サイバー衛生「セキュリティハイジーン」を軸に、IT運用とセキュリティを一体化IT運用とセキュリティ運用はなぜ別々?

セキュリティインシデント対応の観点から注目を集めるEDR(Endpoint Detection and Response)市場にいち早く製品を投入してきた米Taniumは、セキュリティの枠にとどまらない未来を描いている。IT運用とセキュリティ運用の統合を実現する拡張性に優れたプラットフォームを日本市場でも本格的に展開し、ビジネスの効率化を支援する。

» 2017年12月04日 10時00分 公開
[PR/@IT]
PR

 いま、セキュリティ市場の中で最も注目を集めるキーワードの1つが、「Endpoint Detection and Response」(EDR)だろう。企業内外のPCやモバイル機器といった端末の状況を把握することで、攻撃に対応する考え方だ。

 年々増加するサイバー攻撃による被害を減らそうと、企業はさまざまなソリューションを導入し、防御を試みてきた。だが、攻撃者とのいたちごっこを繰り返してきた結果、2つのことが明らかになりつつある。1つは、どれほど防御の層を重ねても100%侵入を防ぐのは困難だという事実だ。防御を固めると同時に、万一に備えて侵入を速やかに検知し、ネットワーク切断による封じ込めなどの対処が必要だ。迅速な対応手段を用意し、被害を最小化する仕組みが求められている。いわゆる「ゼロトラスト」という考え方だ。

 これこそ、いまEDR製品が注目されている大きな理由だ。エンドポイントの動きを監視し、脅威情報を加味しながら分析を加えて不審な動きにアラートを発する。もし深刻な事態と判断すれば、ネットワーク接続を遮断したり、不審なプロセスを停止させたりする措置、これをSOCやCSIRT側からリモートで行い、被害を封じ込める仕組みも備えている。こうしてインシデント対応のプロセスの効率を大幅に高める。こうした効果が評価されてEDRの導入企業は増加、一方で主要なセキュリティ関連企業がこぞってEDR機能の統合を発表するなど、市場が活性化してきた。

古市力氏 古市力氏

 さて、ここ数年の攻防から得られたもう1つ重要な教訓がある。メディアではとかく「高度」で「巧妙」な攻撃と表現されるが、実は基本的な手口は昔とそれほど変わらない。ユーザーを言葉巧みにだまして悪意あるファイルを実行させたり、IDやパスワード情報を盗み取ったり、またはOSやアプリケーションの脆弱(ぜいじゃく)性を悪用する方法が大半だ。従って、環境を常に最新の状態にアップデートし、アクセス権限を必要十分なものに留めるという基本中の基本を徹底するだけでも、かなりの程度、不正アクセスを防ぐことができる。こうした考え方は「セキュリティハイジーン(衛生)」と呼ばれ、海外で徐々に注目を浴びている。

 100%の防御は困難、セキュリティハイジーンが重要。この2つの「教訓」を生かしたセキュリティ運用を実現するのが、Taniumが提供する「Taniumエンドポイントプラットフォーム」だ。2017年10月1日付で日本法人の代表執行役社長に就任した古市力氏に加え、米国から来日した2人のエグゼクティブ、Chief Customer Officer(CCO)のチャールズ・ロス氏とChief Revenue Officer(CRO)を務めるマーク・ウェーランド氏に、ソリューションの特徴と今後の展望を尋ねる機会を得た。

WannaCryを機に見直しが迫られるIT運用とセキュリティ運用の課題

 古市氏が見るに、海外、特に米国に比べて日本市場におけるITシステム運用やセキュリティ運用は、やはり少し遅れているという。一方で「脅威に対する関心はむしろ日本の方が高い傾向にあり、状況は変化しつつある。特に、ランサムウェア『WannaCry』の登場を機に引き合いが増えてきた」(同氏)

 2017年5月に世界中で猛威を振るったWannaCryだが、日本企業も例外ではなかった。テレビや新聞の報道を目にし、「うちは大丈夫か」と経営層に尋ねられたIT担当者やセキュリティ担当者が直面したのが、WannaCry感染の有無以前に「そもそも、自社システムに何台のエンドポイントがあるのかすら分からない」という事実だ。「導入済みの構成管理ツールを使っても限界があり、慌てて調査を始めても1〜2カ月、早くても1〜2週間かかる。上層部に『大丈夫です』と報告するまでに相当時間がかかってしまう」(古市氏)

Charles Ross氏 Charles Ross氏

 そもそもWannaCryは、マイクロソフトが2017年3月に公開したパッチで修正したWindows OSの脆弱性を悪用して拡散していた。従って、WannaCryがまん延し始める前にパッチを適用し、セキュリティハイジーンを実践していれば、被害に遭うことも、報道に慌てる必要もなかったはずだが、現実はそうではなかった。

 ただ、米国でも似たような状況はまだあるそうだ。IT運用部門とセキュリティ部門の担当者が別々で、導入しているツールもばらばらでは、全体像は把握できず、時間もかかる。冗談のようだが、「ある大企業から聞いた話では、別々のツールを用いて社内のIT運用を担当する3つのチームに『社内にPCは何台ある?』というシンプルな質問を投げかけたところ、それぞれ違う答えが返ってきたことがあった」(ロス氏)

