ノーガード戦法とは異なる、これからの「事故前提型対策」とは:特集:セキュリティソリューションマップ(3)(2/2 ページ)
多層防御と一体となって注目されているのが「ダメージコントロール」という考え方だ。予防も大事だが、マルウェア感染に代表されるセキュリティインシデントは「起こり得るもの」と考え、早期発見、早期対処の体制を整備するというアプローチである。それを支援するツールやサービスを紹介しよう。
セキュリティサービス
ここまで、境界やエンドポイント、そして運用やインシデントレスポンスを支援するセキュリティソリューションを紹介してきたが、その多くは、導入や運用に相応の専門知識を必要とする。専任のセキュリティ担当者を置くことのできる大企業ならばともかく、中堅・中小企業にとっては負担が大きい。ただでさえセキュリティ人材不足が叫ばれる中では、人材確保や教育に力を注ぐよりも、外部のサービスを適材適所で活用することで、リソースを有効に配分できる可能性がある。もちろん、その分、自社独自の運用やアプリケーションに合わせたカスタマイズをあきらめざるを得ないこともある。
セキュリティ監視サービス(マネージドセキュリティサービス)
ファイアウォールやIDS/IPSといった、主に境界セキュリティを実現する機器の運用を代行するサービス。事業者側がSOCを構築してリモートから24時間365日体制で機器を監視し、不審なイベントがあれば通知する、というものが多い。自社で運用のための人員を張り付けずに済むことが利点と言えるだろう。ここから踏み込み、緊急対応が必要なイベントへの対処を支援するメニューを提供している企業もある。
ベンダー名 | 主な製品名 | URL |
---|---|---|
IIJ | IIJマネージドファイアウォールサービス | http://www.iij.ad.jp/biz/mfw/ |
アズジェント | セキュリティ・プラス マネージドセキュリティサービス | http://www.asgent.co.jp/Service/service_mss.html |
シマンテック | マネージドセキュリティサービス | https://www.symantec.com/ja/jp/page.jsp?id=TokyoSOC_mss |
日本IBM | マネージド・セキュリティ・サービス | http://www-935.ibm.com/services/jp/ja/it-services/managed-security-services.html |
ラック | JSOC マネージド・セキュリティ・サービス | http://www.lac.co.jp/service/operation/ |
マネージドセキュリティサービス |
さらに、情報漏えいのようなクリティカルな事態を受け、現地に駆け付けて、原因調査や一時対応、復旧計画の策定までを支援するサービスもある。
ベンダー名 | 主な製品名 | URL |
---|---|---|
グローバルセキュリティエキスパート | 緊急対応サービス | http://www.gsx.co.jp/informationsecurity/emergency.html |
ディアイティ | 情報漏えい緊急対応サービス | http://www.dit.co.jp/service/info_leakage_service/index.html |
ファイア・アイ | MANDIANT INCIDENT RESPONSE SERVICES | https://www.fireeye.jp/services/mandiant-incident-response.html |
ラック | サイバー119サービス | http://www.lac.co.jp/service/incident/cyber119.html |
緊急対応支援サービス |
CSIRT構築支援サービス
先に触れた通り、事故前提型の対策、ダメージコントロールの重要性が認識されるにつれ、CSIRTの構築に取り組む企業が増えている。CSIRTは、各企業の業務や組織形態、文化に沿って構築されるべきものであり、「何かのお手本通りにやれば大丈夫」というものではない。しかし、「教科書」を求めがちな日本人の性として、何もないところから構築するのは心もとない、と感じる担当者も多いようだ。そうしたニーズを反映してか、「CSIRT構築支援サービス」が続々と登場している。
ベンダー名 | 主な製品名 | URL |
---|---|---|
EMCジャパン(RSA) | RSA Advanced Cyber Defense | http://japan.emc.com/services/rsa-services/advanced-cyber-defense/index.htm |
NRIセキュアテクノロジーズ | 組織内CSIRT総合支援 | http://www.nri-secure.co.jp/service/csirt/index.html |
グローバルセキュリティエキスパート | CSIRT構築運用支援サービス | http://www.gsx.co.jp/informationsecurity/csirt.html |
サイバーディフェンス研究所 | CSIRT構築支援 | https://www.cyberdefense.jp/services/csirt.html |
