脆弱性によって、企業の評判、経営陣の評判、一般社員や社員の家族に悪影響が及んだといった類の記事を最後に見聞きしたのはいつか思い出す際、さほど時間をさかのぼる必要はないでしょう。事実、1ヶ月おき程度のペースで、データ漏洩関連のニュースが話題になっています。だからこそ、セキュリティについてお話する時には、米国インターネットセキュリティセンター(CIS)が公開しているコントロールを重視しています。

CISは、サイバーセキュリティーについて認識させ、ベストプラクティスを推進するために設立された非営利組織です。

多層防御とは?

セキュリティについて考える時、私は「多層防御」について考えます。スポーツに使われるこんなことわざがあります。「攻撃は最善の防御である」。

野球で例えるなら、世界でも優秀なピッチャーを順にマウンドに立たせても、バッターが塁に出て、点数を稼ぐことでサポートしなければ試合に勝つことはできません。

この例えがセキュリティや多層防御とどんな関係があるのか?そう思っていらっしゃいませんか。要は野球と同じように、ひとつのことが完璧だったとしても、他のすべてのことがまったく駄目だったり、手抜かりがあったりすれば、大きな代償を払うことになりかねないということです。

多層防御とは、いわば全員が力を合わせチームとして取り組むことです。ピッチャーが見事な球を投げ、バッターがヒットを打って塁に出て、守備もそれぞれのポジションで活躍する、そういうことです。したがって、成功の秘訣は、勝利を手にするために選手が力を結集し、チームとして協力することです!

ではこれをセキュリティに応用するにはどうしたらよいか?

CISのコントロールに馴染みのある方は、企業を安全に守るために推奨されているコントロールが20種類あることをすでにご存知かと思います。これらのコントロールは、3つのカテゴリー、すなわち「Basic」、「Foundational」、「Organizational」に分類されます。これらのコントロールをすべて導入すると、すべてのコントロールが企業を安全に守るためのチームとして機能します。

多層防御とはそういうことです。複数のソリューションやコントロールが互いに機能し合い、企業を守ることです。

多層防御を導入すべき理由とは?

多層防御とは何か、そしてその意味については前述の通りです。では、多層防御を導入すべき理由について説明させていただきます。

先ほどの野球の例えでは、試合でピッチャーだけが優れたピッチングをするよりも選手全員が力を結集した方が、試合に勝てる可能性が高くなるとお伝えしました。セキュリティについてもまったく同じことが言えるのです。

例えば、OSのパッチ適用は完璧にできているとします。ところが、サードパーティー製アプリケーションにパッチを適用していなければ、攻撃対象領域がまだ残っていることになります。だからこそ多層防御が重要なのです。複数のツールやコントロールを組み合わせて機能させれば、リスクをさらに軽減し、自社環境を保護することができます。

Ivantiのセキュリティ戦略をご覧いただくとわかる通り、当社のセキュリティ戦略はCISコントロールに見事に沿っています。

Ivantiのセキュリティソリューションのポートフォリオは、上位5つのコントロールを対象としていますが、統合エンドポイント管理、資産管理、サービス管理、アイデンティティ管理ソリューションのラインナップを含むIvantiの幅広いポートフォリオは他の多くのコントロールを網羅します。したがってIvantiは自社の保護の強化を目指す企業を支援する総合的なパートナーとなります。

CISの上位5つのコントロールには、「すべてのハードウェア資産とソフトウェア資産のインベントリ(棚卸/目録作成)と管理」、「継続的な脆弱性管理」、「制限された管理者権限の利用」、「安全な構成」が含まれます。

これら5つのコントロールすべての導入に成功すると、サイバー攻撃の脅威の85%を占める最も一般的なサイバー攻撃に対し効果的な防御となることが証明されています。

これを大局的な視点から考えてみましょう。CISのコントロールのわずか20%を導入することで、85%を上回るサイバー攻撃のリスクを軽減できるのです。手始めに導入するには、メリットが多いと思いませんか?

最初はとにかく資産管理です。

セキュリティのニーズを分析する場合、まずは資産管理から始めます。自社環境に存在するハードウェア資産とソフトウェア資産をすべて把握できていなければ、環境を安全に保護することはできません。したがって、資産についてしっかり理解していることを確認することが、自社環境を保護するための最初の一歩となります。

次に「継続的な脆弱性管理」についてお話します。これは脆弱性を記録、追跡、特定し、適切に修正することです。脆弱性管理は通常パッチ管理を通して行われます。ただし、Microsoftにパッチを適用することだけではパッチ管理ができているとは言えません。自社環境で使用されているサードパーティー製アプリケーションやソフトウェアにもパッチを適用する必要があります。脆弱性の86%がサードパーティー製アプリケーションに起因するものです。つまり、サードパーティー製アプリケーションへのパッチ適用は、OSへのパッチ適用と同じくらい、もしくはそれ以上に重要なのです。

多層防御とは、環境を安全に保護するため、複数のコントロールをチームとして機能させることです。簡単に環境を管理し保護できるようになるため、複数のコントロールを単一の管理ソリューションに集約することが推奨されます。

CISのコントロールのリストの次の2つのコントロールに目を向けると、管理者権限の利用を制限することや、ハードウェア資産とソフトウェア資産の安全な構成について検討する必要があることがわかります。これは、権限管理、アプリケーションコントロール、デバイス管理に関連する分野です。

セキュリティ対策の最善の方法は、一歩ずつ進めることです。いっぺんにすべてをやろうとするとギャップが生じるリスクがあります。


自社環境を守るため、これらのステップに従い、まずは基本的なパッチの適用から始めてみましょう。基本的なコントロールを導入すれば、徐々に権限管理、アプリケーションコントロール、デバイス管理などを取り入れセキュリティ対策をさらに強化していけるようになります。使いやすい統合された仕組みにすべてのソリューションを集約し機能させるサポートを提供できる単一の製品または単一のベンダーを選択すれば、「すべての対策を連携して機能させる」メリットを得ることができます。

最も優れたパッチ管理、権限管理、ホワイトリスティング機能を単一に集約した多層防御のセキュリティソリューション: Ivanti Security Controlの製品ページはこちら