情報セキュリティ責任者が注目すべき10のプロジェクトとは、ガートナー発表

ガートナーは6月6日に米国で開催した 「ガートナー セキュリティ&リスク・マネジメント サミット 2018」において、2018年に最高情報セキュリティ責任者(CISO)が注目すべきセキュリティ・プロジェクトを発表した。そこでは、「特権アカウント管理」や「CARTAに基づくぜい弱性管理」など10のプロジェクトを提案している。

情報セキュリティ責任者が注目すべき10のプロジェクトとは、ガートナー発表

ネットの進化による新たな脅威とどう戦うか

インターネットの進化により、企業や社会、そして個人にいたるまで「サイバー攻撃」や「ハッキング」などの新たな脅威にされられている。このため、セキュリティに対する重要度は上がり、特に企業にとっては死活問題になるため、セキュリティ問題は経営の最重要課題と言っても過言ではない。

ガートナーは6月、米国のメリーランド州でガートナー セキュリティ&リスク・マネジメント サミット 2018』を開催、そこで、最高情報セキュリティ責任者(CISO)が注目すべき、10のセキュリティ・プロジェクトを提言した。

その10のプロジェクトとは以下のとおり。

・特権アカウント管理
・CARTAに基づくぜい弱性管理
・アクティブ・アンチフィッシング
・サーバ・ワークロードのためのアプリケーション・コントロール
・マイクロセグメンテーションおよびフローの可視性
・検知/対応
・クラウド・セキュリティの態勢管理(CSPM)
・自動セキュリティ・スキャニング
・クラウド・アクセス・セキュリティ・ブローカ(CASB)
・ソフトウェア・ディファインド・ペリメータ

ここでは、それぞれのセキュリティ・プロジェクトを紹介する。

CISOが注目すべき10のセキュリティ・プロジェクトとは

1.特権アカウント管理

特権アカウント管理とは、すべての管理者に多要素認証設定し、攻撃者が特権アカウントへアクセスできないようにするものだ。多要素認証とは、アクセスするために複数段階のパスワードなどで確認を行うものである。もちろんアクセスの状態はセキュリティ・チームが監視する。

外部委託先など、第三者によるアクセスでもこの多要素認証を導入することを、同社はすすめている。

2.CARTAに基づくぜい弱性管理

「CARTA」とは、Continuous AdaptiveRisk and Trust Assessmentの略で、ガートナーが提唱するアプローチ法である。直訳すると「継続的で適応性のあるリスクと信頼性の事前評価」という意味だ。

古いファイルの更新や修正などの際、変更のあった一部だけを抜き出す「パッチ」を適用するほうがリスク軽減にはなるが、すべてにおいてそれが適用できない場合がある。

継続的にリスクや信頼性を評価し、情報システムやアプリケーションにおけるぜい弱性を継続的に管理する、リスクマネジメントの活動に優先順位をつけて実行すべきと同社は指摘する。

3.アクティブ・アンチフィッシング

これは、従業員が継続的にフィッシング攻撃の被害にあっている企業向けのプロジェクトだ。これを実行するには、以下の3つの戦略が必要だという。

1.テクニカル・コントロール
2.エンドユーザー・コントロール
3.プロセス再設計

テクニカル・コントロールは、多くのフィッシング攻撃をブロックしてくれるが、この戦略では、ユーザー自身の積極的関与が必要だという。

4.サーバ・ワークロードのためのアプリケーション・コントロール

これはサーバー・ワークロード、つまり大きなサーバー負荷に対し、ゼロ・トラストを実施している企業のためのものだ。 ゼロ・トラストとは、そもそものシステムを疑い、社外から社内システムへのアクセスを禁止する、ファイル送信を禁止するなどのある意味アナログ的な手法だ。

ほとんどのマルウェアはホワイトリストに登録されていないため、アプリケーション・コントロールによってマルウェアの大部分をブロックできるという。また近年のIoT化により、ベンダーサポートも充実しているため、対策として有効だ。

ガートナーのリサーチ バイス プレジデント 兼 最上級アナリストのニール・マクドナルド氏は以下のように述べている。

「これは、非常に強力なセキュリティ態勢で、SpectreおよびMeltdownに対して有効であることが実証されている」(マクドナルド氏)

5.マイクロセグメンテーションおよびフローの可視性

マイクロセグメンテーションとは、ネットワークをできるだけ細かく区切り、リスクが起きた場合の影響を最小限にとどめるという方法である。データセンターへのフローを可視化し、データセンターへの攻撃が横方向に拡散することを阻止することを目的としている。

フラットなネットワーク形態 (オンプレミスとサービスとしてのインフラストラクチャ IaaS )を採用している企業に適しおり、これにより攻撃者が攻撃を仕掛けてきたとしても進行を阻止できるという。

ただし、分割しすぎないように注意も必要だという。基幹アプリケーションから始め、ベンダーは自社に適した分割化をサポートしていく必要がある。

6.検知/対応

セキュリティ侵害は不可避であるという認識を前提とし、エンドポイント、ネットワーク、ユーザー・ベースのいずれかで高度な脅威の検知、調査、対応能力を実装したい企業向けなのが「検知/対応」だ。

これには以下の3つの選択肢があるという。

・エンドポイント保護プラットフォーム (EPP)+ エンドポイントの検知/対応(EDR)
・ユーザー/エンティティ挙動分析 (UEBA)
・偽装テクノロジー(Deception)

ここで重要なのは、企業はEPPベンダー、そしてセキュリティ情報/イベント管理(SIEM)ベンダーにはUEBA機能の提供を、強く求めることだという。

また「偽装テクノロジー」は、小規模でありながらも新しい、理想的なオプションであるという。

7.クラウド・セキュリティの態勢管理 (CSPM)

これは、既存のIaaSおよびPaaS のクラウド・セキュリティ態勢を自動的に評価し、リスクが高い領域を明らかにしたいと考えている企業にとって有効だ。クラウド・アクセス・セキュリティ・ブローカ(CASB・キャスビー)をはじめ、複数のベンダーから選択できる。

使用しているIaaSが1つだけの企業の場合、まずAmazonかMicrosoftのサービス導入を同社ではすすめている。

8.自動セキュリティ・スキャニング

開発と運用担当者が連携して行うDevOps(デプオプス)のワークフローに、セキュリティ・コントロールを統合したいと考える企業向けのプロジェクトが、自動セキュリティ・スキャニングだ。

まずオープンソース・ソフトウェア・コンポジション分析から始めて、テストをDevSecOps(デプオプスにセキュリティを加えたワークフロー)のシームレスな一部として統合する。開発者がツールを切り替えないようにし、自動化に向けて完全なAPI対応することがポイントだという。

9. クラウド・アクセス・セキュリティ・ブローカ(CASB)

マルチ事業やクラウドをベースとするサービスの可視性、ポリシー・ベース管理のための正確なルートを探しているモバイル性の高いワークフォースを有する企業向けのプロジェクト。

まず「発見」から始めて、プロジェクトの正当性を証明する。2018年および2019年は、重要なデータの「発見」と「モニタリング」がユースケースとなるとしている。

10. ソフトウェア・ディファインド・ペリメータ

これは、デジタル・システムと情報へのアクセスを認める対象を、社外パートナーやリモート・ワーカー、外注先のみに制限することで攻撃範囲を狭めたいと考えている企業向けのプロジェクトだ。これについて、同社は、現在使用しているVPNベースのアクセスに伴うリスクをあらためて確認することから着手すべきだと提案している。