この記事はエンドポイントセキュリティの専門家が、デバイスやデータ、アプリケーションの保護のポイントを語っていく全5回のシリーズです。第1回に続く第2回は、4つの基礎のひとつである「アセットマネジメント」について集中的に解説します。
エンドポイントセキュリティの4つの「基礎」
エンドポイントセキュリティはケーキのレシピのようなものである。ネットでケーキのレシピを検索したら文字通り何百万ものレシピが見つかるだろう。同じものは2つとない。でも成分は同じなのだ。材料の90%はどのレシピにも共通、残り10%で各レシピのオリジナリティが出る。これはエンドポイントセキュリティにとてもよく似ている。
まず90%をきちんと作り、次に残り10%の「アイシング」を施せば美味しいケーキができる。コンテストで一等賞が獲れるほど素晴らしいケーキかと言われればそうとはいえないだろう。しかし、ともかく基礎ができていなければ、どんなに高価な材料を使ってどんなに素晴らしいレシピ通りに作ったとしても、焦げた失敗作しかできないのだ。
効果的なエンドポイントセキュリティプログラムの実現に向け、集中的に取り組むべき大事な4つの「基礎」は以下である。これら4つの柱が確立して初めてセキュリティプログラムを拡大して他の領域に進むことができるのである。
- アセットマネジメント
- ソフトウェア検査
- 脆弱性マネジメント
- 事故対応
「基礎」の前に重要なこと
ここでひとつ、基礎的を語る前に最も重要なことを伝えておく。それは、デバイスがどこにあろうとエンドポイントデバイスにアクセスできることである。ネットワーク内部、あるいはVPNでつながっているエンドポイントにしかパッチを適用できないという環境では、修正プログラムの効果は著しく阻害されるだろう。ある範囲の外にあるデバイスについてはステイタスを確認できないというのなら、そのデバイスはアップデートを受けられない期間中ネットワークにとって日々大きな脅威となる。
アセットマネジメントの必要性
アセット(経営資産・資源)をきちんと数え上げ管理するのは、セキュリティコントロールに最も重要なことである。自分が何を持っているのかを知らなければ、それを守るための第一歩さえ踏み出せないのだから。優れたアセットマネジメント戦略を構築するには、次の3つのステップを踏まなければならない。どれも当たり前のようでいて、段階的には行われづらいポイントである。
- ステップ1: ベースラインを策定する
- ステップ2: インベントリを更新し管理する
- ステップ3: 自動化、情報統合、アラートシステムを導入する
ステップ1:ベースラインを策定する
エンドポイントセキュリティの旅に出発する前に、まずは今自分がどこにいるのかを理解し、はっきり目に見えるようにする必要がある。そのために必要なのがセキュリティベースライン、つまり、自組織の対策基準である。セキュリティベースラインとは、全体的な方針を示したセキュリティポリシーを、より実務的なレベルにまで落とし込んだものと考えていい。そして、ベースラインの策定は、時間をたっぷりかけてネットワーク環境の隅々から情報を収集することが大事だ。
例えば、Microsoft Visioで作成された図表、ネットワークマップ、インベントリ購入に関するスプレッドシート、ハードウェアシリアルナンバーのリスト……。見つけたものは全て収集し、できる限りの情報を集める。そして、分類する。全てが集まったらまた時間をかけてそれらをまとめ、アセットのマスタレポジトリを作成する。この時にどんなツールを使うかや、どう情報を保管するかは重要ではない。とにかくアセットに関する情報を収集し、まとめるのだ。1枚のスプレッドシートを作成してもいいだろうし、もっと複雑なデータベースが必要だという人もいるだろう。
最初のベースラインができたら、情報の穴や、発見されずドキュメント化されなかったデバイスを探し出さねばならない。そのためにはスキャニングが必要だろう。Nmapのようなアクティブスキャナを使えば、ネットワークの隅々を探り、ネットワーク内部の全てをあぶりだすことができる。 Kismetのようなパッシブスキャナは見つけにくいトラフィックを見つける能力に優れている。このようなタイプの違うスキャナを複数使って、常にベースラインを最新のものにしておく必要がある。
スキャンをするときに大切なことは、探査されたら破壊される要素をネットワーク環境内に置かないことだ。 IoT 、OTデバイスの中にはアグレッシブなアクティブスキャンに十分に反応しないものもある。ネットワークの一部が脆弱であるかどうか確信が持てない場合は、その部分をスキャニングの対象から外し別の方法を使ってデバイス一覧を作る。