最近取り上げられているセキュリティ対策やそれに伴うネットワーク技術を自分なりにまとめています。
- CSPMとCWPP
- ゼロトラスト
- SEIM vs XDR
- バックアップ
- SIEMとゼロトラスト
- SigmaとYARAルール、YARA-L
- XDRとEDR、NDR
- EDRとNGAV、AV
- SD-WANとMPLS
- ZTNA(クラウド型SDP)
- SDP
- SWG
CSPMとCWPP
| 概要 | CSPM(Cloud Security Posture Management) クラウドの設定に不備がないかチェックし、不備があれば自動的に修正までしてくれる製品と思われる。 CWPP(Cloud Workload Posture Management) オンプレやクラウド上の様々なワークロード(※)における脆弱性管理やセキュリティ保護を行う製品と思われる。 両者をどちらもカバーする製品として、パロアルト社のPrisma Cloudがあり、CNSP(Cloud Native Security Platform)と読んでいる。 ※ワークロードっていう言葉はいつきいてもあまりピント来ませんが、物理マシンや仮想マシン、コンテナ、サーバレスなどを指すらしい。 |
| 参考文献 | 改めて知るCWPP(Cloud Workload Protection Platform)とは何か?(マクニカ) https://www.macnica.co.jp/business/dx/manufacturers/prisma/feature_01.html |
ゼロトラスト
| 概要 | ゼロトラストではたとえイントラネットからのアクセスであっても全てを信用せず、各ポイントでセキュリティを強化する取り組みである。 |
| 背景 | 2010年:Forrester Research社 のジョンキンダーバーグ氏に提唱。 2018年:同社のチェイス・カニンガム博士がゼロトラスト・エクステンデッド・エコシステム(ZTX)を発表。 |
| 7つの機能 | カニンガム博士がZTXの中でゼロトラスト 実現に向けた以下の7つの機能を説明しているらしい。 【7つの機能】 デバイス/ピープル/ネットワーク/ワークロード/データ/可視化&分析/自動化 |
| 適用方法 | 従来の境界防御の対策は維持しながら、徐々に可能なところからゼロトラストを適用していく。 |
| 参考文献 | アシストが考える最速・最適なゼロトラストの実現方法とは(アシスト) https://www.ashisuto.co.jp/tech-note/article/20210910_zt.html ゼロトラストという戦術の使い方 (IPA) https://www.ipa.go.jp/files/000092243.pdf ゼロトラスト時代における、平時のITオペレーションのあり方とは? https://www.lac.co.jp/lacwatch/people/20211014_002748.html?utm_source=pocket_mylist |
SEIM vs XDR
| 概要 | SEIM・・・あらゆる機器のセキュリティアラートやログを収集、一元管理する。さらに分析ルールを作成することで、不審な通信や挙動などを検知する。 XDR・・・複数のセキュリティアラートからベンダー提供の分析ルールやAI(機械学習)を利用することによりセキュリティの脅威を検知し、対象を行う。 |
| SIEMとXDRの相違点 | ・SEIMはセキュリティ以外の用途でも利用可能だが、XDRはセキュリティに特化。 ・SEIMの場合は利用者側で分析ルールを作成していくが、XDRはベンダー提供の分析ルールやAIによりセキュリティ脅威を検知 ・SEIMはデータの収集と分析が主な機能であるが、XDRは検知と対応が主な機能。 |
| 参考文献 | Open XDR vs. SIEM(STELLAR CYBER) https://jp.stellarcyber.ai/resources/blogs/openxdr-vs-siem/ |
バックアップ
| 概要 | ランサムウェアによる攻撃は近年ますます増加してきており、すべてのサイバー攻撃は防げないという考え方から、攻撃を受けた時の復旧策が非常に重要であると考える。 |
| ランサムウェア対策としてのバックアップ | バックアップにおいては、ファイル保管先を増やすだけではなく、ファイルが保管されている「物理的な所在地」にも気を配る必要があるからです。 その考え方をルールして明文化したものが「3-2-1ルール」になります。 〜以上、DirectCloudから引用〜 通常のバックアップ要件に加えて、ランサムウェア対策として有効なのは、次の4点であると考えている。 ・長期にデータを保護できる ・感染をできるだけ早く検知できる ・現実的な保管コストである ・保管データを容易に書き替えられない 〜以上、iMagazineから引用〜 |
| 参考文献 | https://directcloud.jp/contents/3-2-1_rule/(DirectCloud) https://www.imagazine.co.jp/バックアップのあるべき姿~ランサムウェア対策/(iMagazine) |
SIEMとゼロトラスト
