増大するエンドポイント端末のセキュリティ対策：Computer Weekly製品導入ガイド

年間何十億ものコンピューティングデバイスが会社のネットワークに加わっている。各端末にセキュリティポリシーを徹底させるためにはどのような課題があるのか。

[Karl Flinders，Computer Weekly]

　組織が多数の端末を使って従業員や顧客を幅広い相互システムに接続する中で、セキュリティ担当のIT幹部にとってエンドポイントのセキュリティ対策はかつてなく差し迫った課題になっている。私物の端末や、スマートメーターといった専用端末が会社のネットワークに接続され、最高情報セキュリティ責任者（CISO）は各端末に組織のセキュリティポリシーを徹底させるという課題に直面する。

Computer Weekly日本語版　1月7日号無料ダウンロード

• Computer Weekly日本語版　1月7日号：CIOがハマる5つの落とし穴

なお、同コンテンツのEPUB版およびKindle（MOBI）版も提供しています。

　これは大仕事だ。CW500 Security Clubのイベントで、CERT-UKの業務担当副局長ニール・カシディ氏は、2020年までにコンピュータ処理能力を備えた1000億の「モノ」がインターネットに接続される可能性があると予想した。現時点で既に、私物端末の業務利用（BYOD）などのIT戦略により、エンドポイントセキュリティ対策はCISOにとっての優先課題となっている。

　ITセキュリティ担当幹部が集まるCW500の会合は、ITの様相が変化する中でのエンドポイントセキュリティ対策について話し合う目的で開催された。英コンピュータ協会（BCS）フェローのニック・コールマン氏によれば、IT市場は流動的であり、エンドポイントがかつてなく問題になっている。「ITの様相は変化しつつあり、これまで相手にしたことのなかった多数の新しいサプライヤーに対応することになる。これは問題だ。会社に入ってくる新しい端末とアプリケーションは保証しなければならない」と同氏は話す。

　上級ITセキュリティ幹部は、それまで相手にしたことのないサプライヤーから続々と登場する製品を保証するために新しいアプローチを確立しなければならないとコールマン氏は述べ、「技術サイクルの速度が変化している。われわれは更新の頻度が速まっている新バージョンを保証しなければならない」と指摘した。

　同時にビジネスプロセスの一部として会社のネットワークに接続する端末も増えている。「CISOやIT部門は接続されるモノの増大に対応し、ネットワークと通信しようとするアプリの増大に対応しなければならない」。

　その好例として同氏が挙げたスマートメーターは、公益企業が使うアプリから決済用の銀行アプリまで、幅広いアプリに接続している。英政府の「GBスマートメーター導入プログラム」では、5000万台以上のスマートメーターを全英の家庭や事業所に導入することを目指す。このプロジェクトの目標は、ガスや電気の使用状況をモニターできるようにして、消費者や企業の効率的なエネルギー利用を促すことにある。

セキュリティアラートの増加

　コールマン氏によると、複数の端末やアプリケーションへの依存を強めたビジネスモデルの変化に伴ってデータの生成量は増え、セキュリティアラートは増加する。そうなれば不正な攻撃は検出しにくくなる。主な課題は、センサーが洗い出す何百万というアラートの中から有害なものに重点を絞って防止することにある。

　「接続するデバイスが増えれば増えるほど、セキュリティアラートも増える。その中から損害を生じさせる真に狙いすました高度な攻撃を見つけなければならない」（コールマン氏）

　セキュリティインテリジェンスは、攻撃の主要経路であると同時に攻撃が組織内を動き回る手段にもなるエンドポイントへとシフトしている。CISOはインシデントを食い止めるためのセキュリティ対策と、重大なリスクを見つけ出すセキュリティインテリジェンスに焦点を絞る必要があるとコールマン氏は言う。「セキュリティエンドポイントでは単なる予防策から予防とインテリジェンスへとシフトしなければならない」

　ベンチャーキャピタリストに支援されて市場に出てくるセキュリティインテリジェンス製品もある。このことは、セキュリティ供給の分野がその方向に動きつつあることを示している。だがリスクの検出が役に立つのは、情報に基づく決定ができる場合に限られる。「製品を検討する際は、少し詳しく調べてセキュリティインテリジェンスがどう提示されているかに目を向ける必要がある」とコールマン氏。

