オンプレ境界にある製品は、もはや“有害” 時代に合った対策できていますか?:半径300メートルのIT(2/2 ページ)
NCSCが公開したブログが非常に示唆に富んでいます。ネットワーク製品を痛烈に批判するその内容と、われわれが目指すべきセキュリティの形、そのためにベンダーに要求すべきことを解説します。
とはいえ、ただSaaSに移行すれば安全かと言われるとそうでもない
ITの世界ではいわゆる“バズワード”的な、マーケティング用語としてのキーワードがたくさんあふれています。セキュリティの世界においても幾つもの(これまでとほんの数文字変えただけの)キーワードが生まれ、そして消えていきました。
しかし、その中でも「ゼロトラストアーキテクチャ」というキーワードはバズワードを脱却し、多くの人がその根本的な重要性に気が付き始めてきたのではないかと思います。
今やクラウドサービス利用は当たり前になりました。特にSaaSは設定ミスや意図しない仕様変更などの課題も残りますが、すぐに利用できるかつ、OSやアプリ層のアップデートを事業者に任せられるので大きなメリットがあります。
クラウドサービス利用が進むことで、セキュリティの考え方は変化し始めました。脆弱性に対する終わりのないアップデートから一部解放され、クラウド時代のセキュリティ対応への移行が必要となっています。それが認証の強化であり、ポリシーの設定と言えます。これは正にゼロトラストアーキテクチャの重要な要素です。
NCSCは「オンプレミス製品の安全性を証明できなければ、SaaSを利用せよ」と提案しつつ、SaaSに対しても「特にIDプロバイダーのような重要なソリューションについては、セキュア・バイ・デザインと同レベルの安全が認められているかどうかをしっかり要求せよ」と書いています。
ここで注目したいのは、単純にオンプレミスよりもクラウドの方が安全だと断定しているわけではなく、あくまで「より安全な選択をせよ」としている点です。
この他、NCSCはオンプレミスのセルフホストサービスから移行できない場合でも、「脆弱性はコアサービスではなく、Webポータルや管理インタフェースなどの付加サービスにあることが多い」と指摘し、これらがインターネットからアクセスできないように設定を変更し、「必要がなければオフにする」「ファイアウォールでブロックする」などの対策を推奨しています。
この対策の重要性については、「Ivanti Connect Secure」と「Ivanti Policy Secure VPN」に見つかった脆弱性が広く悪用された事例が話題になっていることからも分かります。
ユーザーが最も重視すべきこととは?
さて、ユーザーにとって最も重要なのは「セキュア・バイ・デザインをベンダーに強く迫る」とともに「自社の開発者に同じ基準を課す」ことです。
セキュア・バイ・デザインを目指しており、かつその進捗(しんちょく)がはっきりしているベンダーの製品を選択するだけでなく、ユーザー側からベンダーに対して繰り返しそれを要求していくことが大事でしょう。
脆弱性が報告されたときのベンダーの対応策がはっきりしなかったり、説明書にパッチや設定変更の方法がある一方で“パッチ適用前に侵害されていたかどうか”の判定方法が書かれていなかったりしたら問題です。その際、泣き寝入りするのではなく、ベンダーやシステムインテグレーターに積極的に問い合わせることは、今後の対応がより正確になる可能性もあります。
「自社の開発者に同じ基準を課す」という意味では、PSIRT(Product Security Incident Response Team)のような、自社の製品セキュリティに責任を持って対処する組織を構築する必要があるでしょう。
ほんの少し前はクラウドを利用するためにはさまざまなデータを集めて、経営層を説得する資料を作っていたかもしれません。しかし今後は「オンプレミス」を今から採用するには理由を考えなければならない時代になります。
オンプレミスはこれまでの知見をそのまま利用できるかもしれませんが、安全を確保するための最新の運用手法を取り入れ続ける必要がある他、ベンダー自身がオンプレミスへの優先度を下げていくことも想定しておくべきです。
それよりは、今からゼロトラストアーキテクチャに移行する準備を始めつつ、いかに安全なSaaSを選ぶか、SaaSベンダーを安全にしていくかに考えをシフトした方が建設的な気がします。
もしあなたがシステム管理者で、新たなシステムを構築しようとしているタイミングであれば、非常に短くまとまっているので、ぜひこのブログを一読してください。一部の大企業だけでなく、全ての企業がゼロトラストアーキテクチャの導入を検討すべきフェーズが来ているのです。
関連記事
- サイバー犯罪業界の最新トレンド 狙われているのはあの“OS”と“ツール”
Group-IBはサイバー脅威に関連した情報をまとめた「Hi-Tech Crime Trends 2023/2024」を発表した。レポートから、アンダーグラウンドマーケットにおける最新のトレンドが明らかになった。 - ランサムウェアグループがデータ流出に悪用している12の正規ツール
Symantecは、ランサムウェア攻撃に正規ソフトウェアが悪用されているとし、データ流出に使われる12種類のソフトウェアを公開した。 - 「情報セキュリティ10大脅威、ここだけは読んで」“推しポイント”を独断と偏見で解説
IPAから「情報セキュリティ10大脅威 2024」に関連した解説資料が公開されました。セキュリティ担当者必須の書とはいえ、「業務が忙しくてまだ読めていない」という方もいるかもしれません。そこで今回は筆者の“推しポイント”を紹介します。 - CTOが恐れる“ランサムウェアより危ない脅威” 調査から判明
コンサルティング企業STX Nextの調査結果「The Global CTO Survey 2023」によると、CTOの多くがランサムウェアより“あるサイバー脅威”を懸念していることが明らかになった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.