増加の一途をたどるサイバーセキュリティリスクのため、セキュリティポリシーの定義、そしてセキュリティリスクの特定と対処を目標として、多くの組織はセキュリティチームを導入しています。さらに大半の組織は、事業の生産性を高めるために、またセキュリティチームによって決定されたセキュリティポリシーを適用するために、ITオペレーションチームの導入も行っています。

通常、セキュリティチームは自分たちが使用するセキュリティツールを、ITオペレーションが使用するツールとは個別に選択します。しかし、ほとんどの組織では、ITが使用しているツールが、自分たちの仕事をより効率化させることに気付いていないセキュリティチームが多いように感じます。セキュリティタスクにITツールを導入することは、組織のセキュリティ体制の向上につながり、エンドユーザーのワークフローへの介入をより少なく抑えつつ、より効率的にセキュリティリスクに対処することができます。つまり、ユーザーの満足度を高めることに寄与します。

ホワイトペーパー(無料):現代の手強い脅威に対するサイバーセキュリティ

3つのユースケースシナリオ

共通したITツールを活用して協働すると、セキュリティチームがより効率的に動けるというシナリオをいくつか紹介したいと思います。

シナリオ1:検出

まずは基本から始めましょう。「検出」、つまりはネットワーク内に何があるかを見極めます。

当然のことですが、検出は最も重要なセキュリティ要件です。効率的なセキュリティ体制を確立するために組織が行わなければいけないこととして、CISはハードウェア検出とソフトウェア検出を第1位と第2位に挙げています。この論理はとてもシンプルです。ネットワーク環境内に存在していることを知らないものを保護したり、これに対して防衛したりすることはできないのです。しかし、純粋なITオペレーションの観点から見ても、検出は必要不可欠と言えます。というのも、存在に気付いていないものを管理することはできないからです。

高度なエンドポイント管理ソリューションの中核である検出コンポーネントは、ITとセキュリティニーズ両方に役立つ、非常に効率的な検出方法を提供しています。さらに、検出はITによって現在使用されている高度なエンドポイント管理ソリューションの中核コンポーネントなので、ITチームがすべての管理/非管理デバイスをしっかりと理解している可能性が十分にあります。

大半のIT検出コンポーネントは、標準的なNMAPプロトコルを使用することによりネットワークをスキャンして、資産を検出しますが、高度な検出コンポーネントは、ARP検出のようなパッシブテクノロジーを使用して「パッシブ」な層を追加し、ネットワークに接続された新しいハードウェアをほぼリアルタイムで検出します。これらの高度な検出方法は、管理/非管理デバイスをネットワークにマッピングします。ITチームはネットワークマッピングを使用して管理エージェントを非管理デバイスにプッシュすることができ、セキュリティチームはネットワーク内のすべての管理/非管理デバイスの最新マッピングを取得することができます。

シナリオ2:高度な検出

ITが使用する高度な検出ソリューションはハードウェアを検出するだけでなく、詳細なソフトウェアインベントリを提供することもできます。これはIT管理にとって重要ですが、セキュリティチームもこのデータを活用することができます。例えば、設定に基づいたセキュリティポリシーに準拠していないマシン、アンチウィルスが実行されていないマシン、最新のアンチウィルスソリューションを有していないマシン、完全にパッチされていないマシンのクエリなどです。

シナリオ3:対処

弊社がお話ししましたお客様の大半は、エンドポイントの一つで疑わしい挙動が検出されると、インターネットケーブルを外したり、ルーターでブロックしたりすることで、ネットワークからそのエンドポイントを切り離すと言っています。この論理はとてもシンプルです。マシンがネットワークから切り離されると、そのネットワークの他のマシンを感染させることはできなくなります。

しかし、そのようなアプローチでは別の課題が生じます。マシンのユーザーの居所を物理的に突き止めて(他のオフィスにいる可能性もあります)、分析するためにマシンをラボに持って行かなければならないのです。たいてい、マシンは再イメージ化され、ユーザーに戻ります。

これは、面倒で非効率的なプロセスだと感じます。現代のITツールを利用すれば、より素早く生産的に対処することが可能です。現代のITツールには、リモートでネットワークからマシンを隔離し、ITからの接続のみを許可することができるオプションがあります。ITは、物理的にケーブルを外したり、ルーティングテーブルを触ったりする必要なく、ネットワークからマシンを切り離すことができます。

しかし、この対処の最も大きな利点は、ネットワークからマシンが隔離されている間、セキュリティチームはこのマシンであらゆるソフトウェアやスクリプトを実行でき、ITはリモートで再イメージ化を行い、マシンの再イメージ化が終わると自動的にソフトウェアを再インストールできるということにあります。これらのアクションも自動化することができます。アンチウィルスソフトウェアがマシンでマルウェアを検知すると、ITツールが自動的にマシンをネットワークから隔離し、リスクを分析するソフトウェアやスクリプトを実行します。その後、ITがリモートでこのマシンに接続し、さらなる診断や再イメージ化を行います。

リモートでネットワークからマシンを隔離することのできるセキュリティ製品はいくつかありますが、リモートコントロール、ファイル管理、再イメージ化などのほとんどの対処アクションは、ITツールを使用して行われます。ITオペレーションの観点(再イメージ化、バックアップなど)とセキュリティの観点(分析、クリーニングなど)の両方から考えても、ITツールを使用してセキュリティリスクにより素早く、より効率的に対処でき、目標を達成することに繋がります。

この背景を鑑みて、IvantiのソリューションであるUnified Endpoint ManagerEndpoint Security for Endpoint Managerをご覧いただければ幸いです。