パッチ適用とセキュリティハイジーン実現を少ない手間で実現し、ビジネスを効率化

 これに対し、「Taniumは、セキュリティ運用とIT運用、両方を一体化してサポートしていく。大半の企業では、パッチは運用チームによって適用されているからだ」(ウェーランド氏)。共通のプラットフォーム上での運用を可能にしてセキュリティハイジーンを実現し、攻撃に強い環境作り、攻撃を受けても素早く対応できる環境作りを支援する。

Mark Wayland氏 Mark Wayland氏

 もちろん、「企業文化を一夜にして変えるのは容易なことではない。だが効率的かつシンプルに問題を解決できるすべを提示することで、そうした変化を支援する一端を担っていきたい」(ロス氏)。事実、Tanium製品の導入後、パッチの公開から検証、適用に至る間で、2週間にまたがる一連のプロセスをまとめた分厚い手順書を捨て去った企業もあるという。

 ひいては、IT担当者やセキュリティ担当者が余計な負荷に煩わされることなく、効率的に業務を進められる環境を実現していくことが同社の理想だ。「今は、優秀な人材があまり付加価値をもたらさない作業に時間を費やしている。Taniumではよりよいプラットフォームを提供することで、運用業務をより効率化する。ITが足を引っ張るのではなく、ITを活用してビジネスの効率化を推進していく」(ロス氏)。

 事実、ある顧客では、それまで2週間かかっていた100万ものエンドポイントへのパッチ適用作業を、Tanium製品の導入によってわずか1時間で完了できるようになった。「その分、セキュリティを維持するための他の作業に時間を割くことができるようになった」とロス氏は述べた。

 もちろん、セキュリティ侵害による損失を最小限に留める効果も見逃せない。WannaCryを巡っては、感染によってITシステムのみならず生産ラインに支障が生じ、中には工場の稼働を停止させた企業もあった。「マルウェアに感染すると、原因追及が終わるまで業務を止めなければならず、機会損失は膨大なものになる。Taniumのソリューションでは物理的にシステムを停止するのではなく、感染端末の隔離や不正プロセスの停止といった形で、業務への影響を最小限に留める」と古市氏は説明した。

1つのコンソール、1つのサーバ、1つのエージェントで全オペレーションを実現するTanium

 TaniumはEDR市場にいち早く製品を投入し、米国のトップ10銀行など多くの導入実績を積んできた。今やEDR市場には多数の競合企業が参入し、活況を呈しつつあるが、Taniumには実績以外にもさまざまな特徴があると古市氏、ウェーランド氏、ロス氏は口をそろえる。

 そもそもTaniumのソリューションは、名前が示す通り「プラットフォーム」だ。単一の機能に特化した製品ではなく、IT環境をリアルタイムに可視化し、コントロールする「Tanium Core Platform」という共通プラットフォームの上で、インベントリ情報の収集やパッチ適用状況の把握、マルウェア感染端末の特定、プロセス停止といったさまざまな機能を提供する「Tanium Product Module」が動作する仕組みとなっている。このため、機能ごとに管理サーバを用意することなく、シンプルに運用できる。

 「Taniumエンドポイントプラットフォームでは全てのセキュリティオペレーションを、シングルコンソール、シングルサーバ、シングルエージェントで実現できる」(ロス氏)。このため、セキュリティ運用の手間を省き、限られた人手、限られた時間を有効に活用できる。

 拡張性に優れていることも特徴だ。それを可能にしているのが独自のアーキテクチャで、「ハブ&スポーク型の従来のアーキテクチャではなく、特許取得の独自アーキテクチャを採用することで、大規模な環境でも迅速に情報を収集できる」と古市氏は説明した。ロス氏はさらに「人海戦術でIT環境に関する情報を収集し、管理していては、正しい結果が得られるとは限らない。Taniumエンドポイントプラットフォームでは自動的にデータを抽出して収集でき、何かクエリを投げれば15秒で回答が得られるため、速やかに意思決定が下せる」と付け加えた。

 このようにTaniumでは、セキュリティ運用、ITシステムの運用に不可欠な情報をリアルタイムに収集し、それに基づいてリアルタイムにアクションや制御が可能だ。つまり、「今、システムや端末の状態はどうなっているか。パッチは適用されているか、マルウェアに感染していないか」という問い(Ask)への答えを把握(Know)し、必要に応じて対処する(Act)、この一連の処理をスピーディに行える。

 「見えないものは保護できない。Taniumは、スピーディかつ拡張性に優れた形で企業のIT資産を可視化するとともに、コントロールできるようにする」(ウェーランド氏)

セキュリティと運用が結び付いた新しい世界へ

 古市氏は、長年にわたってIT業界で新領域の立ち上げビジネスに携わってきた経験の持ち主だ。かつて、ストレージの領域における「ストレージエリアネットワーク(SAN)」や、サーバ領域における「仮想化」といった新たな概念を広げてきた経験を生かし、「日本のセキュリティとIT運用を結び付けるソリューションを通じて、新しいカルチャーを作っていきたい」と意欲を述べた。

 具体的には、パートナービジネスを強化し、既存の4社のサポートを強化するとともに、新規パートナーの開拓に取り組む。同時に、日本市場に根ざすべく、Tanium日本法人自体も人員を増強し、2018年には倍増する計画だ。その中で、導入前だけでなく導入後の支援、ポストセールスでのサポート体制を強化し、「今後多数の企業で導入が進んでいったときに、安心してご利用いただけるようサポート体制を整えていく」(古市氏)。顧客満足度の向上をミッションとするCustomer Success Manager(CSM)も強化し、日本企業を力強くサポートしていくという。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:タニウム合同会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年1月3日

関連リンク

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。