| 概要 | セキュリティ機器やサーバのログをSIEMに集約することで、時系列やインディケータとの突合などにより、不審な通信を検知・分析する製品。 |
| ゼロトラスト での役割 | 境界防御では、単に不信な通信の出入りを確認すればよかったのですが、近年は確認すべきログが、端末ログ、ネットワークのログ、認証ログ、IaaSやSaaSログなどや、社内ネットワーク内や外部に持ち出された端末、クラウドなど広範囲になってきています。 ・・・ 例えば、IoT/BYOD端末が起点の攻撃など何かしらの要因でEDRでは検知し切れず、攻撃を受けてしまうといったケースがあります。そういった場合でも、デバイスやユーザーの行動をネットワークのログやSaaSのログなどから監視しておくことで、行動ベースでの検知・防御することができます。 〜マクニカからの引用〜 ゼロトラスト では、ユーザーがアプリケーションやデータにアクセスする際に、IAM(アイデンティティー&アクセス管理)などにより認可をする。しかし、それだけで、そのアクセスが正常なものだと信頼してはいけない。 さらに、SIEM によってユーザーによるアクセスログを検証することで、アカウントのなりすましなどの不正が起きていないかを常に確認する必要がある。 〜日経XTechからの引用〜 |
| 参考文献 | ゼロトラストの基礎知識 第5回「ゼロトラストを見守る」(マクニカ) https://mnb.macnica.co.jp/2021/03/zerotrust/siem/soar.html https://active.nikkeibp.co.jp/atcl/act/19/00242/111600002/(日経XTech) |
SigmaとYARAルール、YARA-L
| 概要 | Sigma・・・オープンソースのSIEM専用のルール定義言語であり、Sigmaでルールを記述すると、各社のSIEMが採用する専用の検索クエリー言語に沿ったクエリーが生成されるらしい。 YARAルール・・・オープンソースのマルウェアの検知・解析ツール「YARA」で使用される記述形式で、マルウェアの特徴を記述するものらしい。 YARA-L・・・米グーグルのChronicleチームがYARAの新バージョンとして開発したマルウェア検出ルール定義言語らしい。 |
| 参考文献 | https://active.nikkeibp.co.jp/atcl/act/19/00242/111600002/(日経BP) https://japan.zdnet.com/article/35141931/(ZDNet Japan) https://japan.zdnet.com/article/35149826/(ZDNet Japan) |
XDRとEDR、NDR
| 概要 | XDR・・・Xはクロスではなく変数Xの意味らしい。エンドポイント、社内ネットワーク、クラウドなどのあらゆるログを取り込み、不審な挙動の検知と対応を行う。SEIMやSOARなどの機能も含んでいる。 EDR・・・Endpoint Detection and Responseの略。エンドポイント(端末)の振る舞い検知とインシデント発生後の対応を行う。 NDR・・・Network Detection and Responseの略。ネットワークのトラフィックを監視し、不審な通信の検知を行う。製品によっては他の製品と連携し対策も可能。 |
| XDR | 大抵のXDR製品はベンダーロックインとなるが、Stellar Cyberなどのように既存の製品のログを取り込めるXDRも存在する。 |
| 参考文献 | 【XDR】 https://www.jbsvc.co.jp/useful/security/what-is-xdr.html(JBS) https://www.pentio.com/news/2021_04_stellarcyber/(pentio) |
EDRとNGAV、AV
| 概要 | EDRとNGAV(次世代アンチウィルス)、AV(アンチウィルス)の違いを簡潔に表すと以下のようになる。 AV・・・パターンファイルによるウィルス検知 NGAV・・・振る舞い監視によるウィルス検知(+パターンファイルによるウィルス検知) EDR・・・振る舞い監視による不正アクセス検知+検知後の事後対応・調査 |
| 参考文献 | https://jichitai-sec.soliton.co.jp/interview4-2(ソリトン) |
SD-WANとMPLS
最近、SASEのキーテクノロジーとしてよく目にするのが、SD-WANとMPLSです。
| 概要 | MPLS・・・自宅や拠点などから、DC経由でインターネットなどにアクセスする際に利用する技術 SD-WAN・・・DCを経由せずに本社や拠点から直接インターネットにアクセスする(ローカルブレイクアウト)際に利用する技術 |
| MPLS | MPLS(Multi Protocol Label Switching) IPアドレスではなく、パケットに貼り付けたラベルを元にルーティングする技術 強制的に指定したルータを経由させることができ、特定の経路の通信負荷増大を抑えることができる。 |
