法人のお客さまに起こりがちな状況
コロナ禍が続いた2021年も、情報セキュリティの観点では変わらずさまざまな企業で被害が発生し、大手企業であっても情報流出、ランサムウェアによる被害をまぬがれることはできませんでした。
また、中小企業の方からもテレワークの推進で回線が重くなったことによる不満が出たり、社外から接続することに対してセキュリティ面での不安があったりするなどの話も伺います。
中でもMicrosoft 365はマルウェア被害の侵入経路として代表的なメールクライアントのOutlookやウェブ会議で帯域を圧迫するTeams、機密情報が保管されるOneDriveなど多面的なリスクを持ち合わせています。
管理対象の増加もあり負荷が増える一方の情シス担当部門として、できることは何があるのでしょうか?
今回は社内での立場(レイヤー)ごとに考えるべき観点と対策についてお伝えします。
Microsoft 365でのインターネットブレイクアウト導入とセキュリティ確保
CIOやマネージャーなど、経営・管理職にとって投資は社としての目標達成のための手段です。当然その中にはプラスになる面とマイナスになる面があり、ほとんどのケースではメリット/デメリットを整理しながら意思決定を行うことになります。
例えば、コロナ禍において顕在化した投資を検討するべき課題と言えば、トラフィックの増大への対処とセキュリティの確保が挙げられるのではないでしょうか。
外出がはばかられる中、テレワークが推進されたことにより事業所外で業務を行う従業員が増えました。事業所外であっても会社としてセキュリティレベルは維持しなければならないため、通信はVPNを使って暗号化し、たとえインターネット上の認められたクラウドサービスでも、本社のネットワークを経由して(IP制限による従来の境界防御)アクセスさせている、と言うケースは多いのではないでしょうか。
しかし、ここで課題となるのがVPN回線の帯域幅です。実際、社員の半数以上が日常業務で外部から接続することを前提としてVPN回線を構築している企業はあまり多くはないと思います。
結果としてVPNへのトラフィック増大によってネットワーク帯域が逼迫(ひっぱく)し、業務効率低下につながってしまうことが発生しております。
この問題の初手の解決方法が「インターネットブレイクアウト」です。簡単に説明すると、社内ネットワーク外(=境界防御外)の、例えばテレワークなど自宅からのインターネットアクセスは、社内ネットワークを通過せずに直接接続することを指します。
中でも多くの企業で利用頻度が高いMicrosoft 365などの企業向けクラウドサービスは、通信自体をhttpsでの暗号化をしており、インターネットブレイクアウトとの相性が非常に良いサービスです。OutlookやTeams、OneDrive等外部とのデータのやりとりに多くのスレッドを吐くために転送量が高めであり、これらの通信を社内経由にせずに「外(=自宅など)から、外(=クラウド)に」接続するだけでも、VPNへの負荷が下がり、効率的なネットワークの利用が可能になります。
一方で、セキュリティの観点から見るとどうでしょうか?
VPNを経由せずに直接インターネットに出ているということはhttpsでの秘匿性はあるものの、不正なサイトへのアクセスや情報漏えい、統制・監査の低下など安全性が担保されない状態となってしまいます。企業としての課題を解決する立場としては、当然見過ごすことができません。
ここへの対応策として挙げられるのがセキュアWeb ゲートウェイ(SWG)になります。
不正プログラム対策、Webレピュテーション機能、プロキシ/SSL複合化などさまざまな観点でのポリシーを設定し、通信時にSWGを通すことでインターネット接続時の通信を精査します。
しかし、ここで1点、考慮しておく点があります。
Microsoft 365では大量にスレッドを吐きセッションを継続することでクラウドアプリの遅延を引き起こすためMicrosoft社から「プロキシでのバイパスが推奨」されているおり、各社のSWGではその検査をスルーまたは迂回し検査されないことを理解しておかなければなりません。(Google Workspaceも同様)
通信の種別は異なりますが、Microsoft 365での危険なメールのすり抜けデータ(*1)などからも、今日のMicrosoft 365へのセキュリティは強化しておきたく、SWGとは別にAPIを利用した(=インラインに入らない)補完によるTrend Micro Cloud App Securityのようなセキュリティ確保が推奨されます。
こうした構成でのセキュリティ環境を整える投資を行うことで、ようやくトラフィック増大への対応とセキュリティ確保の一歩目を踏み出したと言えます。
自社のセキュリティの「見える化」に向けたダッシュボード構築
個々の課題に応じてセキュリティソリューションを導入した結果、製品やメーカーの数だけ管理コンソールが存在し確認するだけで 時間がかかってしまうようなケースがあるのに、担当者目線では目の前の業務に追われ、なかなか気づきにくいといったケースがあります。
経営層・管理職の立場としてこうした状況はコストの面(担当者の時間が浪費されていること)、リスクの面(確認する項目が多くなることで見落としが発生する)どちらで考えても放置してはいけない課題です。
そこでここ数年勧められてきたのが、SIEMの活用です。ファイアウォールやIDS/IPS、プロキシなどさまざまなセキュリティ製品から出力されたログやデータを集約すれば問題ないでしょうか?