トレンドマイクロ | CSIRT/SOC構築・運用支援サービス | - |
プライスウォーターハウスクーパース | CSIRT構築支援 | http://www.pwc.com/jp/ja/advisory/services-consulting/cyber-security/incident-response.html |
組織内CSIRT構築に当たっては、以下の資料が参考になるだろうが、それでも「同業他社はどうしているか知りたい」「何をどこまでやればいいか分からない」という場合は、こうしたサービスを受けることによって、構築に関する知見を得ることができるだろう。
脆弱性検査サービス
ここまでは、セキュリティ運用やインシデント対応のフェーズに向けたサービスだが、予防の観点から「脆弱性検査サービス」も紹介しておきたい。大きく分けて、システム内に存在する脆弱性と、企業が外部に公開しているWebサービス・Webアプリケーションの脆弱性を検査、診断するものの2種類がある。脆弱性を狙う攻撃を受けて被害を受ける可能性を減らすとともに、「どこにどのような問題があるか」「どのような経路で侵入される恐れがあるか」といったリスクを明らかにするたたき台としても活用できるだろう。
なお、標的型攻撃の被害が大々的に報じられてからというもの、脆弱性検査サービスに関する問い合わせが増えて検査する側の人手が足りない状況になっているという。ただ、何か大きな事件が起きたからといって慌てて一回限りの検査をして安心するのではなく、定期的に実施し、システム更改やアプリケーションの改修、環境変化にともなって新たな脆弱性が生まれていないか確認するという使い方が望ましいだろう。
ベンダー名 | 主な製品名 | URL |
---|---|---|
SCSK | 脆弱性診断 | http://www.scsk.jp/sp/sys/service/securityassessment/index.html |
NRIセキュアテクノロジーズ | セキュリティ診断(脆弱性診断・検査)/設計開発支援 | http://www.nri-secure.co.jp/service/assessment/ |
NEC | 脆弱性診断サービス | http://jpn.nec.com/sec_check/ |
セキュアスカイ・テクノロジー | Webアプリケーション診断 | http://www.securesky-tech.com/service/webappri.html |
HASHコンサルティング | Webアプリケーション脆弱性検査サービス | https://www.hash-c.co.jp/services/inspection.html |
ラック | セキュリティ診断サービス | http://www.lac.co.jp/service/evaluation/index.html |
セキュリティ教育サービス・標的型攻撃メール訓練サービス
これらの他に、社員向けのセキュリティ教育サービスも広く提供されている。
中でも最近増えているサービスとして、標的型攻撃メールに模したメールを社員に送り、開いた際にどんな対応をとるべきかを学習する「標的型攻撃メール訓練サービス」がある。この主の訓練サービスを利用する際には、「何のために実施するのか」という目的を明確にすることが大切だ。単に開封率を減らすために訓練を実施するのはあまり意味がなく、いざというときに適切に対処・連絡が取れるか、インシデント発生時の手順を確認する目的で実施する方が高い効果が得られるだろう。
余談:クラウドサービス利用時には事前の確認を
以上、主に伝統的な対策を紹介してきたが、クラウドを前提とした新しい形態にも配慮していく必要がある。パブリッククラウドサービスやホスティングなど、外部の事業者が提供するサービスを利用してシステムを構築・運用するケースは、今や少なくないはずだ。
オンプレミスで全てのシステムを構成するケースならば、自社(とIT関連の協力会社)でポリシーやルールを定め、それに沿って運用を回していくことが可能だ。だが外部に基盤を依存するとなるとそうはいかない。しかもそのインフラには自社だけでなく、多種多様なユーザーも相乗りしている。
従って少なくとも、サービス提供事業者との間で「アクセス制御やアカウント管理はどのように実施されているか」といったセキュリティ設定の確認はもちろん、「運用責任の分界点はどこにあるか」「もし、不正侵入やサービス停止といったインシデントが発生した際にはどのように連絡を取り、どんなプロセスで対応手順をとるか「その際にログはどこまで確保されているか」といった事柄をきちんと確認しておくことが重要だ。
関連リンク
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/15.html
総務省:クラウドサービスを利用する際の情報セキュリティ対策
特集:セキュリティソリューションマップ
しばしば「サイバーセキュリティは複雑だ。よく分からない」と言われます。脅威の複雑さもさることながら、ITの他の分野と異なり、あまりに多くの種類の「セキュリティソリューション」が世の中にあふれていることも理由の一つではないでしょうか。それを大まかに整理することで、セキュリティ専門家以外の人々が、自社の防御の弱い部分を把握し、セキュリティレベルを高めていくお手伝いをします。
Copyright © ITmedia, Inc. All Rights Reserved.