標的型攻撃の増加によって急速に重要度が高まる、エンドポイント防御――。そのためのソリューションとしてラックが選んだのは、一般オフィスユーザーのニーズにぴたりと合った「Enterprise Mobility+Security(EMS)」だった。同社はエンドポイントセキュリティ対策の“キモ”になるのは「ID管理」と考え、このEMSに独自のサービスをプラスした「IDベースド・セキュリティ」ソリューションを用意し、サービス提供を予定している。このソリューションで提供される3ステップとはどのようなものなのか。
セキュリティインシデントへの対応をコアビジネスに据え、セキュリティソリューションサービスやシステムインテグレーションサービスなどを幅広く提供しているラック。同社の信太貞昭氏(営業本部 セキュリティ営業推進統括部 副統括部長 兼 ソリューション推進部長)は、国内企業におけるセキュリティ対策の現状を次のように語る。
「この3年ほどで、エンタープライズ企業を中心に、企業内CSIRTの設置がかなり進んだ感があります」(信太氏)
「CSIRT(Computer Security Incident Response Team)」は、セキュリティインシデントやセキュリティ事故を検知して調査・分析し、必要な対策の指揮を執ったり、助言を与えたりする専門組織のこと。企業内CSIRTの他にも、「JPCERTコーディネーションセンター(JPCERT/CC)」のような国際的に連携するCSIRTや省庁CSIRTなど、さまざまなタイプの組織が国内で活動している。
また、信太氏によると、企業内CSIRTは設置していないものの、セキュリティインシデントの検知とその対応を外部のセキュリティサービス企業にアウトソーシングする企業も増えてきているという。例えば、24時間365日リアルタイムのセキュリティ監視・運用を提供するラックの「JSOCマネージド・セキュリティ・サービス」のようなマネージドサービスの利用の増加だ。
「企業内CSIRTも弊社が提供する『JSOCマネージド・セキュリティ・サービス』も、セキュリティインシデントが発生した際の迅速な対処が目的です。つまり、不正アクセスを予防するだけでなく、そのインシデントにいかに早く対応し、どのようにしてクロージングするかというところにも、企業の関心が高まってきているのです」と信太氏は説明する。
セキュリティサービスのニーズが高まっている背景には、特定の相手を狙い撃ちにする「標的型攻撃(APT:Advanced Persistent Threat)」の勢いが衰えることなく続いているという状況がある。
ラックが公開している『標的型攻撃対策指南書(第1版)』によると、メディアで報道された標的型攻撃事案のうち、国内企業が被害を受けた最初のものは2011年9月。その後も官公庁や企業・団体を狙った標的型攻撃が止むことはなく、2015年6月には日本年金機構から125万件の個人情報が流出するという大型のセキュリティインシデントも発生している。
標的型攻撃は、まずクライアントPCなどのエンドポイント(端末)が電子メールなどに仕組まれたマルウェアなどによって破られることで始まり、その後も社内ネットワークに接続されたファイルサーバやID管理サーバにまで段階的に被害が拡大していくという特徴がある。
「特にID管理がおろそかになっていると、進入された端末の中から高いレベルの管理者権限を盗み取られてしまいます。その結果、担当者が全く気付かないうちに、機密データや個人情報が外部に持ち出されてしまうことになります」と説明するのは、ラックの小笠原恒雄氏(サイバー・グリッド・ジャパン 次世代技術開発センター チーフ)。標的型攻撃への対策の“キモ”になるのは「ID管理」、というのが小笠原氏の指摘だ。
「ただし、急速に増えつつあるといっても、社内にCSIRTを設置したうえで、本来の役割として機能できているのは、従業員数が5000人を超えるエンタープライズ企業においてもまだまだ少ないと考えています」(信太氏)
多くの企業ではセキュリティ対策を実施するにあたって、セキュリティエンジニアを企業内に抱えなければならず、費用対効果を明確にすることも難しいといった理由から、エンドポイントセキュリティ対策についてもマネージドサービスを選択するものとラックでは見ているという。また、エンドポイントセキュリティ対策のための優れたソリューションも多数出そろってきたことも、「ネットワークのゲートウェイの監視・防御」から「ゲートウェイとエンドポイント両面の監視・防御」への変革を推進するラックを後押しする材料となっている。
ウイルス対策ソフトか資産管理ツールしかなかった従来と異なり、現在はクラウドやモバイルに対応した強力なエンドポイントセキュリティ対策ソリューションが利用可能な状況になっているのだ。
数あるエンドポイントセキュリティ対策ソリューションからIDセキュリティの観点にてラックが選択したのが、マイクロソフトの「Enterprise Mobility+Security(EMS)」(旧称:Enterprise Mobility Suite)になる(図1)。
EMSは「ユーザー認証(ID&アクセス)」「デバイス」「アプリケーション」「データ」の4つのレイヤーを保護、管理するためのツールやサービスを組み合わせたクラウドベースのスイートソリューションだ。EMS E5とEMS E3(既発売のMicrosoft Enterprise Mobility Suiteに相当)の2プラン構成となっている。
EMSでは、ID&アクセス管理を「Azure Active Directory Premium」、ID不正利用監視を「Microsoft Advanced Threat Analytics(ATA)」が、モバイルデバイス管理を「Microsoft Intune」、データ保護を「Azure Information Protection Premium」、アプリ管理を「Microsoft Cloud App Security」がそれぞれ実現する。
ラックがEMSを選択した決め手は、「一般的なオフィスユーザー向けのエンドポイントセキュリティ対策の領域では、マイクロソフトが圧倒的な強みを持っている」(信太氏)という同社の認識と判断がある。
