セキュリティ対策技術

Pocket

最近取り上げられているセキュリティ対策やそれに伴うネットワーク技術を自分なりにまとめています。

CSPMとCWPP

概要CSPM(Cloud Security Posture Management)
クラウドの設定に不備がないかチェックし、不備があれば自動的に修正までしてくれる製品と思われる。
CWPP(Cloud Workload Posture Management)
オンプレやクラウド上の様々なワークロード(※)における脆弱性管理やセキュリティ保護を行う製品と思われる。

両者をどちらもカバーする製品として、パロアルト社のPrisma Cloudがあり、CNSP(Cloud Native Security Platform)と読んでいる。

※ワークロードっていう言葉はいつきいてもあまりピント来ませんが、物理マシンや仮想マシン、コンテナ、サーバレスなどを指すらしい。
参考文献改めて知るCWPP(Cloud Workload Protection Platform)とは何か?(マクニカ)
https://www.macnica.co.jp/business/dx/manufacturers/prisma/feature_01.html
CSPMとCWPP

ゼロトラスト

概要ゼロトラストではたとえイントラネットからのアクセスであっても全てを信用せず、各ポイントでセキュリティを強化する取り組みである。
背景2010年:Forrester Research社 のジョンキンダーバーグ氏に提唱。
2018年:同社のチェイス・カニンガム博士がゼロトラスト・エクステンデッド・エコシステム(ZTX)を発表。
7つの機能カニンガム博士がZTXの中でゼロトラスト 実現に向けた以下の7つの機能を説明しているらしい。
【7つの機能】
デバイス/ピープル/ネットワーク/ワークロード/データ/可視化&分析/自動化
適用方法従来の境界防御の対策は維持しながら、徐々に可能なところからゼロトラストを適用していく。
参考文献アシストが考える最速・最適なゼロトラストの実現方法とは(アシスト)
https://www.ashisuto.co.jp/tech-note/article/20210910_zt.html
ゼロトラストという戦術の使い方 (IPA)
https://www.ipa.go.jp/files/000092243.pdf
ゼロトラスト時代における、平時のITオペレーションのあり方とは?
https://www.lac.co.jp/lacwatch/people/20211014_002748.html?utm_source=pocket_mylist
ゼロトラスト

SEIM vs XDR

概要SEIM・・・あらゆる機器のセキュリティアラートやログを収集、一元管理する。さらに分析ルールを作成することで、不審な通信や挙動などを検知する。
XDR・・・複数のセキュリティアラートからベンダー提供の分析ルールやAI(機械学習)を利用することによりセキュリティの脅威を検知し、対象を行う。
SIEMとXDRの相違点・SEIMはセキュリティ以外の用途でも利用可能だが、XDRはセキュリティに特化。
・SEIMの場合は利用者側で分析ルールを作成していくが、XDRはベンダー提供の分析ルールやAIによりセキュリティ脅威を検知
・SEIMはデータの収集と分析が主な機能であるが、XDRは検知と対応が主な機能。
参考文献Open XDR vs. SIEM(STELLAR CYBER)
https://jp.stellarcyber.ai/resources/blogs/openxdr-vs-siem/

バックアップ

概要ランサムウェアによる攻撃は近年ますます増加してきており、すべてのサイバー攻撃は防げないという考え方から、攻撃を受けた時の復旧策が非常に重要であると考える。
ランサムウェア対策としてのバックアップバックアップにおいては、ファイル保管先を増やすだけではなく、ファイルが保管されている「物理的な所在地」にも気を配る必要があるからです。
その考え方をルールして明文化したものが「3-2-1ルール」になります。
〜以上、DirectCloudから引用〜

通常のバックアップ要件に加えて、ランサムウェア対策として有効なのは、次の4点であると考えている。
・長期にデータを保護できる
・感染をできるだけ早く検知できる
・現実的な保管コストである
・保管データを容易に書き替えられない
〜以上、iMagazineから引用〜
参考文献https://directcloud.jp/contents/3-2-1_rule/(DirectCloud)
https://www.imagazine.co.jp/バックアップのあるべき姿~ランサムウェア対策/(iMagazine)
バックアップ

