ネットワーク セキュリティ: エンドポイントのセキュリティにおける 4 つの支柱
この記事で紹介するネットワーク セキュリティの基本を抑えると、悪意のあるユーザーを締め出して、適切なデータのみを受け付けられるようになります。
Dan Griffin
企業のネットワークと資産は、絶えず侵入者からの攻撃にさらされています。企業のネットワーク境界が透過的であるため、この問題がさらに複雑になっています。セキュリティが確保された IT インフラストラクチャで作業をしているとき、多くの企業の主要目的は、ビジネスのスムーズな継続性を確保することです。ですが、攻撃者が、ユーザーのコンピューター、モバイル デバイス、サーバー、またはアプリケーションに危害を加えることがあるため、エンタープライズ環境では、ダウンタイムが頻繁に発生します。
分散型サービス拒否 (DDoS) は、帯域幅が枯渇する問題を引き起こす種類の攻撃です。過剰なネットワーク負荷が発生する条件は他にも多数あることを認識することが重要です。ピア ツー ピアのファイル共有、ストリーミング ビデオの多用、ピーク時における社内/社外サーバーの負荷の増大 (たとえば、小売業界のブラック フライデー) は、どれも社内ユーザーと社外の顧客ユーザーの両方がネットワークの速度が低速だと感じる要因となります。
ストリーミング ビデオは、帯域幅を多く使うアプリケーションの一例ですが、業界を問わず、中核となる企業活動でストリーミング ビデオに依存する企業が増えています。地理的に分散している企業では社内のコミュニケーションに、商標管理企業ではメディア キャンペーンに、軍隊では命令と統率にストリーミング ビデオを使用しています。
このような事情から、不安定な状況が生まれました。DDoS は、簡単に企てられる攻撃で、ストリーミング ビデオの機能は、使用可能な帯域幅の量の影響を大きく受けます。また、正常な状態でも、ネットワークの負荷は既に高い状態になっています。そのため、これらのテクノロジが企業に与える影響は、ますます大きくなります。
IT 管理者は、このような事態に備えておく必要があります。リソースの用途、ネットワーク上のデバイスの保護、重要なネットワークの帯域幅を保護することについて、長期的な視点に基づいた思考と計画を変更する必要があります。このエンドポイント セキュリティ モデルは、この考え方を現実に即して調整するのに役立ちます。
4 つの支柱
4 つの支柱の基本的な前提は、攻撃を受けているときでも、ネットワークが機能するようにすることです。まず、エンドポイントを特定します。エンドポイントが何かと言うと、このモデルでは、実際に処理を行うデスクトップ、サーバー、およびモバイル デバイスのいずれかになります。
これらのエンドポイントを考慮すると、これを保護するための戦略が不可欠です。この戦略 (エンドポイントのセキュリティにおける 4 つの支柱) には、次の目標があります。
- 攻撃からエンドポイントを保護する
- エンドポイントが自動的に回復するようにする
- ネットワークの帯域幅を保護する
- ネットワークが自動的に回復するようにする
これらの目標を考慮すると、エンドポイントのセキュリティを効率的に確保するための 4 つの支柱は次のようになります。
- エンドポイントの強化
- エンドポイントの復元性
- ネットワークの優先順位付け
- ネットワークの復元性
各支柱ごとに、考慮しなければならない個別の目標があります。1 点目としては、処理はできるだけ自動化することをお勧めします。と言うのも、1 日という時間は限られており、IT 管理者のスケジュールには既に余裕がないからです。
2 点目は、発生している現象をリアルタイムで把握できるように、ネットワークを一元的に監視することです。復元性に関する 2 つの支柱の目標は、この監視に必要な労力をできる限り削減することですが、手動による防衛や対策を講じなければならないことがあります。正常な状況下でも、機器が機能しないことはあります。
3 点目は、フィードバックのループを確立することです。攻撃は非常に巧妙になっているので、防衛策は、絶えず適切な投資を行って強化しなければ、進化する攻撃に対応し続けることができないことを覚えておく必要があります。また、これまでの経験から、ネットワーク セキュリティへの投資は、企業にとって重要な出費として正当化するのが難しいという問題があります。
定期的な監視とフィードバックが不可欠なのは、そのためです。ネットワーク境界と社内ネットワークで実際に発生している脅威と攻撃についての理解が深く、それらを実証できるほど、このような企業の資産を保護するための注意喚起と出費を適切に正当化できるようになります。
エンドポイントの強化
1 つ目の支柱「エンドポイントの強化」の目標は、ネットワーク資産で最新のテクノロジが使用されるようにして脅威から保護することです。一般的な脅威には、安全でない電子メールの添付物、ネットワーク経由で増殖するワームのようなウイルス、Web ブラウザーへの脅威となるものなどがあります。
攻撃に対する対策としては、ウイルス対策ソフトウェアとマルウェア対策ソフトウェアを使用できます。また、OS によって適用される必須の整合性レベルによって、コンピューターのアプリケーション プロセスを潜在的なマルウェアから分離 (サンドボックス化) することも対策になります。このような保護は、Windows Vista と Windows 7 で実行している Internet Explorer 7 と Internet Explorer 8 に適用できます。