「Microsoft Office 365と密接に連携した専用のセキュリティ対策機能を備え、クラウドにはMicrosoft Azure、Azure Active Directory、Microsoft Intune、エンドポイント側のOSにはWindows 10が使えるマイクロソフトのソリューションは、エンドポイントセキュリティ対策のトッププライオリティになると私たちは考えました」と、信太氏。より多くのお客さまに利用してもらうためには、ビジネス現場における実際の使い方に最適なものを選ぶ必要があったと説明する。
もっとも、ラックでもEMSを導入すれば、標的型攻撃に対抗するためのセキュリティ対策が実現できる、と考えているわけではない。
その理由の1つとして信太氏は、「利用者認証(ID管理)」「エンドポイント防御」「データ保護」の3点がそろわないと十分な対策にはならないということを挙げる。つまり、単純にEMSを導入するだけでなく、利用者認証とデータ保護のプロセス改善とソリューション導入を併せて行わなければ、標的型攻撃への備えとしては足りないということである。
もう1つの理由は、EMSを適切に導入し、運用していくためには、セキュリティの専門家によるサポートも欠かせないということだ。「私たちは、EMSの導入・運用に失敗するシナリオとして“3つの仮説”を考えています」と、信太氏は説明する。
具体的には、「EMSの機能に関するユーザーの理解が不足している」「EMSを有効活用するための、ユーザー自身の課題の理解度が不足している」「EMSを導入しても、ユーザーがそれを適切に運用できない」という“3つの仮説”だ。
そこで今回用意している「IDベースド・セキュリティ」ソリューションでは、ID管理を中心としたエンドポイントセキュリティ対策の検討から運用までを3つのステップに分け、各ステップでコンサルティングサービスやマネージドサービスを提供することを計画している(図2)。
ファーストステップとなる「簡易アセスメント」フェーズでは、EMSについてのお客さまの認知度、理解度を向上するためのコンサルティングが行われる。このフェーズで用いられるのは「利用者認証」「エンドポイント防御」「データ保護」のそれぞれにEMSがどれだけ有効かを理解してもらうための「セキュリティ対策アセスメントfor EMS(通称、EMSアセスLight)」だ(図3)。このアセスメントは、通常ラックが提供するコンサルティングサービスの対象をEMS用にカスタマイズしたツールを使用する。信太氏は「セキュリティ対策の課題をお客さまへのヒアリングから明らかにし、どの課題に、EMSのどの機能/ソリューションが有効となるかを評価レポートとしてご提示します」と説明する。
セカンドステップの「概念実証(PoC:Proof of Concept)」フェーズでは、ファーストステップで明らかになったセキュリティ対策の課題について、優先度の高い項目から検証シナリオを用意してお客さま環境で検証を行っていく。環境の構築からEMS導入、実際の検証までサービスとして提供する。
最終ステップの「運用」フェーズでは、EMS導入後の運用管理を代行するマネージドサービスが提供される。ベースとなるのは、「JSOCマネージド・セキュリティ・サービス」だ(図4)。
「攻撃を受けたエンドポイントがどの端末であるかを確認、特定して、隔離や駆除といった対処を全て弊社が代行します。お客さまの負荷は大幅に軽減できるはずです。基本的には、セキュリティ対策の担当者を増員していただく必要もありません」(信太氏)
このような構想を基に、「IDベースド・セキュリティ」ソリューションはラックとマイクロソフトのパートナーシップを通じて提供される。利用者にとっては、EMSの導入検討から稼働後の運用管理まで、切れ目のないサポートを得られることが大きなメリットになる。
ラックの狙いは、EMSを導入したお客さまに同社のマネージドサービスを併せて利用してもらうこと。「マイクロソフトのエンドポイントセキュリティ対策ソリューションという価値を強く訴求していけば、EMSは国内でも確実に普及するはずです。これまでの経験から、セキュリティ対策ツールを導入したお客さまからの弊社マネージドサービスのご利用割合による経験値を基に、まずはEMSだけでも利用いただくお客さまを増やすことから努めたいと思います」と信太氏は語る。
マイクロソフトも、日本で影響力の強いセキュリティサービス企業との協業を通じてEMSを普及させたいと考えている。そのために、ラックとマイクロソフトの両社は、EMSおよび「IDベースド・セキュリティ」ソリューションのマーケティング活動についても共同で取り組んでいくという。
その第1弾として、2016年11月21日には東京コンファレンスセンター・品川(東京都港区)において、日本マイクロソフトと共同で“ラック×マイクロソフトが実現する、「IDベースド・セキュリティ」セミナー”を開催する。両社のセキュリティエキスパートがEMSの概要からEMSを用いたIDセキュリティ対策までを分かりやすく解説してくれるので、標的型攻撃に備えるためにエンドポイントセキュリティ対策ソリューションの導入を検討しているお客さまのセキュリティ担当者にはぜひ参加をお勧めしたい。
標的型攻撃の恐ろしさは、ネットワークゲートウェイでの防御やPCに組み込んだウイルス対策ソフトウェアだけでは防げないこと。重要データの外部流出を防ぐためのソリューションとして、EMSおよび「IDベースド・セキュリティ」ソリューションには大きな期待がかかる。
ラックと日本マイクロソフトが「Enterprise Mobility+Security」に関するセミナーを共同で開催します。「Enterprise Mobility+Security」の概要から導入事例、活用方法を紹介。標的型攻撃に備えるための対策ソリューションを検討しているセキュリティ担当者は必見です。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本マイクロソフト株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年12月31日