fbpx

セキュリティ

セキュリティを損なうことなくSD-WANを使用したブレイクアウト

アプリケーションがクラウドに移行し、インターネットを宛先とするトラフィックが増えるにつれて、企業はSD-WANを使用してトラフィックをローカルに効率的にルーティングするようになっています。

本記事では、SD-WAN(Software Defined – WAN)の俊敏性を組み合わせて、高速で安全なローカルインターネットのブレイクアウトを作成する方法について説明します。

  • 組織がSD-WANを採用している理由
  • ローカルインターネットのブレイクアウトがSD-WANのメリットを最大化する方法
  • ローカルインターネットのブレイクアウトに関連するセキュリティの影響

続きを読む

高速なOffice365ユーザーエクスペリエンスを取得する

スムーズな移行、迅速な結果のための推奨事項

Microsoft Office 365への移行は困難な場合があります。高速なユーザーエクスペリエンスからコスト削減の生産性プラットフォームに至るまで、ユーザーとCIOはOffice 365のすばらしい機能を期待しています。Skypeなどの遅延の影響を受けやすいアプリケーションを含む複数のアプリとサービスを使用する場合、最速のOffice 365エクスペリエンスを実現するためにネットワークを最適化することが重要です。

本論文では、我々はよ、あなたが改善することができる方法のいくつかの議論にOffice 365の展開のパフォーマンスを。次の内容を取り上げます。

  • Microsoftの接続ガイダンスと、回避すべき一般的なネットワークの問題
  • ネットワークをOffice 365にクラウド対応にするために必要なこと
  • ユーザーが愛するOffice 365アプリケーションエクスペリエンスを提供する方法

Office 365に関するMicrosoftのガイダンスおよび回避すべき一般的なネットワークの問題

Microsoftは、Office 365の公式の接続ガイダンスで、接続とルーティングに関する非常に明確な推奨事項を提供しています。このガイダンスを支える3つの原則を次に示します。

1. Office 365のトラフィックを識別して区別する

マイクロソフトは、Office 365トラフィックを他のトラフィックから分離することをお勧めします。パフォーマンスとコストの両面で、適切に構成された直接インターネット接続がOffice 365 への接続に最適な方法です。

トラフィック識別の推奨事項

Microsoftのガイダンスで不足しているように見えるのは、帯域幅管理です。これは、Office 365のユーザーエクスペリエンスを損なう可能性があることを何度も繰り返してきたためです。私たちの経験では、インターネットの帯域幅が40%以上増加する可能性があると想定しても安全です。洗練された帯域幅管理コントロールを実装して、特に競合時におけるOffice 365トラフィックの優先順位付けを保証します。

2. ローカルでエグレスネットワーク接続

最高のパフォーマンスを得るためのMicrosoftの中核的な推奨事項は、中央ゲートウェイへのトラフィックのバックホールではなく、「ローカル下り」の使用に基づいています。

ExpressRouteでのOffice 365の使用について

ExpressRouteはOffice 365の良い選択のように思えるかもしれませんが、Microsoft はその使用に関して特定のガイダンスを提供しています。ExpressRouteとOffice 365に必要な慎重な計画と展開の要件により、大規模で成熟したIT組織のみがこのオプションを検討する必要があります。これは、トラフィックルーティングとITリソースの両方の観点から実装する重要なプロジェクトです。ほとんどの組織では、ローカルの下り(直接インターネットへのアクセスとも呼ばれます)接続-Office 365への最適なルートになります。

Office365の推奨事項

DNS戦略を検討する:ローカル下りはOffice 365のパフォーマンスの鍵ですが、DNS戦略を検討することもできます。直接インターネットを採用している支社の場合、ユーザーに最も近いDNS に解決する必要があります。microsoft Office 365接続に対して常にローカルであるDNSインフラストラクチャを活用することで、トラフィックが不必要なホップをとらないようにすることができます。

3.バイパスプロキシの評価

遅延を増加させる可能性がある集中型ゲートウェイおよびプロキシアプライアンスを回避することをお勧めします。OutlookやSharePointなどのOffice 365アプリは、VPNなどを使っているとファイアウォールをすぐに使い果たす長時間のセッションを多数作成する可能性があり、ユーザーエクスペリエンスに影響を与えます。Office 365のエンタープライズユーザーがインターネットに直接アクセスできない場合、ランダムなハングや接続の問題が発生する可能性が高くなります。

アプライアンスを使用したローカルの下り/直接インターネット接続について

直接インターネットのローカル下り接続を使用している各ブランチでアプライアンスを購入、展開、および維持するには、コストがかかります。継続的なファイアウォールの更新が必要です。単一のIPまたはURLの更新がないと、接続の問題が発生します。

インターネット接続の推奨事項

ローカル出力接続の保護:すべてのローカル出力にセキュリティアプライアンスをインストールしてOffice 365の移行に複雑さとコストを追加する代わりに、これらの接続を保護するクラウドセキュリティプラットフォームを検討する必要があります。MicrosoftはOffice 365トラフィックの検査を推奨していませんが、ローカルの残りのオープンインターネットトラフィックは引き続き保護する必要があります。クラウドセキュリティプラットフォームを採用することで、ブランチでの帯域幅の消費の問題に悩まされることがなくなり、最初にOffice 365に移行することで、目標とする節約を維持できます。

Office 365とダイレクトなインターネットへの接続

700以上の企業がOffice365の移行に使用しています。世界最大のセキュリティプラットフォームは、Office 365の導入を容易にします。オープンなインターネットトラフィックに対して最高レベルのセキュリティを維持しながら、ローカルのインターネットブレイクアウトを介して高速なOffice 365およびインターネットエクスペリエンスをユーザーに提供します。

前例のないOffice 365の可視性

管理ポータル、簡単にOffice 365のが使用されているかを理解することができ、組織全体で。ユーザーがOffice 365 アプリケーションをどの程度適切に採用しているかを理解し、ブランチオフィス全体の潜在的な移行の課題を特定できます。

SSL / TLSベースの脅威の分析

前書き

Secure Sockets Layer(SSL)とその後継であるトランスポートレイヤーセキュリティ(TLS)は、インターネットを介して送信されるデータの究極の保護と見なされており、サイバー犯罪者が悪意のある行為を実行するための究極の遊び場となっています。

もともと1994年に開発された暗号化プロトコルは、安全な通信を支援し、組織に着信トラフィックに対する安心感を与えるように設計されました。近年、ますますデータへの懸念が高まっています。

プライバシー、インターネットプロパティがデフォルトで暗号化を持っているという大規模な傾向があります。これはプライバシーにとって素晴らしいことですが、ITセキュリティへの挑戦を提示します。トラフィックの復号化、検査、および再暗号化は重要なことであり、従来のセキュリティアプライアンスのパフォーマンスを大幅に低下させます。ほとんどの組織は、暗号化されたトラフィックを大規模に検査する機能を備えていません。悪意のある人物がこれを知っているため、SSLベースの脅威が増加しています。VPNも言わずもがなです。

ハッカーはシステムに侵入してデータを盗むための多くの方法を発見しましたが、暗号化の解読は依然として困難で時間がかかり、したがって非効率的なアプローチです。代わりに、悪意のあるコンテンツを提供し、マルウェアを隠し、検出せずに攻撃を実行するために、暗号化自体を使用し始めています。

何年もの間、WebサイトのURLアドレスの横にあるロックの記号は、そのサイトが安全であることを伝えていましたが、もはや安全を保証するものではありません。暗号化されたチャネルを通過するトラフィック、デジタル証明書だけで信頼されるべきではありませんこのレポートでは、暗号化されたトラフィックと暗号化された脅威の最近の傾向に関する観察結果について説明します。

レポートの概要

この半年ごとのクラウドセキュリティインサイトレポートでは、リサーチチームが2018年7月から12月までクラウドセキュリティソリューション全体の暗号化されたトラフィックを調査しました。このレポートには、現在のセキュリティリスクに関するいくつかの傾向や詳細など、調査から収集されたデータが含まれています。

暗号化プロトコルには、SSL、TLS、HTTPSなど、複数の業界用語があり、それらはしばしば互換的に使用されます。このレポートでは、通常「SSL」を使用します。

SSLトラフィックパターン

Google透明性レポートによると、2018年12月、米国のGoogle Chromeのページの90%以上が暗号化(HTTPS)を使用して読み込まれました。同じ月に、MozillaFirefoxにロードされたすべてのページの76.5%が暗号化されたと報告しました。これは、前年度から10%増加しています。

SSLの使用が増え、標準プロトコルになりつつあるため、サイバー犯罪者は暗号化を使用して攻撃を隠蔽し、起動しています。以前は入手が困難でしたが、SSL 証明書は無料ですぐに利用できるようになり、攻撃者にとって簡単に偽装できるようになりました。

主な調査結果–脅威

SSLトラフィックの増加に伴い、SSLベースの脅威もそれに対応して増加することが予想されます。この傾向は、SSL トラフィックに隠された17億の脅威をブロックした事が調査によって確認されました。つまり、1か月あたり平均2億8300万個の高度な脅威がブロックされます。

フィッシング

とあるクラウドセキュリティソリューションは、平均して2018年に暗号化されたチャネルを介して270万件のフィッシング攻撃をブロックしました。これは、2017年にブロックされたSSLベースのフィッシング攻撃と比較すると、400%以上増加しています。

予想通り、サイバー犯罪者は攻撃を人気のあるブランドに集中させました。MicrosoftOffice 365 とOneDriveがフィッシング攻撃のために偽装されることが最も多い特性です。リストのトップにある他の一般的に模倣されたサイトは、Facebook、Amazon、Apple、およびAdobeでした。DropboxとDocuSign 、トップ5 にわずかに届きませんでした

悪意のあるコンテンツ

もちろん、SSLを利用する脅威はフィッシングだけではありません。とあるクラウドセキュリティソリューションはまた、侵害されたWebサイト、悪意のあるリダイレクトスクリプト、マルバタイジングの試みを含む、悪意のあるコンテンツの平均1億9,600万のインスタンスをブロックしました

ボットネット

そしてボットがあります。2018年のボットネットコールバックの平均試行回数は毎月3,200万回ブロックされました。ボットネットファミリの上位5つは次のとおりです。

  • Trickbot、金融マルウェア、情報窃盗犯
  • Zbotの亜種、銀行情報を盗むことで知られるトロイの木馬
  • カダール、バンキング型トロイの木馬
  • Dridex、バンキング型トロイの木馬、スパイウェア
  • Emotet / Heodo / Feodoの亜種、金融マルウェア、情報窃盗犯

ブラウザの悪用

ブラウザのエクスプロイトは、オペレーティングシステム脆弱性を利用して、攻撃者がユーザーのブラウザ設定を知らないうちに変更できるようにします。とあるクラウドセキュリティソリューションは、2018年に1か月あたり平均240,000回のブラウザーの悪用の試みをブロックしました。ただし、12月の悪用の試みは、ホリデーショッピング詐欺が原因で、前月と比較して50%以上増加しました。

新しく登録されたドメイン

とあるクラウドセキュリティソリューションによってブロックされたすべての新しく登録されたドメインのほぼ32%が、コンテンツの提供にSSLを使用していました。また、ブロックされたSSL暗号化の新規登録ドメインの数は、2018年12月に前月に比べて約2.5倍に増加しました。

サイバー犯罪者は多くの場合、新しい攻撃ごとに新しい偽のドメインを作成するため、新しく登録されたドメインは危険と見なされます。そのため、悪意のあるドメインは短命になる傾向があります。とあるクラウドセキュリティソリューションは、登録後30日間、新しいドメインを自動的にブロックします。

SSL / TLS証明書

SSL / TLS証明書はデジタル証明書とも呼ばれ、Webサーバーとインターネットブラウザーの間に暗号化されたチャネルを確立するために使用されます。これらの証明書には、所有者のID に関する情報と、証明書のコンテンツを検証したエンティティ(発行者または認証局(CA)とも呼ばれます)のデジタル署名が含まれています。CAが使用する検証方法に基づく証明書には、次の3つのタイプがあります。

ドメイン検証済み(DV)

これらの証明書は、証明書が要求されているドメイン名と所有権を使用して検証されます。

検証済みの組織(OV)

DVチェックに加えて、CAは、追加の信頼のためにOV証明書を発行する前に、組織レベルの詳細(ビジネス名、物理アドレスなど)を検証します。組織の名前は、証明書の詳細にリストされています。

拡張検証済み(EV)

EV証明書には、CAによって実行される最も厳密な形式の検証が含まれます。これには、すべてのDVおよびOVチェックが含まれ、CAによる要求者のIDの検証も必要です。組織の名前は、しかし常にではないが、アドレスバーに表示されます。

どのタイプの証明書が最も頻繁にブロックされましたか?

暗号化されたWebチャネル上の最近のセキュリティブロックのランダムサンプルに含まれるSSL証明書を収集しました。以下は、SSL / TLS証明書のさまざまな属性に基づく調査結果です。これには、侵害された正当なサイトと悪意のあるサイトの混在が含まれることに注意することが重要です。

セキュリティブロックに含まれる証明書の大部分はDV 証明書でした。定義により、デジタル証明書を要求する人は、自分がドメインの所有権を持っていることのみを証明する必要があるため、DV証明書は乱用されやすくなります。

最も頻繁にブロックされるトラフィックがあったCAはどれですか?