　法律事務所Schillingsのサイバーセキュリティ担当ディレクター、デービッド・プリンス氏は、BYODや企業のモバイル化は業務の効率性や有効性を向上させながらコストを引き下げる役に立っている半面、適切な計画がなければ脅威にもなり得ると語った。

Computer Weekly日本語版 最近のバックナンバー

• Computer Weekly日本語版　1月7日号：CIOがハマる5つの落とし穴

Computer Weekly日本語版　12月17日号：それでもWindows Server 2003を使うのか

Computer Weekly日本語版　12月3日号：iPad vs. Windows 8.1　勝者は？

Computer Weekly日本語版　11月19日号：データセンター管理者はもういらない

問題になるデータ

　同氏が引き合いに出したある顧客企業は、その会社に関して騒ぎが起きるような情報を握っており、もし暴露すれば大きな損害が生じるかもしれないと新聞記者から告げられた。

　その情報がどのような経緯で記者の手に渡ったのかをSchillingsが調べたところ、私物端末に会社の事業に関する社外秘情報を保存していた従業員から流出したらしいことが分かった。

　ありがちなことだが、この緊急事態がきっかけとなって、同社経営陣はセキュリティ問題に（この場合はBYOD問題への対応に）乗り出した。「それが顧問弁護士やCEO、役員会にも注目された」とプリンス氏。

　この時点で経営陣は、特にネットワーク上の端末の数の多さ、全般的なガバナンスの欠如を前提とするエンドポイント管理戦略の必要性を認識した。Schillingsは同社の適切な戦略の立案支援に着手した。

BYOD戦略

　このプロジェクトには、リスク管理、予算獲得、実現可能性、タイムスケールに対応するためのBYOD戦略の立案も含まれていた。これはIT投資の必要性と従業員研修に関するポリシーを会社に告げることになった。

　プリンス氏は言う。「全般的な戦略は、小規模で戦術的かつ測定可能で達成可能なステップに分割しなければならない。そうしなければ、セキュリティ戦略の導入はうまくいかない」。同社が問題に突き当たった一因は、「BYODに関してどっちつかずの状態だった」ことにあるという。組織にとって重要なのは、BYODに踏み切るかどうかを決めたら、その決定を貫くことだと同氏は指摘。「このケースでは、会社の態度がはっきりしなかったので、従業員がそこを突いて自分たちでやってしまった」

　モバイルネットワークプロバイダーLebara Mobileのセキュリティ＆コンプライアンス管理者レイ・カブレラ氏は、エンドポイントのセキュリティ対策のために講じるべき手順について解説した。同氏によれば、企業がポリシーと技術、研修を伴った正式なBYOD戦略を定めていないこともあるという。

　「BYODは勝敗を握る。IT部門に『自分の端末を電子メールに接続してほしい』と頼む従業員が増えている」。これは社外秘情報へのアクセスを伴うことから、セキュリティ対策が必要になる。IT部門はモバイル端末に関して重要な役割を担う。だがIT部門が常にBYODのリスクを完全に認識しているとは限らない。結果として、IT部門は端末と接続の手配をしても、リスクやそれがもたらす結果を認識していなければ、ポリシーが不適切だったり、あるいはポリシーが全く存在しないこともある。

予算内でのエンドポイントセキュリティ管理

　カブレラ氏もプリンス氏と同様、企業はBYODを採用するか締め出すかの選択をしなければならないと述べ、「われわれは採用することにした」と話す。その方針が決まると、同社はエンドポイント端末のセキュリティ対策に着手した。

　まず出発点として従業員に対し、自分の端末を調べて何にアクセスしているかをチェックしなければならないと告げた。経営陣に相談して、ポリシーや戦略の立案に着手するのはそれからだ。

　「われわれはモバイル端末管理（MDM）サプライヤーに接触した。中にはAirWatchやMobileIronなど、Gartnerに高く評価されているところもあった。MDMサプライヤーについて分かったのは、彼らは極めて現実的かつパワフルな方法でモバイル端末の電子メールを管理できる半面、コストが非常に高くつきかねず、予算を出費させるには、メリットを押し通すのが難しいかもしれないということだった」

　この追加的コストのために、企業は既に手元にあるソフトウェアを使ってモバイル端末管理のニーズに対応するためのソリューションを試し、作り出すことを真剣に検討し始めている。よく調べてみると、Microsoft ExchangeやActiveSyncを通じて既に多くのMDM機能を持っていると気付き始めた企業も多い。