ニュース
» 2019年01月30日 08時00分 公開

ITmediaエンタープライズセキュリティセミナー:ダークウェブサイト「Silk Road」運営者逮捕の理由から学ぶOPSECのヒント (3/3)

[谷崎朋子,ITmedia]
前のページへ 1|2|3       

CASBを導入して、便利で安全なクラウドの活用を

マクニカネットワークス サイバーセキュリティ第3営業部第2課の戸水謙治氏

 企業のクラウド活用が進み、社内ネットワーク内外の端末からクラウドサービスを利用するのが当たり前となった現在、課題となるのはユーザーのアクセスの可視化と制御だ。

 「ファイアウォールやプロキシでクラウド通信を可視化できているので問題ないという認識がよくあるが、大半は実態を十分把握できていないのが現状」とマクニカネットワークス サイバーセキュリティ第3営業部第2課の戸水謙治氏は指摘する。社内外で利用されるクラウドサービスを可視化して制御をかけるCASB(Cloud Access Security Broker)の導入は今後ますます重要になるという。

 マクニカネットワークスが販売する「McAfee MVISION Cloud」は、SaaSやPaaS、IaaSへAPIをコールし、クラウドの管理テナント内を直接確認、制御するソリューションだ。収集したログを機械学習にかけ、平常時と異なる不審なイベントを検知。深刻度を評価したり、管理テナント内での内部、外部のコラボレータを可視化して共有先をコントロールしたりといった制御を実現する。

 また「McAfee MVISION Cloud for Shadow IT」は、MVISION Cloudのデータベースを基に、利用を許可するクラウドサービスを評価する製品だ。ファイアウォールやプロキシのURLリストなどと連携しながら利用中のサービス数やリスクを評価し、未承認のサービスを制御する。

 「CASBを導入して、便利で安全にクラウドを活用してほしい」(戸水氏)

市場に脆弱性を持っていかないように、シフトレフトを

日本シノプシス ソフトウェア・インテグリティ・グループ シニアセールスエンジニアの佐藤大樹氏

 報告されたインシデントの約9割は、ソフトウェアの設計やコードの欠陥が悪用されたことに起因する。重要なのは、ソフトウェア開発ライフサイクルの初期段階から脆弱性を生まないコーディングや開発、テストを実施すること。つまり「シフトレフト」を意識したセキュリティ対策を実践することが大切だ――日本シノプシス ソフトウェア・インテグリティ・グループ シニアセールスエンジニアの佐藤大樹氏は、そう提案する。

 「ソフトウェアのバグがエラーを吐き出し、それが結果的に脆弱性として悪用されていることを考えると、ソフトウェアの品質とセキュリティは分けて考えられるものではないことが分かる。リリース後にパッチを適用しながら攻撃を防ぐリアクティブな対応よりも、開発段階でセキュリティを担保する方が効率的だ」(佐藤氏)

 日本シノプシスでは、「統合解析ツール」「マネージドサービス」「プログラムの推進および戦略、計画立案」の3層によるアプローチを提案する。

 統合解析ツールでは、ソースコードの段階で不具合を発見する静的解析製品「Coverity」、サードパーティー製コードや既知の脆弱性、ライセンス違反などを検知、管理する「Black Duck」、動的解析の「Defensics」と「Seeker」を提供。マネージドサービスでは、アプリケーションの脆弱性診断をSaaSで提供。プログラムの推進および戦略、計画立案では、例えばeラーニングやDevSecOpsインテグレーションなどを提供する。

 「ソフトウェアがセキュアであれば攻撃そのものが発生しない。シフトレフトで市場に脆弱性を持っていかないような施策をぜひ検討してほしい」(佐藤氏)

サイバーレジリエンスのあるインフラの構築を

Infoblox システムエンジニアリング技術本部 本部長の高橋徹氏

 DNSを利用した情報漏えいなどのサイバー攻撃は増加傾向にある。どんな通信でも最初に問い合わせることになるDNSに攻撃者が目を付けるのは自然なことで、悪用されるケースは後を絶たない――Infoblox システムエンジニアリング技術本部 本部長の高橋徹氏は現状を説明する。

 理想は、予防、検出、対応のバランスをとりつつ強化し、場当たり的な対策で終始するのではなく、攻撃を受けにくい、または攻撃を受けても早期回復できる「サイバーレジリエンスのあるインフラ」を構築することだ。

 Infobloxはそんなインフラ構築に向けて、DNSセキュリティの視点で3つのソリューションを提供する。1つ目は、レピュテーションやシグネチャ、機械学習といった多面的なアプローチを組み合わせたリアルタイムの振る舞い監視。2つ目は、オンプレミスかクラウドかを問わずに、DNS機能によって同一ポリシーを適用する、“オフプレミス”ユーザーも含めた保護。3つ目は、DDI(DNS、DHCP、IPAM)情報や検知情報を1カ所に集約して統合解析。必要に応じて解析結果を多様な形式で他社ソリューションなどに適用、共有するという完全可視化と自動連携によるインフラ全体の保護だ。

 「サイバーレジリエンスのあるインフラは、最強コアインフラといえる。そんなコアインフラの構築をぜひ目指してほしい」(高橋氏)

前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