セキュリティ技術は、日々刻々と進化を遂げているため関連する用語の数も同時に増えてきています。セキュリティ分野が初めての方は、どこから学び始めれば良いのか、どうやって学べば良いのか、何が必要なのか、なぜ必要なのかなど疑問に思うかもしれません。実は、最初に実施すべきなのは、以下の5つの基本的なベストプラクティスが適切に実施されているかどうか確認しておくことです。
ほとんどの場合、上記の5つだけをしっかりやっておけば、基盤の整備が完了し、全体的なリスクは大幅に軽減されます。それでは、それぞれについて詳しく説明しましょう。
資産目録は、セキュリティプログラムを成功させるために不可欠な基本中の基本です。ここをきちんとやっておかなければ、これから説明する他のベストプラクティスは、どれも効果を発揮させられません。
しっかりした資産目録を作成できるかどうかは、いくつかの簡単なポイントにかかっています。つまり、所有している資産、それらがネットワーク上のどこにあるか、ネットワーク上のソフトウェアとその設定、そしてアクセス可能なユーザーとシステムを知ることです。
セキュリティの観点から「資産」と見なされるものは何でしょうか。先ずはラップトップ、デスクトップ、サーバー、ファイアウォール、スイッチ、ルーター、電話、プリンター、クラウドアプリケーションなどを含む、あらゆる種類のネットワークアクセス可能な電子システムでしょう。
資産インベントリにギャップがある場合、それはセキュリティプログラムにもギャップがあることを意味します。 IT担当者は、従業員にラップトップを提供する前に、すべてフルディスク暗号化を有効にする必要があります。しかし、セキュリティチームやIT担当者は、人事担当者が個別にコーポレートクレジットカードで購入したラップトップのことを知らない場合があります。そうすると、誰かが購入したことを知らせない限り、フルディスク暗号化はなされない可能性があります。
ネットワークと脆弱性のスキャンソリューションは、資産インベントリのギャップを見つけ出して資産を維持管理するのに役立ちます。ネットワークスキャンとエンドポイントエージェントを組み合わせて使用すると、豊富な資産データを、ほぼリアルタイムに資産インベントリへ提供できます。
優れたセキュリティプログラムは、重要な個人データやビジネスデータにアクセスするための多要素認証から始まります。認証の形式は、次の3つのカテゴリに分類されます。
知っていること:例として、パスワード
持っているもの:電話、ATMカードなど
個人:指紋
パスワードには根本的な欠陥があり、フィッシング攻撃、パスワード推測攻撃、マルウェアなどによって簡単に盗まれます。単にパスワードだけを使用してデータを保護したのでは、攻撃者は壁を1つ超えるだけでアカウントを侵害できます。ユーザーに複数形式の認証を要求すると、ユーザーの資格情報(およびアクセス権)を取得することは、攻撃者にとってはるかに困難で手間のかかる仕業になります。
ここで注意すべき重要な点は、セキュリティの観点からは、同じカテゴリの2つの形式の認証を要求するだけでは十分ではないということです。例として、ユーザーにパスワードを入力してから「母親の旧姓は何ですか?」などのセキュリティの質問への回答を要求する場合、2要素認証としてはカウントされません。これらは両方とも「知っていること」なので、2回の単一要素認証です。2要素認証としてはカウントされるためには、パスワード(あなたが知っているもの)を要求し、次にスマートフォンのアプリ(あなたが持っているもの)によって生成された6桁のコードを要求する必要があります。
簡単に言えば、パッチ管理とは、すべてのソフトウェアに最新版がインストールされ、正しく構成されていることを確認することを意味します。これには、組織のシステムとデバイスへのパッチ(つまりソフトウェアの更新)の取得、テスト、およびインストールが含まれます。これを効果的に行うには、利用可能なパッチを常に把握し、どのシステムでどのパッチが必要かを判断し、インストールを監視し、パッチのインストール後に問題をテストする必要があります。これは通常、セキュリティチームだけではなく、IT担当者とDevOpsチームとの協力により実施されます。