ここに驚きはありません。とあるクラウドセキュリティソリューションのセキュリティブロックに含まれる証明書の大部分は、無料のサービスであるLet’s Encryptによって発行されました。ただし、チャートに示されている多くの商用認証局もあります。商用CAも無料のDV証明書を提供し始めました。これは有効期間が短く、したがって乱用されがちです。

セキュリティブロックに含まれる多数の証明書の有効期間は短かったが、これは多くの攻撃キャンペーンの有効期間が短いために予想される。加害者はキャンペーンドメインを頻繁に変更するため、新しい証明書を取得する必要があります。

緑の南京錠の神話

SSL証明書は、以前は高価であり、取得にかなりの時間がかかったため、過去数年間、セキュリティの兆候と見なされていました。難しさとコストは、サイバー犯罪者の抑止力であることが判明しました。

ただし、Let’s Encryptなどの無料の証明書プロバイダーの登場により、証明書を取得するのは簡単な作業になりました。2018年12月の時点で、Let’s Encrypt は2016年の発売以来約9000万のアクティブな証明書を発行しています。

企業が簡単に認証を取得できるようにする一方で、この戦略の意図しない結果により、サイバー犯罪者に新しい攻撃経路が開かれました。

内部トレーニングセッション中に、組織は従業員に対して、信頼とセキュリティの象徴としてブラウザのアドレスバーにある緑色の南京錠の記号を探すようにアドバイスすることがよくあります。しかし、ここ数年の経験に基づくと、それはもはや信頼できる戦略ではありません。

最近のフィッシング攻撃を見てみましょう。偽のバンクオブアメリカのログインページが、正当な証明書を使用して侵害されたWebサイトでホストされていました。

ユーザーは緑色の南京錠を探すだけでなく、URL に加えて南京錠の記号(EV証明書の表示)の横に会社名が表示されているかどうかも確認してください。ほとんどの主要な金融機関は、サイトにEV証明書を使用し始めて、Webサイトの正当性を確認するために追加の手順が実行されたことをユーザーに即座に視覚的に保証しています。

注目すべき脅威:JavaScriptスキマー

2018年に見られた最も注目すべきSSL脅威のトレンドの1つは、JavaScript スキマーベースの攻撃の増加でした。

これらの攻撃は、eコマースサイトが侵害され、悪意のある難読化されたJavaScriptが挿入されることから始まり、次にJavaScriptが購入トランザクションを利用しようとします。挿入されたスクリプトは通常、Document Object Model(DOM)プロパティを使用して、実行時に支払いページにフォームを追加します。これらの感染したサイトから何かを購入しようとするユーザーは、個人情報と財務情報を収集(「スキミング」)し、暗号化されたチャネルを介して攻撃者が制御するリモートサーバーに送信します。

結論

このレポートは、とあるクラウドセキュリティソリューションからデータをキャプチャし、グローバルな企業で何が起こっているかについての重要なファクトを提供します。当社のクラウドは、平均して1日あたり100億回以上のトランザクションを処理します。そのトラフィックの80%近くが暗号化されていることがわかりました。また、毎日平均950万件のSSLベースの高度な脅威をブロックしたこともわかっています。暗号化されたすべてのトラフィックを検査していない組織は、侵入や感染の危険性が高まり、被害を拡大します。SSLインスペクションを完全にサポートする多層多層防御戦略は、企業がこれらの脅威から安全であることを保証するために不可欠です。

CryptoLockerについて知っておくべき5つのこと

クリプトロッカー:サイバー犯罪の歴史

ランサムウェア攻撃は10年以上にわたって発生していますが、大規模な攻撃が見られるのは過去数年のことです。コンピュータセキュリティの専門家は、この種の攻撃の増加は、より困難になった他のサイバー犯罪と比較して成功率が高いためであると理論づけています。さらに、最近では、ランサムウェア用のソフトウェアは安価ですぐに入手できます。攻撃者は、攻撃を実行するために悪意のみを必要とします。 コーディングは必要ありません!

ランサムウェアに感染すると、被害者には2つの選択肢があります。身代金を支払うか、ファイルへのアクセスを完全に失うかです。ファイルの暗号化に使用されるマルウェアは防御が困難な場合があり、ほとんどの場合、暗号化を解除することはできません。

ランサムウェアは犯罪者にとって魅力的なものになりました。なぜなら、多くの個人や企業が不完全なデータバックアップを持っていること、またはまったくバックアップがないことを知っているため、身代金を支払ってファイルを回復する可能性が高いためです。犯罪者は概して、次のような選択肢によって身代金要求を低く抑えました:a)支払われる可能性が高い; b)法執行機関によって調査される可能性は低い。

多くの人が身代金を支払いました。FBIでさえ、場合によっては「身代金を支払う」ように企業に助言しました。残念ながら、攻撃者に報いることは、そのような恐喝スキームの拡大を促す戦略です。さらに、身代金が支払われた後、ファイルが復号化される保証ありませ

2014年、CryptoLockerマルウェアは、ランサムウェアを駆り立てたコマンドアンドコントロールセンターとGameOver Zeusボットネットのシャットダウンに成功した、セキュリティ会社と法執行機関の国際的な協力であるオペレーショントバーによってほぼ中和されました。

しかし、ランサムウェアの惨劇はまだ終わりではありません。CryptoLockerは、その成功の結果として、多数の模倣者を生み出しました。Cyber​​ Threat Allianceによると、彼らは2016年に大混乱をもたらすと約束しています。

ランサムウェアの新世代

2014年のCryptoLockerの廃止は、CryptoWallの価値ある後継者に代わるものであり、その後、ランサムウェアの最も厄介で最も成功した株の1つに進化しました。

CryptoWall は、電子メールの添付ファイル、エクスプロイトキット、ドライブバイダウンロードを介して届くことが知られています。これは、ユーザーが意図せずにウイルスやマルウェアをダウンロードした場合に発生します(通常、古いブラウザーまたはOSが原因です)。最近、複数の署名済みCryptoWall 3.0サンプルを含む新しいキャンペーンが、人気のあるファイル共有およびホスティングサービスであるMediaFire からダウンロードされるファイルに登場しました。

CryptoWall はすでに痛みをもたらしています

CryptoWall3(CW3)脅威に関する2015年のレポートで、サイバー脅威アライアンスは次のような驚くべき発見をしました:

  • 4,046のマルウェアサンプル
  • 839コマンドおよびコントロールURL
  • コマンドと制御に使用される5つの第2層IPアドレス
  • 49のキャンペーンコード識別子
  • • 406,887件のCW3への感染の試み

2016年2月、ランサムウェアの新しいバージョンが登場しました。Lockyとして知られているこのモデルは、非対称(公開キー)暗号化を使用してユーザードキュメントをロックし、復号化キーの身代金を要求する同じモデルに従います。専門家は、Locky が最もアクティブで有利なマルウェア株の1つになる可能性が高いと示唆しています。以前の株と同様に、その配信方法は主に、Locky ペイロードのダウンロードを担当するスパムメールの添付ファイルでした。

Locky は2016年2月のハリウッド長老派医療センターでの違反の責任者で、約17,000ドルの身代金を支払いました。結局、病院が電子カルテへのアクセスを回復し、従業員の電子通信能力を回復するために病院に支払うのは少額の費用でした。

ランサムウェアはビジネスの後に登場し、高価になりつつあります

専門家によると、ランサムウェアはスイートスポットになりました。ユーザーは、貴重なデータの返還と引き換えに、不本意ながら高額な身代金を支払っています。

しかし、これらのキャンペーンの成功は、主に個人を対象としているため、加害者はビジネスに目を向けるようになりました。新たに発見されたランサムウェアの亜種は、特に厄介なLinuxに焦点を合わせています。企業のWebサイトやコードリポジトリに影響を与える可能性が高く、重要な知的財産を失うリスクよりも、支払いに積極的になる傾向があるためです。

ランサムウェアが集中し、より企業になると、それはだ、感染した企業は、消費者の料金を払って逃げるとは考えにくいです。ランサムウェアキャンペーンの背後にいる犯罪者は精通しており、適切にバックアップされていないソースコードと財務文書をロックしていることに気づくと、身代金が急増することを期待して支払われることができます。

AVとマルウェアの保護が十分ではない理由

CryptoWall は、企業と個人ユーザーの両方にとって依然として強力な脅威です。従来のアンチウイルス(AV)アプリケーションはこれや他の多くのランサムウェア株と闘っています。感染が成功すると、シグネチャを反応的に追加したとしても、AVベンダーができることはほとんどありません。

適切な保護を提供するために単一の製品に依存することはできないため、ランサムウェアの脅威に対抗するには、多層的なセキュリティアプローチが必要です。

侵入防止システム(IPS)、アンチウイルス、サンドボックス、Webフィルタリング、IP レピュテーションスコアリング、アンチスパムサービスなどのソリューションの組み合わせにより、CryptoWall やその他の高度な脅威に対するネットワークの脆弱性を大幅に減らすことができます。SSLの使用は劇的に増加し、間もなくすべてのWebトラフィックの大部分を占めるようになるため、SSL によるトラフィックの検査は重要です。さらに、攻撃者はSSL暗号化メッセージに悪意のあるコンテンツを隠しています。

「2016 年末までに、SSLはすべてのWebトラフィックの60 %を消費すると予想されています。」

多層化されたアプローチは、相互に連携して実行されるさまざまな個別の保護に依存しています。たとえば、WebフィルタリングソリューションはCryptoWall C2 サイトへのアクセスをブロックし、侵入防止システムはCyptoWall ペイロードの配信を中断することができ、ウイルス対策とサンドボックスはCryptoWall 感染を検出してブロックすることができます。これらの高度なセキュリティソリューションは「キルチェーン方法論」として知られており、連携してさまざまな感染経路を閉鎖します。

これらのソリューションのいくつかは、特にウイルス対策、あるかなりユビキタス。しかし、ランサムウェアは常に変化しており、亜種はAVおよびその他のレガシーセキュリティソリューションを通過しています。その結果、より高度なソリューション、特に多層ソリューションは、今日の世界では不可欠であると見なす必要があります。

新しい攻撃スタイル:今すぐ支払うか後で支払う

2016年3月、Maktub Lockerと呼ばれる新しいランサムウェアファミリーは検出されブロックしました。ラボでマルウェアを爆発させたところ、バックグラウンドでユーザーファイルを暗号化するときに、偽のリッチテキスト形式(RTF)ドキュメントを起動することがわかりました。ファイルの暗号化が完了すると、Maktubは時間に敏感な身代金メモを表示します。身代金の支払いは、復号化キーを取得するために1.4ビットコインから始まります。しかし、身代金が72時間以内に支払われない場合、身代金は最大3.9ビットコインになります。

「2016年にはランサムウェアがますます企業中心になることを期待してください。そうすることで、企業は消費者料金の支払いから逃れることができなくなります。」

データとユーザーを今すぐ保護する方法

ランサムウェア攻撃の脅威にさらされている場合、バックアップシステムと冗長システムを配置して、データを常に安全に利用できるようにすることが最も重要です。クラウドバックアップシステムは、安全なオフサイトストレージのためにますます推奨されています。

ランサムウェアは、犯罪に不本意な共犯者になることをユーザーに依存しているため、最善の防御策は、脅威を理解し、感染を回避する方法を知っている十分に訓練されたユーザーを用意することです。いくつかのベストプラクティスは次のとおりです。

  • ユーザーは、システム上のオペレーティングシステム、デバイスファームウェア、およびアプリケーション(特にウイルス対策およびWebブラウザー)が最新であることを確認する必要があります。
  • ユーザーは、フィッシング技術について訓練を受ける必要があります。たとえば、常に電子メールメッセージを送信する人の名前に注意を払います。特にリンクや添付ファイルが含まれている場合は、不明な送信者や迷惑メールを信頼しないように警告する必要があります。
  • ユーザーは、受信する添付ファイルのファイルタイプにも注意を払う必要があります。 「.zip」のファイルは、CryptoWallで使用されていた「.scr」のような他の一般的ではないファイルタイプとともに、赤いフラグを付ける必要があります。
  • 最も人気のあるすべてのWebブラウザーは、ユーザーが個別にアクティブ化することを選択するまで、Java、Flash、Silverlightなどのプラグインを自動的にブロックする機能を提供します。これらの保護がオンになっていること、およびユーザーが信頼できるソースからのプラグインのみをアクティブにすることを確認してください。

ランサムウェアに対するあなたの最高の保護はクラウドにあります

ランサムウェアを作成する人々は、本物に似た電子メールメッセージを作成するのが得意です。信頼できるソースからの正当な送信者であることがよくあります。サイバー犯罪者は、ユーザーに到達できれば、ミッションを達成できる可能性が高いことを知っています。現在、このようなスキームはビジネスを対象としているため、悪意のあるファイルやサンドボックスの疑わしいトラフィックをブロックできる多層保護を実装することが重要です。さらに、システムは、メッセージが他の保護を通過できる場合にマルウェアがダウンロードされるのを防ぎます。

ハッカーは、多くの場合、タンデムで方法を組み合わせて使用します。そのため、8つの異なるセキュリティエンジンによってトラフィックがリアルタイムで検査されるため、調整された攻撃をすばやく発見し、ネットワークに侵入する前にブロックすることができます。

SSLを含むすべてのトラフィックを検査します

多くの(ほとんど!)組織はSSLトラフィックを検査しません。SSLトラフィックは非常に計算集約的であるためです。彼らはしてより多くの機器を購入しなければならない多対と8倍に負荷アップを処理し、それはだだけでほとんどの時間を現実的ではありません。しかし、最新のセキュリティ対策では暗号化されたトラフィックをグローバルなクラウドスケールで処理するように構築されているため、SSLの問題は問題になりません。最新のセキュリティ対策では、暗号化されたトラフィックを含むトラフィックのすべてのバイトをリアルタイムで検査するため、脅威が隠れることはありません。

最新のセキュリティ対策は受信トラフィックを使用して、ウイルス、アドウェア、スパイウェア、悪意のあるJavascript 、不正なファイル、およびシステムとネットワークを混乱させる可能性のあるその他のものを探します。

アウトバウンドトラフィックでは、悪意のあるURLリクエスト、クロスサイトスクリプティング、およびコマンドアンドコントロールセンター(ランサムウェアがデータを制御する方法)に向かうボットネットトラフィックを監視します。ランサムウェアがC&Cサーバーに到達できない場合、データを見つけて暗号化することはできません。

疑わしいトラフィックがあるときにアラートを送信するだけではありません。識別されたゼロデイ攻撃、インバウンドマルウェア、感染したデバイスからのアウトバウンドボットネット通信、アウトバウンドデータの漏洩を自動的にブロックします。

場所やデバイスを問わず、すべてのユーザーを保護します

脅威インテリジェンス、ボットネット検出、クラウドサンドボックスなどの統合セキュリティ機能は、リアルタイムで連携して包括的な保護を提供します。また、ネットワーク上またはネットワーク外のすべてのユーザーに、個人および会社所有のさまざまなデバイスでその保護を提供します。

攻撃者はインフラストラクチャの最も脆弱な部分を標的とし、多くの組織がリモートオフィス、戦士、モバイルデバイス、インターネットに接続されたものの保護に重大なギャップを抱えていることを知っています。パブリックWi-Fi接続上のモバイルデバイスのユーザーは、本社ネットワークに配線されたユーザーとまったく同じ保護を受けます。

クラウドインテリジェンスはすべてのユーザーにメリットがあります

大規模なグローバルなクラウドセキュリティプラットフォームは、ピーク時に100B以上のトランザクションを処理します。疑わしいオブジェクトは、制御されたサンドボックスで自動的に実行および監視され、ゼロデイ脅威などの悪意のある動作はすべて記録、分析、ブロックされます。何よりも、1500万人以上のユーザーのいずれかで脅威が発見された場合、すべてのユーザーに対して脅威がブロックされます。

セキュリティプラットフォーム

世界中の何千もの企業や政府機関の1500万人以上の従業員を、企業や規制のポリシーに完全に準拠しながら、サイバー攻撃やデータ侵害から保護します。受賞歴のあるクラウドセキュリティプラットフォームは、あらゆるユーザー、あらゆるデバイス、あらゆる場所に安全で生産的なインターネットエクスペリエンスを提供します。