| SD-WAN | SD-WAN(Software Defined WAN) 同じような技術としてSDPがありますが、わかりやすく考えると以下の通りではないかと考えています。 SDP・・・インターネット上のユーザが企業内ネットワークにアクセスの際に利用する技術(ユーザ端末にソフトウェアを導入して実現) SD-WAN・・・企業の本社や拠点からインターネットにアクセスする際に利用する技術(本社や拠点に対応するルータを導入して実現) |
| 参考文献 | 【共通】 https://www.youtube.com/watch?v=82ZzynEFfbc(Youtube) 【MPLS】 https://wa3.i-3-i.info/word12054.html(わわわIT用語辞典) https://www.juniper-ne.jp/blog/trend/benefitsofmplsandcasestudies.html(Junipedia) 【SD-WAN】 https://www.sbbit.jp/article/cont1/33679(sbbit) |
ZTNA(クラウド型SDP)
| 概要 | SDP にはオンプレ型とクラウド(SaaS)型があり、ZTNAはクラウド型SDPのと同じと考えて良い。 また、インターネット上の端末からプライベートネットワーク(社内ネットワーク等)へのセキュアなアクセス機能をZTNAと呼ぶのに対し、パブリックネットワーク(インターネット上のサーバ等)へのセキュアなアクセス機能をSWGと呼ぶ。 |
| 参考文献 | https://www.uniadex.co.jp/annex/security/blog/detail/20200612_ztna-sdp.html(IT Security ANNEX) https://licensecounter.jp/engineer-voice/blog/articles/20210125_ztna.html(C&S Engineer Voice) |
SDP(ソフトウェア・デファインド・ペリメタ)
| 概要 | ソフトウェアにより境界を防御していこうというのがSDPの考え方であり、従来のVPN機器の課題であった不正アクセスのリスクを軽減する。 |
| 背景 | 従来は物理機器によりインターネットと企業イントラネットの境界を定めていたが、ワークスタイルの変化や利用機器の多様化によりその考え方は限界に来ている。 また、従来のVPN機器では不正アクセスのリスクが高く、また従業員がインターネットに接続する際に、VPN装置⇨DC内のゲートウェイを経由することから、通信の不安定性につながっていた。 |
| キーテクノロジー | SDPはSDPホストとSDPコントローラの2つで構成され、それぞれがデータ通信の制御と管理を分担して担当する。なお、SDPホストはInitiating-SDP(VPN接続元のPC)とAccepting-SDP(VPN接続先サーバ)の総称である。 従来のVPNは最初からVPN接続を受け付けるポートを開いている為に不正アクセスを受けやすくなっていたが、SDPの場合、Initiating-SDPがSDPホストの認証をクリアしない限り、Accepting-SDPのネットワーク情報が開示されず、不正アクセスを受けづらい。 |
| 適用方法 | クラウドの入口を固める重要な機能であることから、SASE導入においては一番に考えないといけない機能と思われる。 |
| 参考文献 | ・https://locked.jp/blog/what-is-software-defined-perimeter/(情シスのミカタ) ・https://licensecounter.jp/engineer-voice/blog/articles/20190920_zero_trust_sdp.html(SB C&S) ・https://licensecounter.jp/engineer-voice/blog/articles/20200727_sdp-point.html(C&S Engineer Voice) |
SWG(セキュア・ウェブ・ゲートウェイ)
| 概要 | 従来はProxy、URLフィルタ、アンチウィルス機能などWebセキュリティに関する対策製品をオンプレに置いていたが、その機能を高度化しクラウドに設置したもの。 |
| 背景 | 攻撃の高度化に対応する為、複数のセキュリティ対策を実装していくに伴い、オンプレのゲートウェイとして設置していくには負荷が高くなってきた。また、ワークスタイルの多様化に対応する為、あらゆる場所から接続できるようにクラウド上にそれらの機能を実装するニーズが高まってきた。 |
| キーテクノロジー | あらゆるWebセキュリティが含まれるが、DLP やCASB までをSWGに含めるかどうかは提供ベンダーにより違いがある。 |
| 適用方法 | 後段のSASEを構成する1機能として導入していく形になると思われる。(ガートナーによるとまず手をつけるべきは認証強化とのことだが。) |
| 参考文献 | ・https://www.tcs.com/jp-ja/DTS/Cyber_sec/Cloud_SWG(TCS) ・https://www.ctc-g.co.jp/cms/contents/data/22/179/componentFile_FILE_1_1_160732805512011241375fcde137b6dff13_179.pdf(CTC) |