ページの本文へ

Hitachi

ゼロトラストセキュリティを支える技術
【第3回】 〜監視・運用〜

株式会社 日立製作所
研究開発グループ
デジタルプラットフォームイノベーションセンタ サービスコンピューティング研究部 主任研究員 田澤 功

キーワード

  • #ネットワーク
  • #SD-WAN
  • #SASE
  • #ゼロトラスト
  • #セキュリティ

日立製作所研究開発グループの田澤です。ゼロトラストセキュリティ技術をテーマにしたコラムの最終回です。“ゼロトラストセキュリティを支える技術【第1回】〜アーキテクチャ〜”では、米国の国立標準技術研究所(NIST)が定義している、“ゼロトラストのアーキテクチャ”をご紹介させていただきました。 また、“ゼロトラストセキュリティを支える技術【第2回】〜アクセス制御・経路制御〜”では、ゼロトラストなシステム環境実現の肝となる、“アクセス制御・経路制御”の技術をご紹介させていただきました。

今回は第3回として「監視」と監視に基づく運用に焦点を当ててご説明させていただきたいと思います。

ゼロトラストのアーキテクチャ

第1回目のコラムでご説明した通り、ゼロトラストは、ファイアウォールやIPS(侵入防止システム)などを用いた境界ベースでのセキュリティ対策ではなく、社内外の境界に関係なく全てを信頼しないことを前提にアクセス単位でセキュリティ対策を行う考え方です。NISTの文書では、「ゼロトラスト」を実現する基本アーキテクチャの構成要素として、稼働ログやその統合管理ツールによるセキュリティ動作の監視と運用の必要性を挙げています。今回は、ゼロトラストにおける監視と運用の必要性や実際にどのような監視が必要になるかをご説明します。

監視と運用の必要性

これまでのコラムで、リクエスト単位での認証・認可やアクセス制御・経路制御の必要性についてはご理解いただけたかと思います。では、それらの対策を行っていればセキュアなシステム環境は維持されるでしょうか。皆様もニュースなどでご存知かと思いますが、業務アプリケーションで利用しているライブラリやこれまで安全とされてきた通信方式に新たな脆弱性が見つかるということが少なからずあります。そのような場合、これまでは安全と思われていたシステム環境が危険にさらされることになります。また、新たな脆弱性が見つかっていない場合でも、端末のセキュリティ対策が不十分でマルウェアに感染したり、アクセス制御のポリシーによっては必要以上に通信のブロックやアラートが発生して運用担当者の負担になったりすることも起こり得ます。

このような状況に対応する、もしくは回避するため、常にシステム環境の状態を把握して、マルウェアに感染するなどのセキュリティインシデントが発生した際に素早く対応する、また、ポリシー変更を含めて継続的にセキュリティ対策を見直すといった監視、運用が必要になります。

監視データの種類とそれに基づく運用

監視と一口に言っても具体的に何を監視すれば良いのでしょうか。NISTの文書によると、大きくは、@デバイス管理とAログ管理が必要になります。また、監視を何らかの情報収集のための手段と捉えると、B脅威インテリジェンスの収集も監視の一環として必要です。

@デバイス管理では、端末などにおける社内で許可されていないソフトウェアの利用や、OSやソフトウェアのセキュリティパッチ適用状況などを監視して、適切なセキュリティ対策が行われているかを管理します。ITSM(IT Service Management)でいうところの資産および構成管理に相当し、ソフトウェア構成などの変更も監視して常に最新の情報を管理します。

Aログ管理では、端末やサーバ、セキュリティ製品のログ、ネットワークトラフィック、社内・社外リソースへのアクセスログなどを監視して、端末などからの不審なサイトへのアクセスや、社外からの不審なアクセスなどの検出を行います。また、ログ管理では、SIEM(Security Information and Event Management)と呼ばれる統合管理の仕組みが用いられることもあります。これは、サーバやネットワークなどの各種ログを別々に管理して可視化や分析を行うのではなく、各種ログを一元的に管理して相関分析を行うことにより、セキュリティ上の脅威を検出します。

B脅威インテリジェンスの収集では、セキュリティベンダーなどが提供する脅威に関する情報や、新たに発見された脆弱性に関する情報などを収集します。脅威インテリジェンスは、セキュリティベンダーのソリューションの一部として利用できるようになっていることもあります。

このような監視で得られた情報は、ポリシー決定および実行ポイントによるアクセス制御、セキュリティインシデント検知後の復旧などの対応、およびポリシー決定ポイントにおけるポリシー定義の変更といった、運用や運用改善に利用されます。例えば、デバイス管理の持つ各デバイスのセキュリティ対策状況に応じて、デバイスから社内リソースへのアクセス制御を実行したり、ログ管理によりデバイスからの不審なアクセスが検知されたら、そのデバイスをネットワークから自動で切り離すといった対応を実行したりします。また、ログ管理の持つトラフィック情報や新たな脅威インテリジェンスの情報は、ポリシー定義の見直しに有用な情報となります。

上記のほか、ゼロトラストなシステム環境では、ポリシー定義に基づくアクセス単位での制御が肝となるので、ポリシー決定ポイントにおけるポリシー定義の変更を監視して、不正な変更や変更ミスが起こらないよう管理することも重要ですが、この観点では、変更の監視のほか、ポリシー変更のワークフローを構築することにより変更をなるべく定型化、自動化することが必要と考えます。なお、ポリシー決定ポイントおよびポリシー実行ポイントの機能のパフォーマンスを監視して、必要に応じてそれらの機能を提供するためのインフラの増強を行うなどの運用対策を行うことも、システムの有効性維持の観点から重要なポイントになります。

監視と運用の仕組みを構築するために

ゼロトラストなシステム環境を構築するための第一歩は、自社のシステム環境で想定されるセキュリティリスクを洗い出し、そのリスクの社内へのインパクトを評価することです。そして、どのような順番でどのようなリスクにどう対応するかの方針を定め、そのために必要なシステム環境とそれを回すための運用を設計していくことになります。これは、ゼロトラスト特有の考え方ではなく、これまで皆様が行っているセキュアなシステム環境構築のステップと同様と思いますが、最も大事なことは、システム環境と運用の仕組みを、運用で得られる情報に基づいて継続的に改善できる仕組みづくりだと考えています。システム環境の構築に比べて、その運用のほうはあまり重要視されないことがありますが、ゼロトラストなシステム環境の検討時には、運用や継続的改善の仕組みの構築にも力を入れていただけると良いのではないかと思います。

2023年3月
株式会社 日立製作所 研究開発グループ
デジタルプラットフォームイノベーションセンタ サービスコンピューティング研究部 主任研究員 田澤 功

※編集・執筆当時の記事のため、現在の情報と異なる場合があります。編集・執筆の時期については、記事末尾をご覧ください。