パッチ管理は、脆弱性管理、またはIT環境に脆弱性があるかどうかを判断するプロセスと密接に関係しています。パッチ管理の背後には3つの要素があります:脆弱性修復の優先順位付け、代替コントロール(つまり、脆弱性のリスクを下げる既存のセキュリティ手法またはシステム)の評価に加えて実装するパッチが正しくインストールされていることを確認するのです。
これらの要素が重要な理由は次のとおりです。パッチを適用すると、使用しているソフトウェアの別の部分が破損し、悪影響が生じることがあります。この固有リスクを理解することは、どのパッチ適用を優先するかの方法に大きな役割を果たします。パッチがいくつかのソフトウエアを壊した場合、パッチを削除する必要があり、代わりに適切なコントロールを設定すると、攻撃者が再出現する脆弱性を悪用することが難しくなります。適切に配置できる代替コントロールの例には、簡単にパッチを適用できない脆弱なシステムと通信できるシステムの数を制限するファイアウォールルールの実装が含まれます。
潜在的なフォールアウトを軽減するために、システム全体にパッチをインストールする前に、重要ではないシステムまたは実稼働環境をコピーしたテスト環境でパッチをテストします。
分散化とは、ネットワークおよびクラウドサービス全体にデータを分散させ、組織のネットワーク内の1人のユーザーまたはサーバーが侵害された場合に、攻撃者が必ずしも残りの企業データに保存されている企業データにアクセスできないようにする概念です会社が使用するネットワークおよびクラウドサービス。たとえば、分散環境で攻撃者がオフィスの内部ファイル共有システムの1つに侵入した場合、そのオフィスの共有ファイルにしかアクセスできず、クラウドストレージプロバイダー内のすべてのファイルにアクセスできるとは限りません。ただし、集中化された環境があり、攻撃者が1台のサーバーを侵害した場合、そのサーバーから、電子メールサーバー、財務諸表、ユーザーディレクトリなどの追加の企業システムおよびデータに簡単に移動する方法を見つけることがあります。
分散化には2つの利点があります。
ネットワークのセグメンテーションでは、分散化がさらに一歩進められます。ネットワーク上のどのシステムとデバイスが相互に通信する必要があるかを把握し、それらのシステムのみが相互に通信できるようにする概念です。
たとえば、病院のラップトップで働く看護師を考えてみましょう。安全にセグメント化されたネットワークでは、ラップトップは、プリントサーバー(患者記録の印刷用)や患者記録アプリケーション自体など、1つまたは2つの他のシステムとのみ通信できます。ただし、「フラットネットワーク」、つまりシステム間にセグメンテーションのないネットワークでは、このラップトップはネットワーク上の他のすべてのシステムと通信できます。攻撃者がそのラップトップを危険にさらした場合、完全に未確認の横方向の動きにより、ネットワーク上の他のすべてのシステムを攻撃することができます。
ネットワークを効果的にセグメント化するには、最も重要なアセットのインベントリを作成し、それらがネットワーク上のどこにあり、どのシステムとユーザーがそれらにアクセスできるかを理解することが不可欠です。実際にそのアクセスを必要とする特定のシステムおよびユーザー以外からアセットにアクセスできる場合は、修正する必要があります。システムまたはアプリケーションの全体的な攻撃対象領域を最小限に抑えるために、アクセスは常に最小特権の原則に基づいて許可される必要があります。また、ネットワーク上の何もデータベースサーバーと直接通信できないことを確認する必要があります。データベースサーバーは通常、重要なアプリケーションデータが保存される場所です。
これらの基本的なベストプラクティスを環境に組み込むと、セキュリティの基盤が整います。攻撃者がネットワーク内を移動するのが難しくなるだけでなく、そのための手間も大きくなります。攻撃がより困難で時間を要するほど、攻撃者は諦める可能性が高くなります。