セキュリティを確保するうえで役立つ機能強化は、ホスト全体の分離の設定を一元的に展開して管理できることです。この機能を活用するには、サードパーティ製のアプリケーションがシームレスに動作して保護されるような方法を使用して展開して管理する必要があります。
監視が、この支柱に、どのように当てはまるかと言うと、ネットワーク資産に対する侵入は、測定可能な方法で現場で監視する必要があるということです。予想していない動作のパターンにも注意する必要があります。
エンドポイントの復元性
エンドポイントの復元性の目標は、デバイスとアプリケーションの正常性情報を常時収集して監視することです。このようにすると、問題が発生したデバイスやアプリケーションを自動的に修復して、運用を継続できます。
エンドポイントの復元性を強化するテクノロジには、ネットワーク アクセス保護、Microsoft System Center などのベースラインの構成と管理を行うツールがあります。この分野で以前より進歩したものは、これらのテクノロジを連携して、拡張可能な標準化されたベースラインに基づいて自動的に回復する動作を作り出せるようになったことです。
監視が、この支柱に、どのように当てはまるかと言うと、どのコンピューターがコンプライアンスに準拠していないか、どの点がコンプライアンスに準拠していないのか、このような状態になったのはいつか、という領域の動向を考えてみるとわかります。これらの動向は、どれも潜在的な脅威 (内部の脅威、外部の脅威、構成エラー、ユーザーによるエラーなど) になるおそれがあります。このように脅威を特定すると、巧妙化と分散化が進んだ攻撃に対しても、エンドポイントを堅牢な状態に保つことができます。
ネットワークの優先順位付け
ネットワークの優先順位付けの目標は、インフラストラクチャが、アプリケーションで必要な帯域幅のニーズに常時対応できるようにすることです。この考慮事項は、ピーク時だけでなく、ネットワーク負荷が突発的に急増したり、分散型の外部/内部からの攻撃が発生したときにも当てはまります。
DiffServ や QoS は、アプリケーションの帯域幅を管理できるテクノロジの一例です。ただし、この支柱は、必要なものと現在購入できるものの間にある技術格差を表しています。今後、ユーザー ID、アプリケーション ID、およびビジネスの優先順位を統合するソリューションが役立つときが来るでしょう。このようなソリューションがあれば、ネットワーク ルーターでは、その情報に基づいて帯域幅を自動的に分配できるようになります。
監視が、この支柱に、どのように当てはまるかと言うと、ネットワーク ルーターでは、傾向分析のフロー ログを記録する必要があります。今日のフローは昨日のフローとどのように違うのか。負荷は増加しているのか。新しく使用されたアドレスはどれか。そのアドレスは海外のものか。効率的かつ包括的な監視を行うことで、このような疑問を解消できます。
ネットワークの復元性
ネットワークの復元性の目標は、シームレスな資産のフェールオーバーを実現することです。この領域の技法では、パフォーマンスの低下に応じてリアル タイムでネットワークを再構成できるのが理想的です。この支柱は、管理の負担を最小限に抑えるためにネットワークの自動回復を促進することを目標にしているという点でエンドポイントの復元性と似ています。
ただし、この支柱では、フェールオーバーと冗長性について大きなスケールと小さなスケールの両方で考慮する必要があることに注目しています。たとえば、クラスター化テクノロジを使用して、データセンターで特定のノードにフェールオーバーの機能を持たせることはできますが、データセンター全体または地域をフェールオーバーするにはどうしたら良いでしょうか。確かに、事務所、基本的なサービス、そして何よりもスタッフについても考慮する必要があるので障害回復の計画に関する問題は依然として広範囲に及んでいます。
この支柱に関連のあるテクノロジには、クラスター化以外に、レプリケーションや仮想化があります。監視が、この支柱に、どのように当てはまるかと言うと、フェールオーバー テクノロジは一般的に監視によって成り立っています。また、企業は進化する必要があるため、負荷に関するデータは、リソースと取得計画に使用できます。
各支柱に対応する
このエンドポイントのセキュリティにおける 4 つの支柱のそれぞれに対応する際には、多くの企業で十分に活用されていないか、まだ展開されていない市販のセキュリティ テクノロジ、ネットワーク テクノロジ、およびビジネスの継続性のテクノロジを使用できる可能性が高いと思います。そのため、IT 管理者には、次のような機会があります。
- 4 つの支柱または別の構想を使用して、ネットワーク防衛策における脅威とギャップを特定する
- 自動化と監視に追加の投資を行う
- ビジネスの意思決定者と密接にかかわって、このような取り組みのコストとメリットについて説明する
これらの支柱の 1 つまたは複数について、簡単に利用できる最新のテクノロジを既に駆使している企業もあるでしょう。そのため、企業家にも多くのチャンスがあります。重要なのは、この必要不可欠な 4 つの支柱に対応できるように考え方を変えることです。
.jpg)
Dan Griffin は、シアトルを拠点に活動しているソフトウェア セキュリティ コンサルタントです。Dan には、www.jwsecure.com (英語) を通じて連絡を取ることができます。