効果的にセキュリティをインターネットバックボーンに移動し、世界中の150を超えるデータセンターで運用し、組織が比類のない妥協のない保護とパフォーマンスを備えたクラウドとモバイルコンピューティングの約束を完全に活用できるようにします。

企業がVDIでITコストを削減している3つの方法

予算が圧縮され、モビリティやビジネス・アジリティなどの新たな戦略的要件が求められる中、IT 部門は、より少ない予算でより多くのことを行わなければならないというプレッシャーに直面しています。資本コストと運用コストを削減するためには、IT スタッフの数を減らしてユーザーや拠点をサポートし、購入品を減らし、既存の資産を再利用する必要があります。テレワーク、バーチャルオフィス、BYODなどの代替ワーク戦略を可能にすることは、不動産、エネルギー、ハードウェアのコストを節約するための最優先事項です。 銀行やヘルスケアを中心としたあらゆる業界でセキュリティへの関心が高まり続ける中、侵害を防止し、事実上無限に発生するコストを回避することも非常に重要です。

従来の分散コンピューティングアーキテクチャには高いコストがかかります。ハードウェアを各場所にローカルにインストールすることで、IT 部門は、各支店に人員を配置したり、問題に対処するために場所を移動したりしなければならないという、負担が大きく非効率的なサポートモデルを構築してしまいます。ユーザーは作業できる場所が限られており、最も生産性の高い場所やデバイスを選択する柔軟性に欠けています。また、よりコスト効率の高いテレワークやBYOD 戦略を導入するためのシンプルで安全な方法はありません。データが組織全体に広がっているため、データの損失や盗難、サイバー攻撃、規制違反のリスクにビジネスをさらすことになります。

デスクトップの仮想化により、IT 部門は、資本コストと運用コストを削減し、柔軟性を高め、セキュリティを向上させる集中型アーキテクチャに移行することができます。仮想デスクトップ・インフラストラクチャ(VDI)は、以下のことを可能にします。

  • 買収コストを削減し、分散した組織をサポートするために必要なインフラストラクチャを削減し、集中サポートを可能にすることで、コスト効率の高い成長をサポートします。
  • 老朽化したエンドポイントに最新のアプリやオペレーティング・システムを提供し、優れたユーザー・エクスペリエンスを提供することで、PCのリフレッシュ・サイクルを短縮します。
  • データセンター内でアプリやデータを安全に保つことで、コストのかかるセキュリティ侵害のリスクを低減します。
  • 従業員がリモートまたはバーチャルオフィスで仕事をしたり、BYODを可能にして不動産、エネルギー、およびハードウェアを節約したりすることで、オーバーヘッドを削減します。

デスクトップ仮想化ソリューションであるVDIを使用して、世界中の何千もの組織のITコスト削減を支援しています。VDIコンポーネントを使用すると、Windowsアプリケーションをデータセンターで仮想化、集中管理、管理することができ、どこにいても、どこにいても、どこにいても、どこのデバイスにいても、サービスとして即座にユーザーに提供することができます。Forrester Wave™でも紹介されています。

ライフスタイルヒアリングは、ITコストを増やさずに事業を拡大

概要

ライフスタイル・ヒアリング・ネットワークは、カナダを代表する独立した聴力検査クリニックの多くを統合し、北米全域の患者にサービスを提供しています。2008年に設立されたLifestyle Hearingは、買収により急成長を遂げ、設立から6ヶ月でわずか3名の従業員から100名以上の従業員を抱えるまでに成長しました。現在、Lifestyle Hearingはカナダとアメリカの間に150以上のクリニックを展開しています。この事業は、約420人のアクティブなユーザーに支えられています。

課題

組織が地理的に分散していることを考えると、Lifestyle Hearingは、現地の技術者や高額なコンサルタントに頼ることなく、無数の場所にあるクリニックやユーザーをサポートする必要があります。Lifestyle HearingのITディレクター、Franco Butera氏は次のように述べています。「当社のオフィスの多くは、本社から車で6時間、または飛行機で6時間の距離にあり、直接訪問して効果的にサポートすることは不可能です。

解決策

Lifestyle Hearingは、ビジネスアプリ、デスクトップ、データを集中的に安全に配信するためにVDIを選択しました。グローバルサーバーロードバランシング(GSLB)を提供し、あらゆる場所のユーザーに高品質な体験を提供します。このソリューションは、米国とカナダの両方のパブリッククラウドデータセンターでホストされており、各国のデータセキュリティとプライバシー規制へのコンプライアンスをサポートします。ユーザーは、iPad、PC、その他の個人所有のデバイスなど、選択したデバイスを使用してアプリやデスクトップにアクセスし、自宅でも診療所でも、どこからでも同じように作業することができます。

主なメリット

VDIは、新しいエンドポイントのプロビジョニングと設定をすぐに行う必要がないため、Lifestyle Hearing社は、新しく買収したクリニックの統合にかかるコストを削減することができました。その代わり、IT 部門は既存の PC を使用してアプリ、デスクトップ、データへのアクセスを可能にし、買収した企業のハードウェアを時間の経過とともに徐々に更新することができます。買収した企業は自社の PC の寿命を延ばすことができ、従来の 3~4 年のライフサイクルを超えてサービスを維持しながら、完全に最新のユーザー体験を提供することができます。

プロビジョニングと制御を一元的に行うことで、ライセンスとネットワークのコストを削減することができます。企業は、同時実行と再利用により、組織全体でソフトウェアライセンスが効率的に利用されていることを確認することができます。このソリューションにより、安価なコンシューマー・ブロードバンドでも優れたエクスペリエンスを提供できるようになり、高額なWANやファイバー・アップグレード(1 拠点あたり 3,000 ドルの潜在的なコスト)の必要性がなくなります。GSLBは、障害発生時に代替サイトへの自動フェイルオーバーなど、ユーザーのパフォーマンス・ニーズを満たすために最適な環境をユーザーに提供します。

最小限のオンプレミスのアーキテクチャで ライフスタイルヒアリングでは、各診療所でのサポートはもちろんのこと、少人数で集中的にサポートすることで、ユーザーのサポートも容易になりました。ITチーム全体は、カナダに2名の技術者、米国に1名の技術者、ヘルプデスクとインフラを担当するITマネージャー1名で構成されています。技術的な知識のないユーザーでも、直接訪問することなく、故障したルーターを新しいものに交換することができます。”すべてをリモートで行い、診療所に行く必要はほとんどありません。

ケリハー保険はPCのリフレッシュサイクルを節約します

概要

Kelliher Insurance Group(旧 Kerry London)は、英国を代表する独立系保険ブローカーグループで、様々な業界のお客様に総合的な専門保険ソリューションを提供しています。同グループは、Kerry London、Trade Direct、Self Build、Professional Directなどの事業とブランドで構成されています。

課題

Kelliher社は、アプリケーションとデスクトップの管理を簡素化し、優れたユーザーエクスペリエンスを確保しながら、拠点間のコストを削減する必要がありました。ユーザーに確実に導入してもらうためには、使いやすく、ネットワーク品質が限られているリモートオフィスにも対応できるソリューションでなければなりませんでした。エンドポイントの老朽化が進んでいるため、特にWindows 10の登場により、コストのかかる更新に直面していました。

解決策

Kelliher社は、仮想アプリ、デスクトップ、データの安全なソリューションとしてVDIを選択しました。Kelliher Groupでは、VDIを使用して、Microsoft Officeと保険の専門アプリケーションの両方を提供しています。そのVDIアーキテクチャにより、IT部門はレガシーサーバー環境を維持し、ユーザーがどのデバイスからでもアクセスできるようにすることができます。

主なメリット

VDIの導入により、Kelliher社は老朽化したエンドポイントの影響を軽減することができました。VDIのおかげで、一括して更新するコストが削減されたため、数年に渡って設備投資を分散させ、サポートサイクルを均等化することができました」と、Kelliher InsuranceのIT部門のグループヘッドであるSimon Davey氏は述べています。 IT部門は、Windows 10デバイス上で、そのOS上で動作しないビジネスアプリへのアクセスを提供することができ、アプリの寿命を延ばし、新しいデバイスが環境に入ってきても、一貫した秩序ある移行を確保することができます。

Kelliher社がセキュリティとコンプライアンスを維持するのにも役立っています。集中型VDIアーキテクチャは、データセンター内のデータを安全に保ち、支店や自宅のユーザーが簡単にアクセスできるようにし、モバイルデバイスやその他のエンドポイントからもデータにアクセスできます。企業以外のPCでデータをローカルにダウンロードすることはできず、リモート・ワイプ機能により、デバイスを紛失しても企業や顧客のデータが損なわれることはありません。このようにVDIは、Kelliher社がセキュリティとモビリティの両方を実現するのに役立っています。

アメリカンフォーク銀行は、コストのかかるセキュリティや規制違反のリスクを軽減します

概要

1913年に設立され、現在はピープルズ・インターマウンテン銀行の一部門となっているバンク・オブ・アメリカン・フォークは、資産規模と預金額に基づいて14のフルサービス支店を持つユタ州最大のコミュニティ・バンクです。Bank of American Forkは「大都市の銀行と小さな町のサービス」をお約束します。大規模な銀行に見られるテクノロジー、商品、サービスのすべてを備えながらも、小さな町にあるような卓越した顧客サービスと親しみやすさを備えています。

挑戦

急成長を遂げているコミュニティ・バンクとして、Bank of American Fork のマネージャーは、支店を迅速に開設し、買収を追求し、買収した銀行の顧客に自社システムへのシームレスな移行を可能にする必要があります。また、セキュリティ侵害を回避し、グラム・リーチ・ブライリー法を含む規制へのコンプライアンスを維持するために、顧客の個人情報(PII)を安全に管理しなければなりませんが、従業員がBYODや在宅勤務などの人気プログラムを利用している場合もあります。Bank of American Forkの従業員400人のうち、50人が定期的にリモートアクセスを利用しています。

ソリューション

Bank of American Forkでは、VDIデスクトップと公開アプリケーションを、従業員が仕事をしている場所であればどこでも、選択したデバイスで提供しています。ほとんどの従業員は、支店で従来のPCに代わってシンクライアントを使用していますが、iPadやMacBookで業務アプリにアクセスする従業員もいます。

主なメリット

VDIにより、バンク・オブ・アメリカン・フォークは、全体的かつ包括的なデータ保護とサイバーセキュリティを適用するために、1つの場所から簡単にセキュリティを管理することができるようになりました。PCからUSB制限のあるシンクライアントへの移行により、各支店のすべてのエンドポイントでディスク暗号化を実行する必要がなくなりました。”誰かのラップトップが盗まれたり、ウイルスに感染したりしても、アクセスしているものはすべてデータセンター内に集中管理されているため、個々のデバイスで動き回ることはありません。同行では、VDIイメージ管理技術を使用して、プールされたデスクトップを提供しています。ユーザーがログオフするたびに、仮想デスクトップは元の状態に復元されます。その結果、ウイルスや侵入、その他の脅威の疑いがある場合でも、OSの再インストールや、とらえどころのないマルウェアの駆除を行うことなく、再起動するだけで対処できるようになりました。銀行では、システムへのVPNアクセスを許可する代わりに、支店外で働く人々に仮想デスクトップを使用することを要求しています。ホーリー氏は、「銀行の審査官は、データがサイトから離れることがないことを気に入っています」と述べています。勿論VDIは、VPNをゼロトラストに置き換えた後にも端末を対象に有効活用できます。

バンク・オブ・アメリカンフォークの住宅ローン部門のメンバーのほとんどは、主に自宅で仕事をしており、オフィスに出社するのは週に1回程度です。彼らは、どの場所でも同じように仮想デスクトップをどのデバイスからでも起動することができ、場所を問わずシームレスな体験を提供すると同時に、テレワークとBYODの両方をサポートして満足度を向上させます。

結論

コストを削減し、ITを簡素化する必要性は、セキュリティを犠牲にしてまで実現するものではありません。VDIを実装することで、企業は資本コストと運用コストを削減しながら、高額な違反や規制当局からの罰金を回避することができます。VDIでは、作業場所や使用するデバイスに柔軟性を持たせることで、従業員の満足度を向上させ、テレワークやBYODなどのコスト削減戦略を活用することが可能になります。あらゆるデバイスを使用してデスクトップにアクセスできるため、エンドポイントの更新サイクルを延長し、導入コストを削減することができます。

IPアドレスベースのアクセス制御を変革する

多くの企業は、アプリケーションへのアクセスを制御するためにソースIPアドレス識別を採用しています。ただし、これらの組織がSaaSアプリケーションを採用し、内部アプリケーションをデータセンターから移行し、リモート作業をサポートする場合、企業リソースへのアクセスを保護する手段としての送信元IPアドレスの識別の効果は低くなります。所謂ゼロトラストネットワークアクセス(ZTNA)への移行の流れです。(ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。)

作業方法は、クラウドファースト、デバイスにとらわれず、リモートに進化しました。それを保護する手段も進化しなければなりません。エンタープライズクラウドの変革には、新しいIDベースの承認メカニズム(多要素認証、MFAなど)が必要です。

一部の組織では、IPアドレスのみからインラインプロキシセキュリティを使用するMFAへのパスに高いスイッチングコストがかかります。IPアドレスコントロールは、レガシーアプリケーションにハードコードされているか、地理的制限として内部Webサイトに埋め込まれているか、規制要件によって義務付けられているか、または単に企業のITセキュリティ文化に深く根付いている場合があります。

ユーザーの作業の大部分は現在、クラウドまたはインターネット上で行われ、多くの場合、「ホットスポット」から、および/または個人のデバイスからリモートで行われています。送信元IPアドレスの識別は、それ自体では、エンタープライズリソースへのアクセスを管理するための信頼できる、または強制可能なセキュリティ制御ではなくなりました。

IPアドレス制御の履歴・制限

IPアドレスに基づいてアプリケーションまたはリソースへのアクセスを制限することは、ユーザーとアプリケーションの両方が境界防御の範囲内にいた時代からのコントロールコンセプトです。IPアドレス番号は、企業ネットワーク経由でアプリケーションまたはリソースへのアクセスを求めるホストデバイスを識別します。セキュリティの「チャレンジ」は基本です。このデバイスのIPアドレスは、数値の許容可能な設定範囲内ですか?はいの場合、跳ね橋を下げます。いいえの場合、玄関の呼び鈴に答えないでください。

このようなエンタープライズ環境では、IPアドレスはいわゆる「セキュリティゾーン」に分類され、各ゾーンにはセキュリティ感度のレベルが割り当てられています。エンタープライズデバイスは、特定のゾーンに与えられた特権に基づいてリソースにアクセスできます。ゾーンの範囲は不連続である可能性があり、一部のホストデバイスはデフォルトのセキュリティゾーンに割り当てられている可能性があります(インターフェイスが既存のセキュリティゾーンにまだ明示的に関連付けられていない場合)。