SIEMとゼロトラスト

概要セキュリティ機器やサーバのログをSIEMに集約することで、時系列やインディケータとの突合などにより、不審な通信を検知・分析する製品。
ゼロトラスト での役割境界防御では、単に不信な通信の出入りを確認すればよかったのですが、近年は確認すべきログが、端末ログ、ネットワークのログ、認証ログ、IaaSやSaaSログなどや、社内ネットワーク内や外部に持ち出された端末、クラウドなど広範囲になってきています。
・・・
例えば、IoT/BYOD端末が起点の攻撃など何かしらの要因でEDRでは検知し切れず、攻撃を受けてしまうといったケースがあります。そういった場合でも、デバイスやユーザーの行動をネットワークのログやSaaSのログなどから監視しておくことで、行動ベースでの検知・防御することができます。
〜マクニカからの引用〜

ゼロトラスト では、ユーザーがアプリケーションやデータにアクセスする際に、IAM(アイデンティティー&アクセス管理)などにより認可をする。しかし、それだけで、そのアクセスが正常なものだと信頼してはいけない。
さらに、SIEM によってユーザーによるアクセスログを検証することで、アカウントのなりすましなどの不正が起きていないかを常に確認する必要がある。
〜日経XTechからの引用〜
参考文献ゼロトラストの基礎知識 第5回「ゼロトラストを見守る」(マクニカ)
https://mnb.macnica.co.jp/2021/03/zerotrust/siem/soar.html
https://active.nikkeibp.co.jp/atcl/act/19/00242/111600002/(日経XTech)
SIEMとゼロトラスト

SigmaとYARAルール、YARA-L

概要Sigma・・・オープンソースのSIEM専用のルール定義言語であり、Sigmaでルールを記述すると、各社のSIEMが採用する専用の検索クエリー言語に沿ったクエリーが生成されるらしい。
YARAルール・・・オープンソースのマルウェアの検知・解析ツール「YARA」で使用される記述形式で、マルウェアの特徴を記述するものらしい。
YARA-L・・・米グーグルのChronicleチームがYARAの新バージョンとして開発したマルウェア検出ルール定義言語らしい。
参考文献https://active.nikkeibp.co.jp/atcl/act/19/00242/111600002/(日経BP)
https://japan.zdnet.com/article/35141931/(ZDNet Japan)
https://japan.zdnet.com/article/35149826/(ZDNet Japan)
SigmaとYARAルール、YARA-L

XDRとEDR、NDR

概要XDR・・・Xはクロスではなく変数Xの意味らしい。エンドポイント、社内ネットワーク、クラウドなどのあらゆるログを取り込み、不審な挙動の検知と対応を行う。SEIMやSOARなどの機能も含んでいる。
EDR・・・Endpoint Detection and Responseの略。エンドポイント(端末)の振る舞い検知とインシデント発生後の対応を行う。
NDR・・・Network Detection and Responseの略。ネットワークのトラフィックを監視し、不審な通信の検知を行う。製品によっては他の製品と連携し対策も可能。
XDR大抵のXDR製品はベンダーロックインとなるが、Stellar Cyberなどのように既存の製品のログを取り込めるXDRも存在する。
参考文献【XDR】
https://www.jbsvc.co.jp/useful/security/what-is-xdr.html(JBS)
https://www.pentio.com/news/2021_04_stellarcyber/(pentio)
XDRとEDR、NDR

EDRとNGAV、AV

概要EDRとNGAV(次世代アンチウィルス)、AV(アンチウィルス)の違いを簡潔に表すと以下のようになる。

AV・・・パターンファイルによるウィルス検知
NGAV・・・振る舞い監視によるウィルス検知(+パターンファイルによるウィルス検知)
EDR・・・振る舞い監視による不正アクセス検知+検知後の事後対応・調査
参考文献https://jichitai-sec.soliton.co.jp/interview4-2(ソリトン)
EDRとNGAV、AV