これについてもセキュリティ運用の見える化と迅速な対応という点では課題が残ります。
集められたデータはただの文字列であり、適切な加工を施し使える形で見える化(ダッシュボード化)しなくてはアラートの洪水を引き起こすだけです。そのためには各生ログやデータの関係性をシステムが判断して個々のデータだけでは見えない危険をつなぎ合わせて、絞り込まれた警告に基づく対処を行う仕組みが必要です。
例えばTrend MicroではTrend Micro Vision Oneのソリューションとして、各セキュリティに対してオプションとして付くWithXDRの各製品がセンサーとなり検知・アクセス等のログを集約、XDRによるクロスレイヤで相関分析することで、ここの検知データではなく一連の攻撃の流れとして整理されたアラートとして、また、そのアラートも同種別の攻撃をまとめたインシデントとして扱うことで、事後対処に必要な「見える化」と「対処の迅速化」を支援します。
また、こうした相関分析を含めた脅威調査・自動調査を謳う他メーカーも徐々に現れてきましたが、脅威調査や自動調査の質を支えるのは「検知力」であり、検知力を支えるのは「自社での解析」とその解析に基づく「パターンファイルやAIの作成力」です。OEMなどで他社から供給を受けなければならないセキュリティベンダーも少なくない中、トレンドマイクロは解析に必要な技術者を日本にも配置し、自社にてコアテクを開発・運用する、永年の経験を持つセキュリティ専門メーカーとして稀有な存在であり、それがお客さまのセキュリティ課題に応えられる要因であると自負しております。
実務で見るMicrosoft 365のセキュリティ対策の第一歩
前段でご紹介した脅威に対して、実務担当者として行うべきは、まず現状の把握です。
ソリューションありきで脅威に対抗するとオーバースペックな構成になったり対策がずれていて効果的な内容になっていなかったりするケースがあります。
こうしたミスマッチを防ぐため、ソリューション導入を検討している状況であっても可能であればTrend Micro Security Assessment ServiceのようなMicrosoft 365メールセキュリティ評価サービスを利用し、現時点で抱えているリスクがあるかどうか、それはどのようなリスクなのかを把握するようにしましょう。
導入するべきソリューション自体の選定に対しても参考になるインプットとなるはずです。
参考:https://www.trendmicro.com/ja_jp/about/announce/announces-tmsas-20200629.html
実際に自社のセキュリティリスクが潜んでいることがわかれば、経営層へのソリューション導入に対する合意も取りやすくなります。セキュリティを強化すべきポイントを定量的に把握し、効率的な予算確保の足掛かりとしても、こうした無料のサービスをご活用いただくことでエビデンスを用意することが大事なステップと言えます。
情報セキュリティ対策は各レイヤーで課題認識と着実な対応策を
Microsoft 365は業務用アプリケーションとして日本の多くの企業で活用されています。
このサービスは現在クラウドサービスの普及とテレワークの推進によって、いかにセキュアな環境で負荷なく利用できるかが重要な課題となっています。
同時に日々進化する外部からの攻撃に対する備えも重要です。企業はニューノーマルの環境に適応した社内ネットワークの構成と、そこに対する適切なセキュリティ環境の構築が必須となっています。そのためには、各レイヤーにおいて自身が解決すべき課題の設定と適切なアクションが行わなければなりません。
今回ご紹介した内容を参考にしていただき、現状に応じたブラッシュアップを行ってみてください。
トレンドマイクロからのアドバイス
Microsoft 365は、更に多くのお客さまへ導入されていくと思われます。
しかし一方で、今回ご紹介したようにMicrosoft 365をご利用の弊社のお客さまやPoCなどのデータを見る限り、その活用のためにはセキュリティの追加、確保が前提としてあるべきと考えます。
トレンドマイクロではMicrosoft 365と連携したテレワーク環境下においても高いセキュリティレベルを維持できるソリューションを取りそろえています。
ぜひ自社の状況を整理したうえで、不足している部分に合わせたソリューションの導入をご検討ください。
高度な脅威からクラウドメールサービスのメールやファイル共有サービス上のデータを保護
Trend Micro Cloud App Security™(CAS)はMicrosoft 365のメールサービスやファイル共有サービス等でやりとりをするメールやファイルに含まれるランサムウェアや標的型サイバー攻撃によく利用されるOfficeファイルをはじめとするビジネスでよく使用される形式のファイルに潜む不正プログラムを検出します。
ドキュメントエクスプロイトの検出技術と挙動分析により未知の不正プログラム、不正URLも検出できるメール・コラボレーションセキュリティ製品で人間のセキュリティ意識と合わせ効果的にランサムウェアを防御することができます。
※すべての未知の脅威に対応するものではありません
また、トレンドマイクロではExchange Onlineを使用しているお客さま向けに今まですり抜けていた脅威をスポットで可視化するためのサービスとして以下のサービスをご提供しております。
ご活用いただける環境にありましたらぜひお試しください。
Exchange Onlineのクラウド上にあるメールボックス内に残っている脅威を可視化
Trend Micro Security Assessment Service™は企業が直面する高度な脅威から効果的に守られているかどうかを確認できるMicrosoft 365のメールサービス (Exchange Online) 向けの無料メールセキュリティ評価サービスです。
検出した脅威情報を詳細なレポート形式でご提供し昨今の脅威からどの程度保護されているかが検証可能となっています。
事前予防と事後対処を実現するエンドポイントセキュリティ
Trend Micro Apex One SaaSはセキュリティをクラウドからサービスとして提供する (Security as a Service)として、クラウド基盤を活用した新しいインシデント対応を行っています。
管理サーバのメンテナンスを不要とし、自動アップデートにより運用管理工数を大幅に削減、管理コストの最適化を図ることのできる「サービスとしてのセキュリティ (SaaS)」です。
先進技術と実績ある技術を融合したXGen(クロスジェネレーション)のセキュリティアプローチによりスクリプト、インジェクション、ランサムウェア、メモリ、ブラウザ攻撃に対する効果的な保護を実現するほかWebレピュテーション機能によって不正URLへのアクセスをブロックすることでフィッシング被害を抑制することも可能です。