IPアドレス制御は、ホワイトリストとブラックリストに依存しています。アクセスを許可するために、アプリケーションまたはサービスは、問い合わせデバイスのソースIPアドレス番号を、「ホワイトリスト」としても知られる承認済みの番号リスト(たとえば、許可されたセキュリティゾーン内)と比較し、比較の結果に基づいて、アクセス要求を拒否、またはチャレンジします。要求された場合、ホストデバイスは追加の認証詳細を提供する必要がある場合があります。(レガシーデータセンター環境では、このようなチャレンジ機能は典型的ではありません。アクセスは通常IPアドレスのみで決定されます。)ホストデバイスが拒否された場合、その数はブラックリストに記載されます。(ブラックリストは他の方法でも機能することに注意してください。ITセキュリティは、実際のまたは知覚されるセキュリティリスクのために、宛先として特定のURLまたはIPアドレス範囲へのアクセスを制限する場合があります。)

ソースIPアドレスベースのアクセス制御は、実装がかなり簡単です。それらだけで効果があったとすれば。新しいエンタープライズの作業方法を保護することに関しては、ソースIPアドレスベースのアクセス制御には制限があります。

  • 不十分な認証:識別メカニズムとして、IPアドレスコントロールはデバイスのユーザーではなくデバイスを認識します。これにより、ゼロトラストポリシーの主要コンポーネントである最小特権のアクセス許可が適用されなくなります。承認されたセキュリティゾーン内のデバイスが侵害された場合、そのデバイスにアクセスできるすべてのものが攻撃に対して脆弱になります。
  • 複雑さ:IPアドレス管理は非常に複雑です。不適切に設定されたIP範囲は、管理サイトへのアクセスを誤ってロックアウトする可能性があります。
  • リモートでの作業には効果がありません:地理的制限(たとえば、地理に基づいて割り当てられた特定の範囲)に使用すると、ユーザーが新しい「地理的外」の場所からリソースにアクセスすると、ソースIPアドレスの制御が失敗します。
  • パフォーマンスの低下:ソースIPの制限により、ユーザーはリモートの作業場所からVPNに強制的にアクセスするため、既知のIPを介してインターネットに下りることができます。このバックホールにより、レイテンシが増加します。そもそも本来、境界型の延長であるVPNはゼロトラストへの移行が必要です。
  • 侵害の脆弱性:IPアドレスは簡単に偽装される可能性があります。一般的な攻撃ベクトルシナリオの1つ:許可されたアドレススペース内のオープン(または弱いWEP暗号化ベース)Wi-Fiネットワークは、接続を乗っ取ってアクセスするために簡単に悪用される可能性があります。

ソースIPアドレスを「アンカー」してアプリケーションやリソースへのアクセスを制御する企業は、新しいクラウドファーストデバイスに依存しないテレワークの作業方法を保護するためのアプローチを再発明する必要があります。実際、彼らの従業員は既にそのように働いています。しかし、アクセスを保護する唯一の手段としてソースIPアドレス制御を超えることは簡単ではなく、そのような努力はスイッチングコストを招く可能性があります。

クラウドベースのセキュリティサービスは、ソースIPアドレスのセキュリティアンカーと組み合わせて、クラウドセキュリティサービススタックのレイヤーとして機能し、企業の脅威保護態勢を強固にすることができます。より強力なセキュリティアーキテクチャへの移行パスを提供します。

ソースIPコントロール:レイヤードセキュリティへの実用的なアプローチ

クラウドとモビリティが従来のネットワークとセキュリティアーキテクチャを混乱させるという考えに基づいて設立されました。この混乱は、企業がソースIPアドレスベースのセキュリティ制御からアイデンティティベースの認証に移行する必要があることから明らかです。

新しい作業方法を保護するには、企業のITリーダーは評価から始める必要があります。組織は、アクセス制御メカニズムとして送信元IPアドレスにどの程度依存していますか?何既存の理想的なセキュリティ状態の間のギャップは?また、このようなイニシアチブを社内で販売するのに役立つ評価基準(コスト、複雑さ、セキュリティポスチャメトリックの改善)はどれですか。

その評価は、エンタープライズセキュリティ戦略計画の最初の段階です。

    1. ソースIPアドレスの使用を監査して、内部および外部リソースへのアクセスを許可/制限します。
      1. ソースIPアドレス制御の使用を変更できますか?もしそうなら、何(ケースバイケースで)それらの変更の範囲は?
      2. 承認されたセキュリティゾーンのIPアドレスは、外部のサードパーティ(IPアドレスを使用して地域内のアクセスを決定する政府の規制機関など)によって義務付けられていますか?
      3. レガシーIPアドレスコーディングが埋め込まれた内部サイトを、MFAなどのより新しい(動的な)認証メカニズムに更新できますか?
    2. 評価結果に基づいて、セキュリティの移行に優先順位を付けます。
      1. ソースIPアドレスの制御:インラインプロキシクラウドベースのセキュリティでどのエンタープライズオペレーションを階層化する必要がありますか?

ユーザーのインターネット下りを保護し、企業を外部の脅威(フィッシングランサムウェア、またはその他のマルウェア攻撃)とデータの漏洩の両方から保護します。また別の製品でアプリケーションとリソースへの内部トラフィックを保護し、企業データへの不正アクセスから企業を保護することも可能です。2つのサービスは個別に販売および管理されます。

ソースIPアドレスベースの制御

企業は、従来のインターネット下り方式からローカルインターネットのブレイクアウトへと進みます。従来のモデル(城と堀の境界セキュリティを備えたハブアンドスポークの企業ネットワーク)では、ユーザーは(多くの場合VPNを介して)中央のWebゲートウェイに接続し、そこからインターネットに移動します。トラフィックがバックホールされ、ゲートウェイがボトルネックになり、接続パフォーマンスが低下します。

ユーザーが最寄りのインターネットオンランプでオンラインになり、Office 365などのSaaSアプリケーションを含むインターネットリソースへの直接、安全、高速、最適化されたアクセスを楽しむモデルとは対照的です。この新しいモデルでは、企業ネットワーク(およびインターネット)はなくなります。インラインプロキシとして機能します。お客様のデバイスまたはネットワークからの元の接続を終了し、ユーザーに代わって宛先コンテンツサーバーへの新しい直接接続を開始します。コンテンツサーバーに表示されるソースIPアドレスは、データセンターからのパブリック出力IPアドレスであり、エンタープライズユーザーのデバイスの元のIPアドレスではありません。

クライアントからサーバーに行き来するすべてのコンテンツを検査し、ユーザーが悪意のある(または侵害された)宛先にアクセスした場合にユーザーを保護できます。出力でIPを使用すると、ネットワークアドレス変換(NAT)保護の形式として機能し、デバイスのIPアドレスを宛先コンテンツサーバーから保護します。(デバイスのIPアドレスがXFFヘッダーに挿入されることに注意してください。)

送信元IPアドレスのホワイトリストに依拠している企業の場合、宛先アプリケーションはIPアドレスを許容可能な「セキュリティゾーン」の範囲内として認識しないため、NATアドレスマスキングはアプリケーションアクセスを妨害する可能性があります。

企業トラフィックを内部リソースに誘導します。接続は出力されませんが、代わりにアプリケーションコネクターにルーティングされます(そこから適切な内部リソースに接続されます)。アプリケーションコネクタはお客様自身のデータセンターまたはパブリッククラウド(たとえば、AWS、Azure、またはGCP)に存在するため、宛先リソース(内部アプリケーションやコンテンツサーバーなど)は、ユーザーに割り当てられた、またはホワイトリストに登録されたIPアドレスを表示できます。

非Webアプリケーションのエンドポイントコントロールをし、内部Webアプリケーションに対してブラウザベースのアクセスを可能にします。すべての送受信トラフィック(SSL / TLS暗号化データを含む)の包括的な検査を提供しますが、内部データトラフィックのゼロトラスト原則に準拠しているため、そうではありません。セキュリティをレイヤー化しようとしている企業は、固有のIPアドレスNATを使用する事を検討する必要があります。ソースやIPアドレス制御は、セキュリティ検査を必要としない信頼できるアプリケーションへのユーザーアクセスを保護するためのオプションですが、より広いインターネット下りリスクへの露出の測定を考慮した場合のみです。

安全な導入を確保するための一般的な使用例、主要な考慮事項、およびベストプラクティスの推奨事項を以下に示します。

送信元IPアドレスベースのアクセス制御:従来の使用例

アプリケーションアクセス制御メカニズムとしての送信元IPアドレスは、次の4つの主要なエンタープライズユースケースに分類できます。

  1. 外部SaaSアプリケーションへのアクセスの制御
  2. ステップアップ認証ポリシー属性としてソースIPアドレスを使用する
  3. 境界ファイアウォールでの着信接続の許可/制限
  4. 送信元IPアドレスに基づく地理位置情報

1.外部SaaSアプリケーションへのアクセスの制御

SaaSなどの多くのアプリケーションは、アプリケーションサーバーへのアクセスの承認基準としてIPアドレスを引き続き使用しています。インバウンド接続要求が検出されると、アプリは送信元IPアドレスをホワイトリスト(たとえば、承認された「セキュリティゾーン」の範囲の番号)と比較し、アクセスを許可または拒否します。

多くの場合-ほとんどのSaaSアプリケーションアクセス方法を含めて-この形式のアクセスは通常、アプリケーションレベルの認証に取って代わるものではありませんが、それでもまだ一般的に使用されています。保護されたデータセンターからクラウドまたはインターネットに移行されたアプリケーション(多くの場合、レガシーIP アドレスベースのアクセス制御コードを実行するアプリケーション)の補足アクセスメカニズムとしてエンタープライズ環境で使用できます。

アプリケーションが権限のないユーザーにアクセスを許可しないようにするには、MFAのようなより最新のセキュリティアプローチが必要です。また、ほとんどのSaaSアプリケーションは、シングルサインオン(SSO)とセキュリティアサーションマークアップ言語(SAML)をサポートするようになりました。一部のSaaSアプリケーションでは、ソースIPアドレスはテナントと認証スキームの識別に使用され、サービスが着信接続に使用するテナントとIDプロバイダー(IdP)を選択できるようにするため必須です。

レガシーネットワーク設計では、ロケーションのファイアウォールのNAT境界を通過した後、出力IPアドレスはすべてのカスタマーロケーションのパブリックIPまたはIP範囲になります。 レガシーネットワークでは、比較的少数の下りロケーションとIPがあり、クラウドとパートナーアプリケーションのホワイトリストの管理が管理しやすくなります。 ローミングユーザーがこれらのアプリケーションにアクセスする場合は、VPNでロケーションにアクセスする必要があります。これにより、ユーザーはそのロケーションのIPを介して下り、アクセスが許可されます。

SaaSベンダーは、IDプロバイダー(IdP )がユーザー資格情報をサービスプロバイダー(SaaS)に渡すことを可能にするセキュリティアサーションマークアップ言語(SAML)を広く採用しています。歴史的に、MFAは扱いにくいエンタープライズクラスのソリューションと見なされていました。実装が難しく、展開が困難です。管理は難しく、エンドユーザーは各サービスでトークンを持ち歩く必要がありませんでした。しかし、モバイルスマートフォンの登場により、otpまたはトークンの生成を容易にするアプリケーションが登場しました。さらに、多くのWebアプリケーションでアドオン機能としてMFAが有効になり、管理オーバーヘッドが削減されています。この使いやすさとセットアップの容易さは、このセキュリティ機能の人気の高まりの大きな原動力です。

多くのセキュリティソリューションで、ユーザーのプロビジョニングと認証にSAMLを使用してID管理をデプロイすることを推奨しています。

一部のアプリケーションはオプションのセキュリティレイヤーとしてIPアドレスホワイトリストを提供しますが、一部のサービス(B2Bの状況で一般的)は必須としてソースIPホワイトリストを必要とし、ソースIPアドレスの明示的なリストなしにパートナーをオンボーディングしません。たとえば、A社にはB 社のシステムで作業している請負業者がいて、B 社のシステムにアクセスするために、事前に指定されたIP範囲から接続を開始する必要があります。その他の一般的な例としては、VAT申告アプリケーションなど、政府機関がホストするアプリケーション、ブルームバーグまたはトムソンロイターがホストする研究端末、銀行アプリケーションなどがあります。

2.ステップアップ認証ポリシー属性としてソースIPアドレスを使用する

送信元IPアドレスは、認証の課題をエスカレーションするための決定基準として使用できます。 たとえば、ホワイトリストに送信元IPアドレスを使用するエンタープライズ環境(上記の使用例1を参照)では、送信元IPアドレスが次の場合、単一の認証要素(IPアドレス番号自体)に基づいて許容範囲内で着信デバイス接続が許可されます。しかし、範囲外のIPアドレスのデバイスがアクセスを必要とする状況がある場合、IPアドレスの確認は困難になります。 ソースデバイスのIPアドレスが許容範囲内にない場合、認証の2番目の要素(またはそれ以上)(ワンタイムパスワードまたはRSAキーエントリ)が必要です。

このユースケースは、ホワイトリスト(ユースケース#1)に加えて、認識されないIPアドレスアクセスを許可する追加の認証チャレンジです。その方法では、理論的にはユーザーが新しいデバイスから(もちろん、第2要素認証の検証を使用して)ログオンできるため、リモート作業のサポートがわずかに向上します。ただし、それでも(ユーザーではなくデバイスに関連付けられた)かなり選択的な認証形式です。

3.境界ファイアウォールでの着信接続の許可/制限

一部の企業(アプリケーションまたはデータを内部ネットワークまたはデータセンターからパブリックIaaSクラウドに移行する場合)は、再配置されたアプリケーションをホストする仮想ネットワークへのアクセスを制限しようとします。このモデルでは、ITは基本的に、仮想ネットワークの周囲に境界ファイアウォールを拡張し、城内およびセキュリティで保護されたネットワーク(既知のすべてのセキュリティ制限付き)をクラウドで仮想化します。:インバウンドアクセスは、VPNを介して許可される(VPNへのアクセスは、 もちろん、送信元IPアドレスに基づく)か、または選択した範囲内のホワイトリストに登録されたIPアドレスに基づきます(仮想化ファイアウォールルールセットで構成)。

クラウドで移行され、カスタム開発された内部アプリケーションが「ハード化」されたり、インターネットに公開できる程度にテストされたりすることはめったにありません。リファクタリングは高価であり(常に実用的であるとは限りません)、この使用例では、送信元IPアドレスベースのアクセス制御が(その制限にもかかわらず)重要なセキュリティ機能として(文字通りおよび比喩的に)定着しています。

4.送信元IPアドレスに基づく地理位置情報

一部のWebサイトは、IPアドレスの地理位置情報に基づいて動的コンテンツを表示します。その他-多くのメディアサービスや政府のサイトなど-は、ソースIPアドレスの識別を使用してコンテンツへのアクセスを制限しています。認識される地理位置情報を変更できます。たとえば、カナダのユーザーが国境を越えて近くのサーバーを介してログオンする場合があります。宛先サイトは、再割り当てされたIPアドレスを認識し、米国に所在するデバイスであると考えるものにコンテンツを提示します。