SD-WANとMPLS

最近、SASEのキーテクノロジーとしてよく目にするのが、SD-WANとMPLSです。

概要MPLS・・・自宅や拠点などから、DC経由でインターネットなどにアクセスする際に利用する技術
SD-WAN・・・DCを経由せずに本社や拠点から直接インターネットにアクセスする(ローカルブレイクアウト)際に利用する技術
MPLSMPLS(Multi Protocol Label Switching)
IPアドレスではなく、パケットに貼り付けたラベルを元にルーティングする技術
強制的に指定したルータを経由させることができ、特定の経路の通信負荷増大を抑えることができる。
SD-WANSD-WAN(Software Defined WAN)
同じような技術としてSDPがありますが、わかりやすく考えると以下の通りではないかと考えています。
SDP・・・インターネット上のユーザが企業内ネットワークにアクセスの際に利用する技術(ユーザ端末にソフトウェアを導入して実現)
SD-WAN・・・企業の本社や拠点からインターネットにアクセスする際に利用する技術(本社や拠点に対応するルータを導入して実現)
参考文献【共通】
https://www.youtube.com/watch?v=82ZzynEFfbc(Youtube)
【MPLS】
https://wa3.i-3-i.info/word12054.html(わわわIT用語辞典)
https://www.juniper-ne.jp/blog/trend/benefitsofmplsandcasestudies.html(Junipedia)
【SD-WAN】
https://www.sbbit.jp/article/cont1/33679(sbbit)
SD-WANとMPLS

ZTNA(クラウド型SDP)

概要SDP にはオンプレ型とクラウド(SaaS)型があり、ZTNAはクラウド型SDPのと同じと考えて良い。
また、インターネット上の端末からプライベートネットワーク(社内ネットワーク等)へのセキュアなアクセス機能をZTNAと呼ぶのに対し、パブリックネットワーク(インターネット上のサーバ等)へのセキュアなアクセス機能をSWGと呼ぶ。
参考文献https://www.uniadex.co.jp/annex/security/blog/detail/20200612_ztna-sdp.html(IT Security ANNEX)
https://licensecounter.jp/engineer-voice/blog/articles/20210125_ztna.html(C&S Engineer Voice)
ZTNA

SDP(ソフトウェア・デファインド・ペリメタ)

概要ソフトウェアにより境界を防御していこうというのがSDPの考え方であり、従来のVPN機器の課題であった不正アクセスのリスクを軽減する。
背景従来は物理機器によりインターネットと企業イントラネットの境界を定めていたが、ワークスタイルの変化や利用機器の多様化によりその考え方は限界に来ている。
また、従来のVPN機器では不正アクセスのリスクが高く、また従業員がインターネットに接続する際に、VPN装置⇨DC内のゲートウェイを経由することから、通信の不安定性につながっていた。
キーテクノロジーSDPはSDPホストとSDPコントローラの2つで構成され、それぞれがデータ通信の制御と管理を分担して担当する。なお、SDPホストはInitiating-SDP(VPN接続元のPC)とAccepting-SDP(VPN接続先サーバ)の総称である。
従来のVPNは最初からVPN接続を受け付けるポートを開いている為に不正アクセスを受けやすくなっていたが、SDPの場合、Initiating-SDPがSDPホストの認証をクリアしない限り、Accepting-SDPのネットワーク情報が開示されず、不正アクセスを受けづらい。
適用方法クラウドの入口を固める重要な機能であることから、SASE導入においては一番に考えないといけない機能と思われる。
参考文献・https://locked.jp/blog/what-is-software-defined-perimeter/(情シスのミカタ)
・https://licensecounter.jp/engineer-voice/blog/articles/20190920_zero_trust_sdp.html(SB C&S)
・https://licensecounter.jp/engineer-voice/blog/articles/20200727_sdp-point.html(C&S Engineer Voice)
SDP

SWG(セキュア・ウェブ・ゲートウェイ)

概要従来はProxy、URLフィルタ、アンチウィルス機能などWebセキュリティに関する対策製品をオンプレに置いていたが、その機能を高度化しクラウドに設置したもの。
背景攻撃の高度化に対応する為、複数のセキュリティ対策を実装していくに伴い、オンプレのゲートウェイとして設置していくには負荷が高くなってきた。また、ワークスタイルの多様化に対応する為、あらゆる場所から接続できるようにクラウド上にそれらの機能を実装するニーズが高まってきた。
キーテクノロジーあらゆるWebセキュリティが含まれるが、DLP やCASB までをSWGに含めるかどうかは提供ベンダーにより違いがある。
適用方法後段のSASEを構成する1機能として導入していく形になると思われる。(ガートナーによるとまず手をつけるべきは認証強化とのことだが。)
参考文献・https://www.tcs.com/jp-ja/DTS/Cyber_sec/Cloud_SWG(TCS)
・https://www.ctc-g.co.jp/cms/contents/data/22/179/componentFile_FILE_1_1_160732805512011241375fcde137b6dff13_179.pdf(CTC)
SWG

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA