ホーム > mixiニュース > IT・インターネット > IT総合 > 企業のIoT環境を守る切り札? 「脆弱性スキャナー」「ゼロ・トラスト」「暗号化」3つのツールを紹介

企業のIoT環境を守る切り札? 「脆弱性スキャナー」「ゼロ・トラスト」「暗号化」3つのツールを紹介

1

2019年01月11日 10:52  ITmediaエンタープライズ

  • チェックする
  • つぶやく
  • 日記を書く

ITmediaエンタープライズ

写真アカマイ・テクノロジーズ マーケティング本部 シニア プロダクトマーケティング マネージャーの金子春信氏
アカマイ・テクノロジーズ マーケティング本部 シニア プロダクトマーケティング マネージャーの金子春信氏

 企業にとって、ITは今や不可欠なインフラだ。重要な情報資産がIoT環境やクラウド環境に乗るようになった一方、企業を狙うサイバー攻撃は、これまでにないスピードで高度化している。そんな今だからこそ、企業にとって有効なセキュリティの手法とは何だろうか?



【その他の画像】



 ITmedia エンタープライズ セキュリティセミナーでは、セキュリティ製品を手掛けるテナブル、アカマイ、キヤノンITソリューションズからそれぞれ専門家が登壇した。



●脆弱(ぜいじゃく)性対応を効率化し、IT資産の健全性維持を――テナブル



 ITがビジネスに不可欠なインフラになった今日、アプリケーションやIoTデバイス、OT(運用技術)デバイスの増加、クラウドの普及が進むことで、IT環境の複雑化、多様化が起こっている。



 その結果、「セキュリティ上のリスクとなる脆弱(ぜいじゃく)性の数もまた、急激に増加し続けている」――そう語るのが、脆弱性スキャナー「Nessus」の開発元として知られるテナブルネットワークセキュリティジャパン(以下、テナブル)のセールスエンジニア、梅原鉄己氏だ。



 次々に公表される新たな脆弱性に完璧に対応したければ、企業システムの管理者は、さまざまな課題を乗り越えなければならない。例えば、新たな脆弱性を都度チェックし、自社環境に該当するかどうかを確認した上で、手作業で対応するには、多くの工数と時間が必要だ。



 また、脆弱性の深刻度を測る際も、普段のシステム管理には出てこないような専門用語や数字を取り扱う必要がある。セキュリティの専門家以外にはハードルの高い作業だろう。かといって、外部の専門家に頻繁に脆弱性診断を依頼するわけにもいかない。



 梅原氏は「1件の脆弱性を見つけ出すには、多くの手間と時間が必要だ。膨大な情報の中から、重要な影響を及ぼすような脆弱性を特定できるプラットフォームの重要性が高まっている」と話した。



 「あらかじめ自社のIT資産を洗い出して弱点を取り除いておけば、その健全性を確保し、免疫力を高められる。NISTをはじめ、多くのサイバーセキュリティフレームワークで、このアプローチが提唱されている」(梅原氏)



 テナブルでは、「Tenable.io」「Tenable.sc」など、スキャンを実施して脆弱性を洗い出し、その重要度から対応の優先順位を付けるといった意思決定と対応を支援するツールを提供している。



 梅原氏は「従来のリアクティブな対応から、プロアクティブな対応への移行が求められている。こうしたツールを用いてリスクを正しく把握し、サイバー攻撃の対象になり得る弱点を認識して対策する、リスクベースの対策を進めてほしい」と呼び掛けた。



●クラウド時代に求められる「ゼロ・トラスト・セキュリティ」――アカマイ



 「ゼロ・トラスト・セキュリティ」という言葉は、日本では、まだそれほど知られていないようだ。しかし、アカマイ・テクノロジーズの金子春信氏によれば、「デジタルトランスフォーメーションを背景に、ゼロ・トラスト・セキュリティの必要性が高まっている」という。



 「クラウドの活用とモバイルの普及は、われわれの使うITインフラを大きく変えた。だが、その結果、新たな課題も浮上している。オンプレミス中心のITでは、境界線が明確で、その内側にいる人も限定できた。しかしクラウドシフトが進むにつれ、ユーザーもアプリも企業システムの外にあるようになり、新たな境界線を設けなければならなくなっている」(金子氏)



 そこで注目されているコンセプトが「ゼロ・トラスト」――つまり、「基本的にはあらゆるものを信頼せず、きちんとユーザーを確認した上で、必要なアプリのみに最小権限でアクセスさせる仕組み」だ。



 では、どうすればゼロ・トラスト・セキュリティを実現できるのか?



 アカマイでは、「Enterprise Application Access(EAA)」というソリューションを通じて、ゼロ・トラスト・セキュリティを実現していくとしている。



 EAAは、マルチクラウド環境に対する一種のプロキシとして動作し、認証を行った上で必要な権限のみでアクセスする環境を実現する。これにより、複数のコンポーネントを組み合わせて実現していたVPNなどに比べてシンプルに実現でき、運用負荷を減らせる他、高速化ももたらすという。



  さらに、EAAは同社の「Enterprise Threat Protector(ETP)」と組み合わせて活用できる。ETPは、DNSがIPアドレスの情報からドメイン名を検索する、いわゆる“名前解決”のクエリを解析することで、悪意あるサイトや不正なサイトへのアクセスをブロックする。



 金子氏は、こうした仕組みにより、「EAAは攻撃者の行動(サイバーキルチェーン)を途中で断ち、『セキュアインターネットゲートウェイ』を実現する」と語った。



●企業の情報資産を暗号化で保護――キヤノンITソリューションズ



 なぜわれわれがセキュリティ対策に取り組むかというと、企業にとって価値あるものを守りたいからだ。企業は、業種・業態によって異なる人事情報や財務情報、知的財産、それに顧客の個人情報などを、それぞれの価値に応じて適切な形で守っていく必要がある。



 こうした視点に加えて、キヤノンITソリューションズの太田高明氏は、個人情報保護法の改正によって「データを集める時代から、データを活用して新たな価値を生み出す時代が到来した」と指摘する。



 一方で、現在のセキュリティ業界には課題もある。その代表が情報漏えいだ。日本ネットワークセキュリティ協会(JNSA)の調査によれば、依然として情報漏えい事件は後を絶たない。特に、クレジットカード情報を含む個人情報の漏えいが深刻な課題になっている。こうした懸念を受け、日本サイバーセキュリティ・イノベーション委員会(JCIC)では、仮に情報漏えいが発生したと想定して、企業に発生する最大損失額を算出できる「サイバーリスクの数値化モデル」を公表している。



 「改正個人情報保護法に加え、欧州では2018年5月に一般データ保護規則(GDPR)が施行されるなど、新たな法規制が登場した。企業や組織が生成し、保管するデータの中には、コンプライアンス要件から暗号化を推奨したり、必須としたりするものがある。暗号化は、セキュリティ対策としてやっておくべき基本的な対策だ」(太田氏)



 キヤノンITソリューションズが扱うVormetricは、そんな暗号化を支援するソリューションの一つだ。ファイルサーバやデータベース、クラウドストレージの暗号化と鍵管理を行う他、データタイプや桁数を維持した形でデータを変換する「トークン化」にも対応している。同社では、同製品にネットワーク監視やログ管理といったソリューションを組み合わせ、各種法規制に対応したデータ暗号化を支援していくという。


あなたにおすすめ

ランキングIT・インターネット

前日のランキングへ

ニュース設定