残念ながら、それに依存しているサイトでは、IPアドレスベースの地理位置情報は、特に正確ではなくなっています。

  • 「エニーキャスト」はデバイスの特定を難読化する可能性があります。:IPアドレスプレフィックスが複数の場所から同時にアナウンスされる場合、それは「エニーキャスト」と呼ばれます。これは、CDN、DDoS軽減サービス、およびDNSプロバイダーがトラフィックを宛先にルーティングするためにネットワークホップを最も少なくするために一般的に使用する接続最適化手法です。 しかし、そのプレフィックスは一度に複数の場所にあるように見える可能性があり(見晴らしの点によって異なります)、ソースデバイスを正確に地理的に特定することがほぼ不可能になります。
  • モバイルデバイスはモバイルです。:リモートで作業しているユーザーは移動して接続を維持できます。デバイスの場所が比較的短期間で移動する場合(たとえば、ある都市から別の都市へ電車に乗る場合)、宛先サイト/コンテンツサーバーがIPアドレスを特定の場所に明確に関連付けることは困難です。
  • サブスクリプションデータサービスは、独自のゲートウェイを介してトラフィックをルーティングします。:多くのサービスキャリア(モバイルデバイスプロバイダーなど)は、集中型ゲートウェイをパブリックインターネットへのオンランプとして使用しています。その誤った方向付けにより、宛先サイトが混乱し、ゲートウェイが存在する場所からソースデバイスへのアクセスが行われていると思い込む可能性があります。

GPSのピンポイント設定、セルタワーの三角測量、さらには物理的な請求先住所の相関など、より近代的な手法は、ユーザーの地理位置情報の精度を向上させるのに役立ちます。ただし、これらのオプションは、企業のIT管理者が常に利用できるわけではありません。

ソースIPアドレスアクセスコントロールを備えたセキュリティ対策の採用:ソリューションと導入に関する考慮事項

ソースIPアドレスのアプリケーションアクセス制御を保持する必要がある組織のために、大規模に分散されたインラインプロキシのクラウドベースのエッジサービスは、セキュリティスタックに必要な追加レイヤーを提供します。

独自のIPアドレスを使用することを検討している企業は、複数の潜在的なソリューションアプローチを検討する必要がある

  1. IPアドレスを選択的にホワイトリストに登録する
  2.  XFFヘッダーを活用する
  3. プライベートクラウドインフラストラクチャを使用する
  4. 内部/信頼されたリソースへのアクセスに新たなセキュリティを使用する

1. IPアドレスを選択的にホワイトリストに登録する

クラウドアプリケーションにアクセスするために選択したIP(またはいくつかのデータセンター)をホワイトリストに登録すると、既存のプロセス(またはビジネスロジック、サイトコード)を保持できます。ただし、MFAなどの追加の認証メカニズムを組み込んで、攻撃対象領域をさらに削減します

2. XFFヘッダーを活用する

「XFF」は「x-forwarded-for」Webプロキシ機能です。内部のエンタープライズコンテンツサーバーは、これを使用して、デバイスの元のソースIPアドレスを示します(データが転送されるか、プロキシ経由でルーティングされる前)。すべてのHTTPトラフィックには、デフォルトでXFFが挿入されます。宛先アプリケーションまたはコンテンツサーバーが着信XFFヘッダーを読み取って解釈できる場合、送信元IPアドレスベースのアプリケーションアクセスルールを適用できます。これは上記のユースケース1、2、3を満たし、企業は追加のセキュリティを享受します。

残念ながら、多くのアプリケーションはXFF情報を読み取ったり、それに基づいて動作したりすることができません。さらに、企業がユーザーにローカルインターネットブレークアウトを確立し、アプリケーションへのリモートアクセスを許可すると、IPアドレスが増加し、XFFヘッダーに表示されるIPの数がすぐに管理できなくなる可能性があります。

3.内部/信頼されたリソースへのアクセスに新たなソリューションを使用する

アプリケーションコネクタ(アプリケーションの隣にあるVM)間のポリシー定義のトンネルを介して、ユーザーを内部のプライベート宛先に接続します。

NATを介してエンタープライズデータトラフィックに新しいIPアドレスを割り当てません。トラフィックはクラウドベースのインラインプロキシを経由して移動しますが、そのトラフィックはプライベートのままで、1つの内部ユーザーと内部の宛先(パブリッククラウド内であっても)の間を接続します。技術的には、アプリケーションコネクタはプライベート仮想インフラストラクチャであり、ソースデバイスの出力IPアドレスを使用します。宛先サイトまたはアプリケーションはIPアドレスを認識します(上記の使用例1、2、および3のように許可/制限ビジネスロジックを適用できます)。

4.トラフィックをノースバウンドWebプロキシに転送する

プロキシチェーンを有効にします。これは、企業が既知のソースIPを必要とする特定のトラフィックを選択的に転送しながら、トラフィックをスキャンする機能を維持しながら、別の認証済みWebプロキシ(Squid転送/キャッシュプロキシなど)に転送する機能です。追加の「ノースバウンド」プロキシは、オンプレミスまたはパブリッククラウドにあります。着信HTTP トラフィックを受信し、宛先サイトまたはアプリケーションに送信する前に、受け入れ可能なIPアドレスをデータに割り当てることができます。

データ移動距離が長くなることによる潜在的なパフォーマンスへの影響に加えて、このソリューションは追加のリスクをもたらします:追加されたプロキシは、内部を超えて潜在的な攻撃面の露出を拡大します。これを緩和するために、ノースバウンド出力でのみ追加のプロキシをサポートします。

次のステップ:SAML、MFA、および(最終的には)リファクタリング

アプリケーションへのアクセスを管理するメカニズムとしてソースIPアドレスを使用する必要がある企業は、セキュリティスタックのレイヤーを追加する必要があります。ソースIPアドレスベースのアプリケーションアクセスコントロールを使用してデプロイするための4つのベストプラクティスを推奨しています。

  • SaaSアクセス用のエンタープライズSAML機能を展開します。これは、デバイス認証からユーザー検証への移行に向けた貴重なステップです。
  • すべてのアプリケーションアクセスにMFAを追加します。MAMLはSAMLと相まって、新しい作業方法に不可欠なセキュリティレイヤーを提供し、いつでもどこでもユーザーがSaaSアプリケーションにアクセスできるようにします。
  • ソースIPアドレスの検証が依然として必要なアプリケーションの移行計画を確立します。

レガシー要件またはコンプライアンス要件のため、企業はアプリケーションアクセスに近い将来、ソースIPベースのアクセスを引き続き使用します。

ソースIPからクラウドへのパス

送信元IPアドレスの識別は、企業のデータトラフィックを保護するための信頼できる手段ではなくなりました。このアプローチは拡張できず、簡単に危険にさらされ、リスクを高め、脆弱な脅威の展望を拡大し、企業の新しい作業方法(クラウドファースト、リモート、デバイスに依存しない)を保護しません。

しかし、ソースIPアドレスの制御は、多くの組織でしっかりと定着しています。ある程度のソースIPアドレス制御を維持する必要がある企業向けに、より優れたセキュリティモデルへの説得力のある方法を提供する必要があります。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらのホワイトペーパーもご覧ください。

【ガイドライン】サイバーセキュリティ危機計画チェックリスト

ビジネス継続性を計画および保証するためのヒント

不確かな時代において、CxOの最優先事項は、従業員とコミュニティの健康と福祉を保護することです。 企業は俊敏でなければならず、
企業は、開発だけでなく運用においても、災害が発生したときほど俊敏でなければなりません。 危機は運用を混乱させる可能性がありますが、危機によって引き起こされた「新しい正常」に適応することは、サイバーセキュリティへの妥協につながりません。

緊急事態では、CISOは迅速かつ決定的に行動する必要があります。危機時にCISOの8つの主要な戦略的目標を特定します。

  1. 従業員のテレワークを可能にし、サポートします。
  2. セキュリティ運用と監視チームのテレワークを有効にしてサポートします。
  3. サイバー脅威のリスク、特に状況攻撃の増加を計画します。
  4. サードパーティベンダーがシステムをサポートできることを確認します。
  5. ビジネスセキュリティの優先順位を調整します。
  6. 予算調整と精査を計画します。
  7. 遵守がより困難になったとしても、規制へのコンプライアンスを確実にします。
  8. 変化の時代をリードします。

すべての危機イベントは異なります。 次のチェックリストは、CISO危機管理のガイドラインです。

1.従業員のテレワークを可能にし、サポートします。

危機的状況、特にバイラルアウトブレイクでは、従業員はテレワークで作業できなければなりません。
CISOは次の考慮事項に対処する必要があります。

従業員の遠隔作業はデータセンターの運用にどのように影響しますか?

  • セキュリティパッチと更新のワークフローは、実際の作業なしでは中断される可能性があります。
    • テレワークでシステムにパッチを適用して管理するプロセスを確認および確立します。
  • サイバー侵害および侵害されたデバイスの調査は、テレワークで行う必要があります。
    • テレワークで作業するサイバー修復担当者のための新しいプロセスを作成します。
    • テレワークの従業員と資産の新しい調査とフォレンジックプロセスを作成します。
    • トリアージ:最初に調査に優先順位を付け、重要なイニシアチブに焦点を当てます。
  • オンプレミスがいないため、オフィスのワイヤレスネットワークはハッカーにとって魅力的な侵害ポイントになります。
    • オンプレミスのワイヤレスネットワークをテレワークで保護できることを確認します。不要な場合はシャットダウンできます。

サービスおよび製品のライセンスサポートはテレワークに移行しますか?

  • エンドポイントライセンス数がテレワークの増加に伴って変化するかどうかを判断します。
  • サイバーセキュリティソリューション(アンチウイルス、EDR、IDaaSを含む)のライセンス数が、テレワークの増加に伴って変化するかどうかを判断します。
  • BYODアクセスへのテレワークシフトがライセンス数に影響するかどうかを判断します。

企業がテレワークに移行すると、デバイスのセキュリティ管理にどのような影響がありますか?

  • テレワークがセキュリティ管理にどのように影響するかを判断します。
  • コントロールがリモートで機能することを確認します。
    • データセンターベースの制御は、VPNを使用しないと効果がなくなる可能性があります(リモートアクセスのスパイクによって過負荷になる可能性があります)。
    • 必要に応じて、代替の管理策(管理/技術)を特定します。
    • リスクを特定し、データ損失防止(DLP)メカニズムに影響を与えます。
  • 可視性が失われた場合の対応計画を確立します。
    • エンドポイントと通信できなくなる可能性があるため、テレメトリを受信する別の方法を決定します。
    • デフォルトの更新メカニズムが有効になっていることを確認します。

マルウェアのクリーンアップをどのように処理しますか?

リモートエンドポイントをクリーンアップする方法を確立します。 これが不可能な場合は、従業員がデバイスを処理するためのワークフローを確立します。

対面でのコミュニケーションやイベントのないセキュリティ文化をどのように強化しますか?

  • 教育、サイバーセキュリティのベストプラクティスを宣伝するプロセスを確立します。
  • スケジュールされた上級管理職向けのコミュニケーションに「セキュリティ概要」を追加します。

2.セキュリティ運用と監視チームのテレワークを有効にしてサポートします。

データセンターとセキュリティチームは、従業員が調整できるように支援しながら、自宅で作業しています。 これは、セキュリティとITワークフローに影響を与える可能性があります。

どのようにしてリモートITチームに情報を伝達し、伝達しますか?

  • メーリングリスト、グループチャット、定期的な(仮想)会議を確立します。
  • ZoomやWebExなどの会議ツールを使用します。
  • Slack、Microsoft Teams、Google Chatなどのコラボレーションツールに投資します。

ITチームはどのように自宅からツールと監視にアクセスしますか?

インシデント対応はどのように変化しますか?

  • リモートセキュリティインシデントに対応するための計画を確立します。
  • リモートインシデントを修正するための修復計画を設定します。

IDをプロビジョニング/プロビジョニング解除するにはどうすればよいですか?

  • 従業員のアクセスをリモートで許可/取り消しできるようにします。
  • 必要に応じて、リスク軽減戦略として特権を減らします。
  • 従業員またはオンボーディングスタッフが実際に立ち会う必要がある場合は、次のような計画を定義します。
    • 資産の分配または再生
    • 資産のクリーニング(物理的および論理的)
    • 文書署名

在宅勤務はサードパーティのセキュリティサービスにどのように影響しますか?

  • サードパーティのアクセス要件を決定して文書化します。
  • 緊急性、緊急性に応じてサードパーティのアクセスを優先します。
  • サードパーティのアクセスを許可および取り消すためのワークフローを確立します。

3.サイバー脅威のリスク、特に状況攻撃の増加を計画します。

2020年のCOVID-19発生のような危機は、通常、いわゆる「状況的な」マルウェア攻撃の増加につながります。

リモートアクセスにVPNを採用している企業がテレワークを増やすと、MPLSバックホール距離と脅威面の両方が拡大します。 VPNベースの境界セキュリティモデルは、リモートアクセスの増加をサポートするように簡単に拡張することができず、一部の従業員はファイアウォールをバイパスしてインターネットに出力するように誘惑される場合があります。 ハッカーはそのような脆弱性を認識し、利用します。 さらに悪いことに、危機情報はメディアを飽和させ、セキュリティ意識を低下させる可能性があります。シニカルな詐欺師は、重要な危機コミュニケーションとしてマスクされたマルウェアを展開しようとします。

サイバーセキュリティの専門家は、危機をデータ侵害の増加と関連付けます。 CISOは、危機時に発生する新しい脅威リスクに対処する必要があります。

ゲージのリスク:リモートユーザーはフィッシングやその他の策略に対して脆弱ですか?

  • 従業員にセキュリティポリシーを繰り返し説明し、危機関連の詐欺について従業員に知らせます。
  • 緊急時のセキュリティの注意の重要性を伝えます。

4.サードパーティベンダーがシステムをサポートできることを確認します。

サードパーティのセキュリティベンダーは、危機の要求にも対応するように運用を調整します。
サードパーティベンダーと通信し、サードパーティベンダーのサポートを確認します。
システムは、環境に影響を与えるような方法で変化していません。

セキュリティベンダーは、危機に対応した運用をサポートしますか?

  • サードパーティベンダーサポートの監査:
    • テレワークであっても、サードパーティのシステムアクセスが保持されるようにします。
    • 各ベンダーのビジネス継続性計画(BCP)の準備と危機サービス計画を確認します。
    • 特にマネージドセキュリティサービスプロバイダー(MSSP)には、在宅勤務機能がない場合があります。 そのリスクをどのように計画できますか?

