サイバーレジリエンスを高めるための5つのステップ

今回は「サイバーレジリエンスを高めるための5つのステップ」についてご紹介します。

関連ワード (マイクロセグメンテーションのベストプラクティス、特集・解説等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 サイバー攻撃の複雑化・巧妙化を受け、企業のセキュリティ対策は、「侵入させない」から「侵入前提」へと移行しなくてはならない。その際には、いかに早期に不正侵入を検知し、被害を最小限に抑えて復旧するかというレジリエンス(回復する力)が課題となる。今回は、企業がレジリエンス能力を高めるために必要な5つのステップを紹介する。

 これまで企業は、「侵入させない」セキュリティ対策に注力していた。これからは「侵入前提」、つまり「避けることができない侵入もあるため、既にネットワークへ脅威が侵入し、IT環境や情報資産が侵害されているかもしれない」という考え方に切り替える必要がある。それを実現するには、「ゼロトラストフレームワーク」の導入が有効となる。

 これまでのセキュリティ対策は、企業ネットワーク内部のトラフィックを自動的に信頼し、外部からのアクセスには危険なものや悪意のあるものがあるとして、ユーザー認証などを実施していた。ゼロトラストの考え方では、ネットワークの内部・外部を問わず、あらゆるソースからの自動アクセスを排除し、代わりに「ホワイトリストモデル」を採用する。

 ホワイトリストの要素は、ユーザー、デバイス、アプリケーション、ネットワークであり、例えば、ユーザーは同じでもデバイスがいつもと違う場合には、追加の認証を行う。また、ネットワーク内でのラテラルムーブメント(水平移動、IT環境内のさまざまな領域へのアクセス)は、許可されたもの以外は遮断される。つまり、エンドポイントデバイスがマルウェアに感染しても、そこで封じ込めることができるので、感染の拡大を防ぐことができる。

 ネットワークを健全に利用できるようネットワークにガバナンスを適用することは、ゼロトラストフレームワークを実現する重要なアプローチである。このネットワークガバナンスでは、誰がどこにアクセスできるかをきめ細かく設定できる必要があり、アクセスを許可する際には、最小権限の原則に基づいて許可することがポイントとなる。

 現在のサイバー攻撃による不正アクセスでは、侵入したマルウェアがラテラルムーブメントを行い、Active Directoryのコントローラーなどに不正アクセスし、権限の昇格を行う。ラテラルムーブメントが起きている際に最小権限の原則を適用することで、たとえ攻撃者がActive Directoryのコントローラーにアクセスできたとしても、何の操作も行えないようにできる。ラテラルムーブメントそのものを遮断することも可能だ。

 具体的には、管理者がネットワーク上での通信を許可されたアプリとサービスを定義し、次にネットワークを監視・分析・把握して、見落としがないことを確認する。最後に、許可されていないものをブロックするために、その制御をオンにする。最小権限のアプローチにより、管理者は不要なネットワーク通信を簡単に停止することが可能になる。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
CAN EATと南海電鉄が食物アレルギーのある人も安心して食事を楽しめる店舗情報マップ作成企画を開始
フードテック
2021-04-29 05:33
幕張駅そば店に2本腕の調理ロボ 単腕ロボの3倍のスピードで調理
IT関連
2021-03-11 16:17
スマートフォンで3Dスキャン&データ編集が行えるスマホアプリ「WIDAR」を手がけるWAGOが1.1億円のシード調達
IT関連
2022-03-24 21:42
防災ラジオライトを20年製造してきたメーカーが「手回し充電」を廃止 理由はスマホ
くらテク
2021-03-12 14:05
Anker、FMトランスミッター4製品を自主回収 総務省の調査を受け
IT関連
2021-02-15 08:02
コードとその変更を視覚化するCodeSeeがセカンダリーシードで約8億円調達
IT関連
2022-01-23 21:19
分身ロボカフェ常設店、日本橋にオープン
IT関連
2021-06-23 12:36
「Chromebook」誕生から10年、急成長を支える実力–「Windows」の牙城揺るがす?
IT関連
2021-05-18 13:02
Boston Dynamics、ピッキングフォークリフトを不要にする倉庫ロボット「Stretch」を披露
ロボット・AI
2021-03-31 17:20
ついにアップルが導入開始した「アプリのトラッキングの透明性」について知っておくべきこと
ソフトウェア
2021-04-28 04:28
電動「ねこ車」のCuboRexが愛知県の海岸清掃プロジェクト「表浜 BLUE WALK 2021」とコラボ、作業効率化の実証実験
モビリティ
2021-08-03 21:07
語学学習のDuolingoが子供向け数学アプリを開発中、CEOが明言
EdTech
2021-08-08 03:05
フェーズドアレイ気象レーダーの複数展開で線状降水帯の予測精度を大きく改善できることを富岳のシミュレーションで確認
IT関連
2022-03-09 11:44
上っ面の業務自動化ではなく、本質的な自動化に必要なこと
IT関連
2022-06-10 13:44