイトへのアクセス状況
・マルウェアを含むWebサイトへのアクセス状況
[把握できるセキュリティリスクの例]
・マルウェア感染の疑い(Bot※7によるC&Cサーバー※8への通信)
□ユーザーの振る舞い
[取得できる情報の例]
・短期間での大量のファイルアップロード・ダウンロード状況
・通常行わない操作をしているユーザーの有無
・多くのログイン失敗
・短時間における地理的に離れた場所からのログインの有無
例:東京からログインしていた5分後に大阪からログインしている
・リスクが高い国からのアクセス状況
[把握できるセキュリティリスクの例]
・データの持ち出し・持ち込みの疑い
・情報漏えいの疑い
・ユーザー・デバイスの乗っ取りの疑い
プロアクティブな対処を実現
このようにダッシュボードの情報だけでなくログも含めて分析することで、サイバー攻撃や内部不正の予兆などのセキュリティリスクを把握し、プロアクティブな対処を実現できる。また、セキュリティポリシーの浸透状況や従業員のセキュリティリテラシーを把握可能なため、その情報を活用し実態に即した教育を行うこともできるだろう。
SSEをはじめセキュリティ製品の運用はメリットが大きいため、ぜひ実施してほしい。一方で、多くの組織においてログを分析できる人財や時間を確保できないという課題は深刻だ。最近では、さまざまなセキュリティベンダーがSSEの運用サービスを提供しているので、もし人財や時間を確保できない場合は活用をお薦めする。
※1 Security Access Service Edge:クラウド上からネットワークやセキュリティをまとめて管理する仕組みや考え方。
※2 Software Defined-Wide Area Network:ソフトウェアによって仮想的に定義された広域ネットワーク、またそれを実現する技術。
※3 Cloud Access Security Broker:デバイスとクラウドサービスの間に設置し、利用状況の可視化や利用制御を実施。
※4 Data Loss Prevention:情報漏えいを防止。
※5 Secure Web Gateway:インターネットへのアクセスに対し、社内だけでなく社外の端末にも共通のポリシー、アクセス制御を適用。
※6 Zero Trust Network Access:アクセス元やアクセス先を問わずセキュアなアクセスを実現。
※7 Bot:何らかの作業を自動的に実行するロボットを省略した呼び方。悪質なものでは、多種多様なサイバー攻撃を自動的に仕掛けるプログラムなど。
※8 Command and Controlサーバー:サイバー攻撃などで、ウイルスに感染したコンピュータを制御したり命令を出したりする役割を担う。