5.ビジネスセキュリティの優先順位を調整します。

危機的状況では、企業は緊急対応に焦点を合わせる必要があり、サイバーセキュリティの優先順位はあまり注目されません。

変更時にセキュリティをどのように維持しますか?

  • 必要に応じて、会社の資産の許容可能なリスクレベルを調整します
    • 物理的資産と論理的資産のインベントリを作成します。
    • アセットリスクの貢献者をできるだけ可視化します。
    • パフォーマンスとセキュリティを評価し、必要に応じてセキュリティ体制を調整します。
  • テレワークへの移行を想定して、リスク許容度を評価します。
  • 必要な変更やアクションをブロックせずに、セキュリティの擁護者であり続けます。

新しいプロセス、展開、デバイスを確認できますか?

  • リモートでレポート(フィード、ログ、テレメトリ)を取得、使用、および評価するメカニズムを確立します。
  • 企業外のシステムからその情報に基づいて行動するプロセスを確立します。

6.予算調整と精査を計画します。

危機的状況では、緊急対応への支出がセキュリティよりも優先される可能性があります。
プロジェクトの資金がなくなるか、少なくとも入手が難しくなる可能性があります。 緊急の運用上のニーズに対応するために、セキュリティの優先順位を下げることもできます。

運用予算または計画予算に影響はありますか?

  • 重要な計画、デバイス、およびサービスのインベントリを作成し、優先順位を付け、必要に応じて切り分けます。
  • 本質的でないものをカットする準備をしてください(そして「本質的」を構成するものの新しい定義を受け入れます)。
  • セキュリティの優先順位を補足するために、旅行、イベント、および将来の取り組みの予算を再利用します。

7.遵守がより困難になったとしても、規制へのコンプライアンスを確実にします。

危機的状況にあっても、企業の規制へのコンプライアンスは引き続き義務付けられています。新しいデバイスとプロセスの展開がデータフローとセキュリティ要件にどのように影響するかを決定し、文書化します。

データ常駐の要件に準拠する組織の能力は、危機対応オペレーションの影響を受けますか?

  • 保存中のデータが存在する場所と、転送中のデータパスがどのように変化するかを決定します。
  • 新しいデータフローパス全体でコンプライアンスが維持されていることを確認します。 これには、クラウドとデータセンターの管理の変更が必要になる場合があり、異なる地域に新しいデータの冗長性を追加することさえ必要になる場合があります。
  • SSLやその他のセキュリティ対策が必要に応じて採用されていることを確認し、該当するデータプライバシー法に準拠します。

規制機関または政府は、危機時にコンプライアンスルールを調整しますか?

  • コンプライアンス要件に影響する規制上のコミュニケーションを監視します。
  • 危機に基づくコンプライアンス要件の調整の場合の対応ワークフローを構築(または少なくとも構築を計画)します。

8.変化の時代をリードします。

危機的状況では、誰もが十分な情報なしで作業し、発生したイベントに対応する必要があります。 セキュリティを維持することが不可欠であることを考えると、CISOはパニックから脱出することはできません。 効果的な危機的コミュニケーションには、見通し、謙虚さ、率直さ、強い発言力が必要です。特定の目的を持たない過剰なコミュニケーションはノイズになり、不十分なコミュニケーションは情報の空白を生み出します。 明確な行動計画を確立し、伝達します。

誰とコミュニケーションを取る必要がありますか?

  • 内部のセキュリティ関係者が役割、責任、行動、プロセスについて明確であることを確認します。
  • 外部の利害関係者と顧客に、運用に影響を与える変更が通知されるようにします。

どのくらいの頻度で通信する必要がありますか?

  • 重要な変更が発生した場合は、即座に通知します。
  • 明確なメトリックと進捗ゲートを使用して、測定可能で追跡可能なフェーズで計画を伝達します。
  • コミュニケーションが配信されるだけでなく、受信、理解、実行されるようにします。コミュニケーションの有効性を測定するためのワークフローを確立します。

誰とコミュニケーションを調整しますか?

  • 内部危機コミュニケーションチームを設立します。
  • 業界のグループに相談して、コミュニケーションのベストプラクティスのベンチマークを行います。
  • 関連する政府リソース(地方、州、または連邦)を調査します。

CISOはどのようにして危機コミュニケーションのリーダーシップを最も発揮できるのでしょうか?

  • セキュリティの専門家として、あなたは危機管理の経験があります。
    • 組織の準備と対応を導きます。
    • 組織の利害関係者が緊急の決定の結果を評価するのに役立ちます。
  • 穏やかなリーダーシップを発揮します。
    • 不安、不確実性、パニックと知識、理解、準備を組み合わせて対処します。

VLANのベストプラクティス

なぜVLANを使うのか?

ネットワーク管理者が1つまたは複数のデバイスの論理的なグループを作成したいと思う理由はいくつかあります。ほとんどの場合、これらの理由はブロードキャスト制御、セキュリティ、レイヤ3アドレス管理、ネットワーキングリソースの統合です。

放送制御

ブロードキャストドメイン内のデバイス数が増加すると、そのブロードキャストドメイン内のブロードキャストレートも増加します。各デバイスは各ブロードキャストを処理して、ブロードキャストの内容をプロトコルスタックにプッシュすべきかどうかを判断しなければならないため、ブロードキャストレートは重要な意味を持ちます。

受信した各ブロードキャストについて、受信デバイスは、ブロードキャストフレームの内容を評価するためにCPUに割り込みを入れなければなりません。これらの割り込みは、CPU上で実行されている他のタスクから処理時間を奪い、それらのタスクが完了するまでにかかる時間を増加させる可能性があります。

VLANの重要な点は、あるVLANで送信されたブロードキャストが他のVLANに伝搬しないことです。各VLAN内のデバイス数を制限することで、そのVLAN内のブロードキャストレートも制限することができます。平均的なブロードキャスト数は、1 秒間に 30 ブロードキャスト以下とします。標準化されたドキュメントでは公式に規定されていませんが、フィールドパフォーマンスのモニタリングでは、1 秒間に 30 回程度のブロードキャストを超えないようにすることが推奨されています。

セキュリティ

組織では、ローカルエリアネットワーク上の特定のデバイスまたはデバイスへのアクセスを制限する必要がある場合があります。その組織内のすべてのデバイスが同じブロードキャストドメイン内にある場合、このアクセスを制限することは非常に困難になります。異なるブロードキャストドメインにデバイスを配置することで、アドレスフィルタやアクセスリストを使用してアクセスを制限することができます。

トラフィックがある VLAN から別のVLANに移動するには、トラフィックがレイヤ3ルーティングデバイスを通過する必要があります。これらのルーティングデバイスでは、どのデバイスが他のデバイスにアクセスできるかを指定することができます。このアクセス制御機能を使用することで、機密性の高いデバイスへのアクセスを制御および監視することができます。

レイヤ3アドレス管理

デバイスタイプに基づいてIPサブネットを作成することは、ローカルエリアネットワークでは一般的な設計です。プリンタは1つのIPサブネットに割り当てられ、会計グループに属するワークステーションやサーバは別のサブネットに割り当てられます。論理的には理にかなっていますが、このアーキテクチャを大規模なローカルエリアネットワークに展開するには、VLANを使用しないと現実的ではないことがわかります。

資源の集約

例えば、ある場所にあるすべてのプリンタに単一のサブネットを使用する場合を考えてみましょう。各プリンタは、他のすべてのプリンタと同じブロードキャストドメイン内になければなりません。そのためには、各階にプリンタだけのための個別のスイッチが必要になります。これらのスイッチは、銅線またはファイバーの別のペアを使用して相互接続する必要があり、このプリンタネットワークは、独自のルータインターフェイスに接続する必要があります。

VLANを使用することで、ネットワーク上の他のデバイスと同じスイッチにプリンタを接続し、同じ相互接続の銅線またはファイバーを共有し、同じルーターインターフェースを共有することができます。

VLANの課題

ローカルエリアネットワーク内でVLANを使用する際の最大の課題の1つは、ドキュメントの作成です。デバイスをスイッチに接続する際に、ポートにどのVLANが割り当てられているか、ポートがVLANトランクに設定されているかどうかを簡単に知る方法はありません。ほとんどの場合、スイッチポートのVLAN設定を確認する唯一の方法は、スイッチにTelnetして、問題のスイッチポートの設定を表示することです。このプロセスには、適切なログインパスワードと、特定のスイッチとメーカーのコンフィギュレーションコマンドの知識が必要です。

ネットワーク内で追加、移動、変更が発生すると、この課題はさらに大きくなります。スイッチが最初に導入されたときは、各スロットの最初の12ポートをVLAN23に割り当てるというポリシーだったかもしれません。しかし、時間が経つにつれて、ネットワーク管理者は、利用可能なポートが不足していたり、会社の標準を理解していなかったりしたために、これらの割り当てを変更した可能性があります。いずれにしても、新しいデバイスをスイッチに接続する際に、最初の12ポートがVLAN23に属することを保証するものではありません。

VLANのメリットの一つに、ポートをVLANから別のVLANに簡単に移動できることがあります。同時に、これはVLAN環境でネットワークのドキュメントを維持する上での最大の問題の1つです。ポートの再設定があまりにも簡単なため、変更が追跡されることはほとんどなく、結果的に接続性の問題が発生してしまいます。そのままのVLAN構成を文書化するシンプルで使いやすい方法が必要とされています。

VLANのベストプラクティス

健全なVLANは、単に発生するものではありません。最適なパフォーマンスを目指して慎重に設計され、維持されています。VLAN の設計に注意を払わなければ、結果として生じるネットワークは過度に複雑になり、保守やトラブルシューティングが困難になります。

VLANを使用する理由を見極める

本書の冒頭では、VLAN を使用する理由として、ブロードキャスト制御、セキュリティ、レイヤ 3 アドレス管理、ネットワークリソースの統合の 4 つを挙げました。VLAN ネットワークを設計する際には、これらの理由を慎重に検討する必要があります。例えば、環境内のすべてのユーザーがすべてのサーバーやネットワーク機器にアクセスする必要がある場合、セキュリティはVLANを導入する理由にはなりません。

しかし、Voice Over Internet Protocol (VoIP)ソリューションを実装している場合は、音声トラフィックをある VLAN に、データフレームを別の VLAN に配置することが VLAN を実装する理由になるかもしれません。この2種類のトラフィックを分離することで、音声トラフィックにサービス品質を適用してジッターやパケットロスを低減することができます。

VLANを使用してルータのホップ数を減らす

あるVLANから別のVLANにフレームを転送するためには、レイヤ3デバイスがフレームをルーティングする必要があります。このデバイスには、従来のルータやレイヤ3スイッチなどがあります。各ルータホップは、送信者から受信者へのフレーム取得にかかる時間に追加のレイテンシを追加し、ボトルネックとして機能することができます。

VLANネットワークを設計する際の目標は、デバイスが必要とするリソースの多くをデバイスと同じVLAN上に置くことです。VLANを使用することでハードウェアを物理的に集中させることができ、同時にVLANを使用することでサーバをクライアントに論理的に近づけることができます。これにより、クライアントデバイスはルータを経由することなく、スイッチドネットワークを介して直接リソースにアクセスすることができます。1つのVLANがキャンパス内の複数のスイッチに表示されるため、データセンター内のサーバが数棟離れたクライアントと同じVLAN上にある場合もあります。多くのネットワークで一般的な設計は、同じVLAN上のすべてのサーバーを置くことです。残念ながら、これではすべてのクライアントがサーバーにアクセスするために、少なくとも1つのルーターを経由しなければなりません。IP アドレスの管理が容易になる一方で、追加のレイテンシや潜在的なボトルネックが発生します。

VLANの数を最小限に抑える

必要以上に多くのVLANを作成する傾向があります。スイッチ自体は数千のVLANをサポートすることができますが、各VLANを追加することで、ルータや他のネットワーク機器のオーバーヘッドが追加されてしまうことがあります。

その例として、42階建てのビルのネットワークがありました。各階ごとにVLANを作成し、スイッチ管理用のVLANとサーバーバックボーン用のVLANを追加しました。このネットワークでは、IPとIPXの両方のプロトコルが実行されていました。プリンタ、ディスク、タイムサービスを含むローカルエリアネットワーク全体で、合計で2,000以上のIPXサービスが存在していました。

ルータは60秒ごとに、VLANのそれぞれにSAP(Service Advertising Protocol)パケットを送信していました。これらのパケットにはそれぞれ7つのサービスが含まれていました。これにより、各ブロードキャストドメインで60秒ごとに286個のSAPパケットが送信されました。合計46のVLANがあるので、ルーターは毎分13,000以上のSAPパケットを送信しなければなりませんでした。ルータが2,000フレーム以上のフレームを送信しなければならない場合、CPUの問題が発生することがわかりました。スイッチは46のVLANに対応していますが、ルータはそれだけの数には対応できないことがわかりました。

VLANの種類

デバイスをVLANに割り当てるには、3つの一般的な方法があります。

  1. ポートベースのVLAN
  2. プロトコルベースのVLAN
  3. MACベースVLAN

ポートベースのVLAN

ポートベースのVLANの場合、スイッチポートは特定のVLANのメンバーになるように手動で設定されます。このポートに接続されたデバイスは、同じVLAN番号で構成された他のすべてのポートと同じブロードキャストドメインに属します。

ポートベースのVLANの課題は、どのポートが各VLANに属しているかを文書化することになります。VLANメンバーシップ情報は、スイッチの前面には表示されません。そのため、スイッチの物理的なポートを見ただけでは、VLANの所属を判断することができません。コンフィグレーション情報を見て初めてメンバーシップを判断することができます。

プロトコルベースのVLAN

プロトコルベースのVLANでは、フレームが伝送するレイヤ3プロトコルを使用してVLANのメンバーシップを決定します。これはマルチプロトコル環境では機能するかもしれませんが、IPベースのネットワークではこの方法は実用的ではありません。

MACベースVLAN

ポートベースのVLANの問題点としては、元のデバイスがポートから取り外されて別のデバイスが接続された場合、新しいデバイスは元のデバイスと同じVLANになってしまうことです。先ほどのプリンタVLANの例では、スイッチポートからプリンタが取り外され、空いているポートにアカウンティングデバイスが接続されたとします。すると、アカウンティングデバイスはプリンタVLANになってしまいます。これにより、アカウンティングデバイスがネットワーク上のリソースへのアクセスが制限される可能性があります。

MACベースのVLANはこの問題を解決することを目的としています。MACベースのVLANでは、VLANメンバーシップは物理的なスイッチポートではなく、デバイスのMACアドレスに基づいています。デバイスがあるスイッチポートから別のスイッチポートに移動した場合、VLANメンバーシップはデバイスに追従します。

残念ながら、MACアドレスとVLANの相関関係は非常に時間のかかるプロセスであり、このタイプのVLANはほとんど使用されていません。

VLANタギング

VLAN タグは、ネットワークを通過するフレーム内の VLAN メンバーシップを示すために使用されます。これらのタグは、フレームがVLANに属するスイッチポートに入るとフレームに取り付けられ、フレームがVLANに属するポートから出るとタグは取り除かれます。VLAN内のポートの種類によって、VLANタグがフレームから取り除かれるか、フレームに取り付けられたままになるかが決まります。VLAN環境内の2つのポートタイプは、アクセスポートとトランクポートとして知られています。

アクセスポート

アクセスポートは、フレームが VLAN に入出庫する場所として使用します。アクセスポートでフレームを受信した場合、フレームにはVLANタグは含まれていません。アクセスポートに入ったフレームには VLAN タグが取り付けられています。

フレームがスイッチ内にある間は、アクセスポートから入ったときに付けられていた VLAN タグを保持します。宛先のアクセスポートを経由してフレームがスイッチから出ると VLAN タグは取り除かれます。送信側装置と受信側装置はVLANタグが付いていることを意識しません。

トランクポート

複数のスイッチを含むネットワークでは、あるスイッチから別のスイッチにVLANタグ付きのフレームを送信できるようにする必要があります。トランクポートとアクセスポートの違いは、トランクポートはフレームを送信する前にVLANタグを剥がさないことです。VLANタグが保持されていると、受信側のスイッチは送信されたフレームのメンバーシップを知ることができます。このフレームは、受信スイッチの適切なポートに送信することができます。

VLANタグ付け技術

各 VLAN タグ付きフレームには、その VLAN メンバーシップを示すフィールドが含まれています。VLAN タグには、Inter-Switch Link (ISL) フォーマットと標準化された 802.1Q フォーマットの 2 つの主要なフォーマットがあります。

シスコアイエスエル

Inter-Switch Link 形式は、Cisco独自のVLANタグ形式です。このVLANタグを使用すると、各フレームのフロントに26バイトの情報を追加し、フレームの最後に4バイトのCRCを追加します。このタグのフォーマットは次のとおりです。

802.1Q規格に基づくタグ

ISLがシスコ独自のフォーマットであるのに対し、802.1QはIEEE標準化されたフォーマットです。802.1Q フォーマットは、複数のベンダのスイッチ間で VLAN タグ付きフレームが通過できるように設計されています。802.1Q タグは、ISL タグよりも少ないフィールドを含み、フレームの先頭に置かれるのではなく、フレームの中に挿入されます。

VLANの管理

VLANを採用したネットワークにおける最大の課題の1つは、複数のスイッチにまたがるVLAN設定のメンテナンスです。VLAN情報の設定と管理を一元化する手段がないため、ネットワーク管理者は各スイッチで個別にVLANを設定しなければなりません。

VTP – VLAN トランクプロトコル

VLAN Trunk Protocol (VTP) を使用すると、単一のデバイスである VTP サーバで VLAN を構成し、この構成情報をスイッチドネットワークを介して伝搬させることができます。これにより、VLANの管理に必要な時間が短縮されます。

VTP環境では、スイッチは3つの異なる役割のいずれかを果たすことができます。スイッチはVTPサーバー、VTPクライアント、またはトランスペアレントモードで動作します。この役割によって、スイッチでのVLANの設定方法が決まります。

VLANトランクプロトコルは、複数のVTPドメインをサポートする機能を持っています。各 VTP ドメインのクライアント スイッチは、そのドメインの VTP サーバーから構成情報を受信します。同じローカルエリアネットワーク内に複数のVTPドメインを持つことができます。

VTPサーバー

VTP サーバーは各 VTPドメインのルートです。サーバーは、VTPドメイン内で VLAN の追加、削除、名前の変更を行うことができるドメイン内の唯一のスイッチです。

VTP サーバーは定期的に VTP ドメイン名、VLAN 構成をアドバタイズし、最新の構成リビジョン番号を提供します。このリビジョン番号は、VTP ドメインの一部であるすべてのスイッチが最新の正確な VLAN 構成情報を持っていることを確認するために使用されます。

VTP サーバーで VLANが作成されると、他のすべての VLAN構成情報とともにサーバーの NVRAM に保存されます。スイッチがリセットされると、この構成情報は保持されます。

VTPクライアント

VTP クライアントスイッチは、VTP サーバースイッチからすべての VLAN 設定情報を受け取ります。クライアントスイッチはVLANの追加、削除、名前の変更はできません。クライアント スイッチに新しい VLAN を追加するには、VTP サーバーに VLAN を追加する必要があります。この新しいVLANは、すべてのクライアントスイッチに伝搬されます。新しいVLANが追加されると、クライアントスイッチ上のポートは新しいVLANに関連付けられます。

クライアントスイッチはVTPサーバと同様に、VLAN設定をNVRAMに保存します。ただし、VTP サーバーとは異なり、クライアントスイッチがリセットされると、この構成情報はすべて失われます。スイッチがリセットされると、スイッチはVTPサーバにVTP情報リクエストを送信して現在のVLANコンフィギュレーションを取得します。

VTPトランスペアレント

VTP トランスペアレント スイッチは、VTP クライアント スイッチとは異なり、VLAN を手動で設定できる点で異なります。VTP ドメインの一部として設定されている場合、VTP サーバーから VLAN 設定情報を受信することができます。ただし、ローカルに構成されたVLANをVTPドメインに通知することはありません。

VTP トランスペアレントモードで動作するように構成されたスイッチは、VTP 設定フレームを受信し、これらのフレームをすべてのトランク付きポートに渡します。これにより、VTPクライアントスイッチをVTPトランスペアレントスイッチに接続することができます。クライアントスイッチは、トランスペアレントスイッチを介してVTPサーバーとVLAN構成情報を交換することができます。

VTPデータフレーム

VTP ドメインを構成し、維持するために使用されるデータフレームは、802.1q または ISL フレームフォーマットのいずれかでカプセル化することができます。VTP は、すべてのデータフレームの宛先として予約されたマルチキャストアドレスを使用します。このマルチキャストアドレスは、0x01-00-00-0C-CC-CC-CC であり、SNAP(Sub Network Access Protocol)の論理リンク制御コードとSNAP ヘッダーのタイプコードは 2003 です。各データフレームには、VTPヘッダとVTPメッセージタイプが含まれています。(以下の説明では、フレーム・フォーマットは VTP メッセージのみを示し、イーサネット・フレーム全体ではないことに注意してください)。

VTPメッセージには3種類あります。

  1. 概要
  2. サブセット
  3. リクエスト

サマリーフレーム

サマリーフレームは、VTPサーバーとVTP クライアントの両方から 5 分ごとに、そしてVTP ドメインへの変更のたびに直後に送信されます。このサマリー広告には、VTPドメインと構成リビジョンに関する基本情報が含まれています。サマリーフレームの後には、サブセットと呼ばれる多数の詳細フレームが続くことがあります。

サブセットフレーム

サブセットフレームは、VTP ドメイン内の各 VLAN の詳細情報を提供するために使用されます。これらのフレームは、構成変更の一部として、または VTP 要求フレームに応答して送信されます。

リクエストフレーム

VTP クライアントは、要求フレームを VTP サーバーに送信します。これらのフレームは、次のいずれかの条件が発生したときに送信されます。

  • VTPドメイン名を変更します。
  • VTP クライアントは、自分の構成リビジョン番号よりも高い構成リビジョン番号を持つサマリー広告を受信します。
  • サブセットフレームが欠落している
  • スイッチがリセットされる

VTP サーバは、リクエストフレームに対して、サマリーフレームと、リクエストを満たすのに必要な数だけのサブセットフレームで応答します。

結論

仮想LAN技術の使用が一般的になるにつれ、ネットワークの設計と保守はVLANの存在を考慮しなければなりません。そこで、VLANを設定し、健全な状態を維持するためのベストプラクティスとツールの出番です。ネットワーク エンジニアやマネージャーは、まず VLAN がネットワーク内でどのように機能するのかを理解し、問題を効果的にトラブルシューティングして VLANのパフォーマンスを最適化するために、優れたドキュメントを作成する必要があります。VLAN固有の情報を収集して表示するように設計されたツールを活用することで、機器コストとトラブルシューティングの時間を大幅に削減することができます。

 

ネットワークセキュリティへのゼロトラストアプローチを始める

今日の企業に対するサイバー攻撃が高頻度で成功し続けていることから、従来の境界線を中心としたセキュリティ戦略はもはや有効ではないことが十分に明らかになっています。結果として生じるアーキテクチャの失敗は、組織のネットワーク内部のすべてのものが信頼できるという時代遅れの仮定だけでなく、従来の対策では、関連するネットワーク境界を通過するアプリケーション・トラフィックの適切な可視性、制御、保護を提供することができなかったことに起因しています。

Forrester Researchが最初に発表したゼロトラストは、信頼の前提を方程式から取り除くことで、失敗した境界線中心の戦略の欠点に対処する代替的なセキュリティモデルです。ゼロトラストでは、基本的なセキュリティ機能は、場所に関係なく、すべてのユーザー、デバイス、アプリケーション、データリソース、およびそれらの間の通信トラフィックに対して、ポリシーの実施と保護を提供する方法で展開されます。

続きを読む

政府機関のためのゼロトラスト対応手引き

序章

政府機関に対するサイバーセキュリティ攻撃の頻発と絶え間なく高度化していることから、1つのシンプルな真実が導き出されました。これが、政府の最高情報責任者(CIO)と最高情報セキュリティ責任者(CISO)のデフォルトの地位に急速になりつつあるゼロトラストへの動きの背後にあるコンセプトです。

ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。今だけ無料で公開されているようです。

バックグラウンドリーディング

背景については、ゼロトラストに関する最近の2つのレポートをお読みください。

ゼロトラスト・モデルは、これらの指針に基づいて構築されています。

  • ネットワークは常に敵対的であると仮定しなければならない
  • ネットワーク上には、外部脅威と内部脅威が常に存在します。
  • ネットワークの信頼性を決定するためには、局所性が十分ではない
  • すべてのデバイス、ユーザー、ネットワークフローは認証され、承認されなければなりません。
  • セキュリティポリシーは、可能な限り多くのデータソースから動的に決定される必要があります。

政府機関やネットワークには、特定のニーズがあることが多い。

  • 複数のハードウェアとソフトウェアの世代にまたがるレガシーアプリケーションとプラットフォームに依存しています。
  • 極めて機密性の高いデータを安全な施設に保管していることが多い
  • 敵対的な国民国家を含む複数のアクターから継続的な攻撃を受けていることが多い。

米連邦政府人事管理局(OPM)におけるセキュリティ侵害

米国史上最悪の政府情報漏洩事件

米連邦政府人事管理局とは、米国連邦政府全体の中央人事部門としての役割を果たしている政府機関です。2015年、当局が不正アクセスによる情報流出を発表しました。事件内容としては、2014年に米連邦政府人事管理局(OPM)(以下OPM)のシステムへの不正アクセスを検知したことを受け、OPMを含む連邦当局のネットワークセキュリティの強化を図る。しかし翌年の2015年の4月にOPMのシステムへの不正侵入を検知。5月になって情報流出を確認する事態となった。6月に、情報流出の影響を受けたと思われる対象者への通知を開始したとされる。2012年に始まり、2015年までに及ぶ情報漏洩であったとされるが、約2150万人の連邦政府の職員及び契約職員、その候補者と広範囲に渡った。盗まれたデータは、現職員及び元職員の氏名、社会保険番号、生年月日、出生地、職務内容、研修歴、人事評価、現在及び過去の住所などが含まれるとされる。

なぜOPMが標的となったのか。OPMは米国連邦政府全体の中央人事部門として主要な役割を果たしているため、攻撃者にとって価値が高いターゲットであったからとの見解が有力である。前例にない事件であり、ネットワーク社会の普及と発展が著しい速度で増加していた時代に、かなりの衝撃を与えた事件でもあった。

その後のOPMの対応としては、当局が長期的な視点からサイバー攻撃や不正アクセスといった脅威に対処し、防御するシステムを検討。OPMが導入した方法として、CylancePROTECT、つまり人工知能 (AI) と機械学習技術を利用して、システム内に深く埋め込まれた脅威を除去すること。Cylance Consultingサービスの協力を得て、OPMは侵害を識別し、適切な除去を行った結果、IT環境全体を保護することが可能なシステムを成し遂げた。そして10日間で発見されたマルウェアをすべて隔離するといいた異例のスピードだった。10,000以上のデバイスでCylancePROTECTが活用され、2,000個以上のマルウェアが検出され無効化。その結果として、OPMは従来の業務を見直し改革し高度なセキュリティを実装するまでに至った。

こうした事例のように、政府内における国家機密を守る為にも情報セキュリティ防衛対策は検討すべき問題であると容易に理解できるだろう。

国内におけるサイバー攻撃の情勢

日本国内においても、近年では多数の機関や団体、事業者等でサイバー攻撃などといった情報窃取等の被害が頻発している。データによれば、平成27年上半期中に警察が把握した標的型メール攻撃は1472件、前年度に比べると約7倍に増加しているとのこと。約9割型が非公開のメールアドレスに対する攻撃であり、また送信元メールアドレスについては、実在する事業者等のメールアドレスを詐称したものが多数確認されているなど、手口が巧妙化している。

事例としてあげればきりがない程数多くの企業や団体が被害を受けており、セキュリティ対策については検討を重要視しなければならない。大手企業で言えば、三菱電気、NEC、組織だと日本年金機構がサイバー攻撃を受けていたことを発表している。中でも、国内ウェブサイトが閲覧不可となった事案が多発。この事件の背景としては、国際的な事情が絡んでいる。国際ハッカー集団と名乗るものが犯行声明とともにイルカ漁や捕鯨に対する抗議を表しており、国内だけの問題のみならず、国際情勢を揺るがす問題に拡大しているのも事実である。

日本政府による情報システムの検討

まず先に理解しておきたい事項として「境界型セキュリティ」と「ゼロトラスト」の二つの定義がある。「ゼロトラスト」については下記でも述べるが、下記でもざっくり紹介する。

境界型セキュリティ

境界型防衛ともいい、ネットワーク上の外部と社内ネットワークを遮断して、外部からの攻撃をブロックし、内部からの情報流出も防止する役割もある。外部からのマルウェア侵入や攻撃を防ぎ、社内ネットワークに不正なアクセスがないかチェックするセキュリティ対策。「信頼できないもの」が内部に入り込まないこと、「信頼できるもの」のみが社内ネットワークに存在することを前提としている。防御対象はネットワーク。

ゼロトラスト

「内部であっても信頼しない、外侮も内部も区別なく疑う」と言う「性悪説」に基づいた考え方を言う。社内内部の人間であっても利用する場合は全てのものを疑い、端末すらも疑う。認可や許可を受けた限られたユーザーのみしかアクセスすることが許されない。防御対処はネットワーク。

より詳しく最新のゼロトラストが必要な背景が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

時代とともに変わるセキュリティ対策

従来は境界型セキュリ ティに基づく考えであった。境界で内側と外側を遮断して外部からの攻撃や内部 からの情報流出を防止を対策としていて、 具体的には強固な壁をつくり安全な内側と危険な外側を分離することで内部の情報を守る策をとっていた。あくまでも、内部では安全が保証された世界であって、外部との接続を遮り、内部への攻撃や不正アクセスを防ぐことが目的であった。

しかし、近年のクラウド化や、複数端末の利用、リモートワークの普及に伴い、境界型セキュリティの限界が見始めた。外部からの攻撃やウイルスなども、情報社会のめまぐるしい発展に伴い強固たるものに進化している。もはや、「壁」を作るだけでは侵入には対処できなくなってきているのだ。通信の暗号化が普及したことで侵入するマルウェアの検出や流出する情報の検出も困難となり、本来の業務の生産 性低下と運用負荷の増大を招きざるを得ない。

官庁内においても、パブリック・クラウドの利用、働き方改革、デジタル・ガバメントが実現となれば、今まで壁の内側で守られてきた「ユーザー」「データ」 「デバイス」、あるいは「サーバ」などが、壁の外側で活用される局面が増大するとの考えを示している。境界線セキュリティは、「制限する」セキュリティであり、壁 を越えて企業や国民と連携しなければならない状況を見据えた上では、この従来のセキュリティ対策では新たな兆しが見えない。その結果として、組織や社会の DX(デジタルトランスフォーメーション)が立ち遅れ、 国際競争力にも影響を与えるとの懸念も示している。

ゼロトラスト に向けた政府の検討

上記を踏まえたのち、政府は境界型セキュリティの限界を示した。そこで、政府CIOポータルでは今後のセキュリティ対策の一環としてゼロトラストの適用を取り組んでいることを表示。また、ディスカッションペーパーにより国民の意見を募集している。政府によるゼロトラストの要点として以下を掲げている。政府関係者や団体、政府機関のものはぜひ理解を深めて欲しい。

  • パブリック・クラウド利用可能システムと利用不可システムの分離
  • システムのクラウド化徹底とネットワークセキュリティ依存の最小化
  • エンドポイント・セキュリティの強化
  • セキュリティ対策のクラウド化
  • 認証、及び認可の動的管理の一元化

特に「システムのクラウド化 徹底」、「エンドポイント・セキュリティの強化」、「セキュリティ対策のクラウ ド化」については、並行実施を原則に検討している模様。

ゼロトラストとは?

ゼロトラストのコンセプトは、機密性の高い重要なデータの周囲に効果的な境界線を確立することに焦点を当てています。ペリメーターには、ファイアウォールVPN、アクセス制御などの従来の防御技術だけでなく、アイデンティティ、アプリケーション、データ層レベルでの認証、ロギング、制御も含まれます。

ゼロトラストの概念の多くは、「防御の深化」や「侵害の想定」など、確立されたベストプラクティスと正しく比較されています。ゼロトラストは、実際には、これらの概念とその結果としてのアーキテクチャを進化させたものであり、根本的な新しいアプローチではありません。

しかし、コンセプトはよく知られていますが、ゼロトラストセキュリティの実現は、特に政府機関では、以下のような理由から複雑になっています。

  • 多くの政府機関は、物理、仮想、クラウド環境に分散した複数世代のIT資産に依存しています。
  • 多くの機関は、不満を持つ個人から、組織化され、資金的に動機づけられた犯罪シンジケートや敵対的な国民国家に至るまで、悪質な行為者からの継続的な攻撃を受けている。

大きな課題は、ゼロトラストに向けた進展は、機関の現在のセキュリティ姿勢と能力を低下させることなく、飛行中に行われなければならないということです。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ACT-IAC報告書に沿ったもの

政府機関に対しては、ゼロトラストモデルを導入することで、ACT-IAC報告書で特定された目標とする成果を達成することができます。

  • より安全なネットワークの構築
  • データをより安全に
  • 違反による悪影響の軽減
  • コンプライアンスと視認性の向上
  • サイバーセキュリティ全体のコストを削減
  • 組織のセキュリティとリスク姿勢の改善

なぜ今、ゼロトラストが必要なのか?

ニュースを読むだけで、なぜゼロトラストが重要視されるようになったのかを知ることができます。私たちは、毎日のようにセキュリティが破られ、データが盗まれる世界に生きています。これらの攻撃は非常に破壊的であり、個人の財務データや健康データのプライバシーから、国家安全保障を含む政府の運営や機関の完全性まで、あらゆるものに影響を与えています。

ゼロトラストに向けて前進することが政府機関の目標でなければならないという転換点に達しています。ゼロトラストへの道のりは様々であり、どの機関も同じ戦略に従う必要はありませんが、今すぐに最初の一歩を踏み出すことが重要です。特にVPN等を使った境界型セキュリティでは内部犯行やサプライチェーン攻撃に対応できないため、ゼロトラストネットワークへの移行が必須です。

良いニュースは、どこから始めるかに関係なく、ゼロトラストに向けた一歩一歩を踏み出すことで、資産、データ、および使命のセキュリティが強化されるということです。

VPNがなぜテレワークに適していないのか、詳細をホワイトペーパーにまとめております。
今だけ無料で公開していますので、是非ご覧ください。

ゼロトラストのすべてにメリットがある

多くのベンダーは、ゼロトラストを達成することは、自社製品を購入するのと同じくらい簡単だと主張しています。しかし、現実はもっと複雑です。ゼロトラスト・モデルは、一朝一夕に設計して実装することはできません。それは、最も複雑な政府環境の中には、完全には実現できないかもしれない結果に向けての旅路である。

しかし、ゼロトラスト・ネットワーク・アーキテクチャ(ZTNA)を開発することで、セキュリティと運用上のメリットを提供する基礎能力の広範なセットを構築することができます。

基礎的な能力

まず最初に、ファウンダメンタル・ケイパビリティ、これは以下のように識別されます。

  • ネットワーク資産のインベントリと管理
    – レガシーアプリケーションを含むアプリケーションのインベントリ
    – データインベントリ
    – リモートアクセスの方法
  • 連続データの識別と分類
  • 二要素認証(ハードウェアデバイスまたはトークンベース)
  • ユーザーとアプリケーションの両方に対応したセントラル・アイデンティティ・クレデンシャル・アクセス管理(ICAM)
  • ジョブの役割とデータアクセスのニーズに基づいて、ユーザーグループと権限を細かく設定

アプリケーション機能

資産を発明したら、次のアプリケーション機能を開発します。

  • アプリケーションと中央ICAM間の統合
  • アプリケーション層とデータ層の両方でのユーザーグループとロールベースのパーミッション
  • ICAMを活用したアプリケーション開発者研修
  • 中央ログ管理プラットフォームへの堅牢なアクセスロギング
  • 開発標準とアーキテクチャを継続的に更新
  • レガシーアプリケーションのフェーズアウトまたは移行のための開発計画

セキュリティ機能

次に、セキュリティ機能をアプリケーション機能にオーバーレイします。

  • 可視性とセキュリティをサポートするデータアーキテクチャとスキーマ
  • 復号化されたネットワークトラフィック、アクセスゲートウェイ(プロキシ)、アプリケーションログによるアプリケーションの可視化
  • セキュリティ情報・イベント管理(SIEM)の上にルールや検出を記述する
  • ネットワーク層の可視性
  • デバイスまたはエンドポイントの可視性
  • アプリケーションのロギングと可視性
  • アイデンティティのロギングと可視性
  • データ層のロギングと可視性

トレーニングとサポート機能

最後に、ゼロトラストの人間的要素を強化するために、堅牢で継続的なトレーニングとサポート能力を開発し、実施する。

  • ユーザーを役割別およびレベル別のグループに分類し、各グループのトレーニング要件を特定する
  • そして、各グループ、新規ユーザー、既存ユーザー、アプリケーション開発者に対するトレーニングとサポートを提供します。

ゼロトラストに関して気になる点

これまで述べてきたように、ゼロトラストへの道には、正しい道も間違った道もありません。しかし、旅のあらゆる段階で質問すべきことがあります。

あなたのネットワーク資産をどのくらい知っていますか?

すべてのゼロトラストの取り組みは、組織内のハードウェアおよびソフトウェア資産を理解することから始めなければなりません。この理解を得て、常に変化し続けるITの状況の中でそれを維持することは、DHSの継続的診断と緩和(CDM)プログラムのフェーズ1、すなわちハードウェアとソフトウェアの資産管理と構成設定の自動化に対応しています。

資産の管理が自動化されれば、保護すべき資産をリアルタイムで正確に登録することができます。

ゼロトラストの世界でデータはどのように管理されているのか?

従来のユーザー中心のデータ管理戦略(例えば、ユーザーの役割によってデータアクセスのレベルが定義される)とは異なり、ゼロトラストの世界では、この戦略はデータ中心にならなければなりません。

このモデルでは、データの機密性に基づいて、ストレージ層でのデータアクセス制御から始まる同心円状の防御策を構築し、このデータにアクセスしようとするデバイス、ユーザー、および場所の強力な認証を強制します。

ネットワークアクセスは誰が持っているのか、その理由は?

歴史的に、ほとんどのネットワークの脅威は、その機関から暗黙のうちに信頼されているユーザーからもたらされてきました。対照的に、ゼロトラスト・モデルでは、すべてのユーザ、デバイス、アプリケーション、およびネットワーク・フローが認証され、承認されなければなりません。

ユーザーレベルでは、従業員、請負業者、または第三者にどのレベルのデータアクセスが許可されているかを把握し、継続的に見直し、更新し、必要に応じてそのアクセスを取り消すことが重要です。

ゼロトラストはペリメーターレスを意味するのか?

一言で言えば「ノー」です。ゼロトラスト・アーキテクチャでは、境界線の概念をマイクロ・セグメンテーション・レベルと呼ばれるものに適用します。このモデルでは、もはやセキュリティを確保する必要があるのはネットワークの境界だけではありません。ゼロトラスト・アーキテクチャは、アプリケーション・レイヤーとそれに関連するデータ、そして非リーガシーなIT環境では通常このレイヤーの基盤となるコンピュート・コンテナや仮想マシンも保護する必要があります。

ゼロトラスト・アーキテクチャをサポートするために必要なデータの可視性を持っていますか?

ネットワークデータをセグメント化、分離、制御するために、ネットワーク全体のエンドツーエンドの可視性を確保することは、ゼロトラスト・アーキテクチャにとって非常に重要です。可視性は、情報を提供し、管理し、実施する必要があり、そのためには、動的で多くのデータソースから構築されたセキュリティポリシーを開発する必要があります。

暗号化されたトラフィックの可視性を得ることは、暗号化されたトラフィックに悪意のあるペイロードが隠されている可能性があるため、特に脅威となります。暗号化されたトラフィックを管理するためには、自社に適したアプローチを使用してください。

人を自由にするツールを使っていますか?

代理店がゼロトラストネットワークを継続的に監視できるようにするには、ツールを使用して、日常的なネットワーク管理タスクを可能な限り自動化してください。

しかし、そのようなツールは単にタスクを自動化するだけのものではないことに注意することが重要です。また、予想されるトラフィックパターンや動作に対する例外を迅速に特定し、分離し、分析することができなければなりません。脅威の数が増え、多様化し、洗練されてきている現在、自動化および分析ツールは、時間と労力を節約し、脅威の検出や対応など、より価値の高い機能に適用できる不可欠なコンポーネントとなっています。

政府機関がクラウドにおけるセキュリティシステムで検討すべき課題

これまでゼロトラストの導入について様々なメリットを述べてきた。しかし、メリットがあればデメリットがつきもの。クラウドに関する環境は近年大きな飛躍と進歩を遂げているが、政府機関が高度なセキュリティ対策を導入し運用するにあたって、まだ多くの取り組みと課題が残されいるのも事実である。

最も考慮しなければならないのが万能なハイブリット環境は存在しないこと。組織内部は様々な固有の機能を保持し、また組織内においても複雑な機能です。これらを全て網羅するシステムを実現しようとするとなると膨大な時間と労力がかかります。会社全体に完璧なアプローチを実装するのはほぼ不可能であることは念頭に入れるべきです。それでも、ゼロトラストセキュリティは今までも進化を遂げ、さらに現在も成長を継続しています。現在の環境にあったゼロトラストを取り入れ、さらに環境の変化とともにゼロトラストセキュリティの見直しを図ったのち、アップデートすることを忘れないようにしてください。ゼロトラストを導入するにあたっては、内部の一貫したポリシーが重要となってきます。データ保護やサイバー攻撃といった脅威を管理するには、内部での認識と管理体制の強化が重要です。情報管理担当者は、情報セキュリティポリシーで定めた事項が組織全体で実 施されるように、情報システムの管理・運用、従業員に対する教育・監督を適切に行うことが重要です。全てをクラウド環境で行い、そのセキュリティを管理することは、IT担当部門にとっては非常に複雑で、業務負担が大きくなる可能性があります。タスクを自動化し、クラウドの内外どこでも継続的に保護できるツールが必要です。

すでに企業・組織の情報資産を脅かす新しい脅威が出現している中、これらの脅威について情報を 収集し、必要に応じて組織幹部や外部の専門家とも連携しながら、継続的に組織全体の情報セキュリティの体制や対策を見直していくことと併用して、組織全体の業務形態を見直すことも検討するのも、セキュリティ対策を円滑に進めるのに重要であると考えます。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

リモートワーク普及によるセキュリティ対策の検討の重要性

新型コロナウィルスの流行を機に働き方を見直す動きが広まっています。政府によるリモートワークの推進など、もはや新型コロナウィルスのおかげで本格的にリモートワークを導入しなければならない時代にきました。リモートワークを実施するに伴ってクラウドサービスの活用が増加、あらゆる場所から業務を行うためには、必要な情報にアクセスできる環境が必要です。そこで政府としても、リモートワークに伴い付随する問題を検討しながら対策をとっていく必要があります。例えば、リモートワークの普及を悪用し、企業ネットワークに侵入しようとする不正アクセスもすでに観測されています。

より詳しく最新のゼロトラストが必要な背景が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

あなたのゼロトラスト対応はどこから始めますか?

多くの政府機関がゼロトラストモデルを検討しているにもかかわらず、このアプローチを導入し始めたのは約35%に過ぎません。最初の重要なステップを踏んでいますか?

まだ導入プロセスを開始していない場合は、多くのモデルやリソースを利用することができます。ゼロトラストの早期導入者である政府のCIOCISOの多くは、すでに、彼らが遭遇した複雑な問題にどのように対処するのが最善かについて情報を共有しています。

ゼロトラストの原理や原則を詳しく知りたい方はこちらのホワイトペーパーもご覧ください。