エンタープライズ セキュリティとは
エンタープライズ セキュリティは、社内の機密事項や企業の専有情報に加え、プライバシー法に関連する従業員や顧客のデータを含む多面的な懸念事項です。Facebook、Yahoo!、Target、Home Depot、Equifax などの国際的な大手企業で重要な顧客データがハッカーに流出し、いずれも多額の罰金を科され、政府の介入を受けたことから、エンタープライズ セキュリティがますます注目されるようになっています。これまで企業の最大の懸念事項は、プロプライエタリ コードや企業秘密を競合他社や偽造者から保護することでした。現在は、消費者データを悪用したり、紛失したりした組織に多額の罰金を科す可能性があることを定めた、米国や EU の新しいデータ プライバシー法に直面しています。ビジネス プロセスのサポートを目的にクラウド インフラストラクチャを利用するようになったことで、IT における企業のセキュリティに新たな課題がもたらされています。
エンタープライズ セキュリティでは、事実上、データセンター、ネットワーク、Web サーバの運用に重点が置かれていますが、厳密には人的リソースから始まります。一部のセキュリティ リサーチャーによると、成功したすべてのハッキング攻撃のうち、ソーシャル エンジニアリングを根本原因とするものが 3 分の 2 にも及びます。ソーシャル エンジニアリングを用いた攻撃では、人間の弱点、従業員の誠実さ、個人の騙されやすさなどを攻撃者が悪用して、ネットワークやデータ リソースにアクセスしようとします。たとえば、E メールを利用したフィッシング攻撃は、マルウェアをダウンロードしてインストールするリンクを従業員にクリックさせようとします。ビッシング(音声または VoIP によるフィッシング)攻撃では、ハッカーがさまざまな従業員に電話をかけ、パスワード情報など、ネットワーク セキュリティの侵害につながる内部情報を言葉巧みに聞き出します。スミッシング(SMS フィッシング)、ベイティング、スピアフィッシング、水飲み場型攻撃は、いずれもソーシャル エンジニアリング プロセスを利用した同種のハッキング手法です。極めて堅牢なネットワーク セキュリティ システムであっても、これらの攻撃ベクターに侵害される可能性があります。こうした攻撃に対抗するには、トレーニングを実施して従業員の意識を高めるとともに、入念な調査やスクリーニングを行うしかありません。
スクリプトベースの自動化されたハッキング攻撃は、ログイン画面、問い合わせフォーム、データベース検索クエリ、バックエンド管理プロセスなどの情報入力ポイントを利用して、Web サーバやオンライン アプリケーションなどのデータセンター リソースに繰り返し攻撃を仕掛けます。スクリプトボット攻撃の一般的な例としては、MySQL インジェクション ハッキングやクロスサイト スクリプティング エクスプロイトがあります。安全対策が施されていないフォームを利用してサーバにコードが送信されると、すべてのテーブル情報を含めたデータベース全体、パスワード、機密性の高い顧客の財務データなどを失う可能性があります。コード インジェクション ハッキングは、ハッカーが完全な管理アクセスを取得する可能性があるパスワード クラッキングと異なり、FTP やコマンドラインを利用してサーバへのバックドアを作成します。これに成功したハッカーは、通常、侵入したネットワーク システムの偵察に 30 日 ~ 90 日を費やし、その後でデータベース情報を転送したり、悪意のあるリモート コードをインストールするなどのプロセスを開始します。
VMware Security の概要
グローバル インシデント レスポンス脅威レポート:現実を操る
エンタープライズ セキュリティが重要な理由
エンタープライズ セキュリティ アーキテクチャ
エンタープライズ セキュリティ アーキテクチャは、物理的なアクセス、ソーシャル エンジニアリング、スクリプトボット攻撃をターゲットにすると同時に、パスワード入力システムをクラッキングから保護し、ユーザー入力チャネルをリモート コード インジェクションから保護する必要があります。ネットワーク ファイアウォールは、悪意のあるハッキング攻撃に対する主要なバリケードとみなされます。現在、ほとんどのネットワーク ファイアウォール ソフトウェア パッケージには、パケット データをリアルタイムでスキャンし、潜在的ウイルス、マルウェア、ワーム、ランサムウェアを見つけ出す機能が搭載されています。アンチウイルス スキャンの問題点は、これが事後対応のセキュリティ アプローチであり、マルウェアを検知するには、事前にそのマルウェアが専門機関によって特定されている必要があることです。「ゼロデイ」攻撃では、攻撃者は、セキュリティ専門家によってまだ特定または分類されていないエクスプロイト コードを使用して、ネットワーク、ソフトウェア プラットフォーム、ファームウェア デバイス、またはオペレーティング システムに侵入します。ゼロデイ攻撃は事前に防御できないため、企業は必然的に、脅威が発生した時点でそれを効果的に隔離して封じ込める、多層的セキュリティ ポリシーを実装する必要があります。
物理的なアクセスを制限した後は、データ転送時に暗号化を使用することと、ファイアウォールを設定して権限のあるユーザーにアクセスを許可することが、エンタープライズ セキュリティのもっとも基本的な 2 つの要素となります。現在、ユーザー サインオン システムを備えているほとんどのプラットフォームでは、ログイン時に間違ったパスワードを 5 回以上入力すると、そのユーザーはロックアウトされるようになっています。単一の IP アドレスから繰り返し行われる不明なログイン試行は、IP ブロックによって軽減できます。ファイアウォール ソフトウェアにはアンチウイルス スキャンが統合されています。これにより、送信されたデータ パケットと既知のマルウェアのシグネチャをリアルタイムで照合し、有害なファイルを特定することで、フィッシング攻撃を受けて、ウイルス、ワーム、トロイの木馬を誤ってインストールしたり、ダウンロードしたりするのを防止できます。Web アプリケーション ファイアウォール(WAF)をインストールして Web フォームの保護をさらに強化すれば、クロスサイト スクリプティング攻撃や MySQL インジェクション攻撃を防ぐことができます。Symantec、McAfee、Trend Micro、Kaspersky、Bitdefender などのベンダーが提供するアンチウイルス ソフトウェアは、今日のエンタープライズ セキュリティに欠かせません。さらに、多くの企業は、本番環境での DDoS 攻撃を判別して防止するため、CDN のサービスを導入しています。
エンタープライズ セキュリティの基本的なベスト プラクティス
エンタープライズ セキュリティにおける現在の有効なベスト プラクティスは、物理的なセキュリティ、ファイアウォール、暗号化、詐欺防止、侵入検知、WAF、アンチウイルスなど、業界で利用可能なあらゆる手法を適用することですが、それでもハッカーは、システムに侵入し、ハードウェアを侵害してデータを窃取する方法を見つけ出そうとします。「被害を最小限に抑える」という原則のもと、できる限り短時間で侵入者を検知および特定すると同時に、データをより確実に隔離するシステムを構築して、攻撃の拡散を防ぐことを目指す必要があります。マイクロセグメンテーションは、エンタープライズ ネットワーク上の仮想マシンをそれぞれ分離することで保護し、侵入者が単一のエントリ ポイントからほかの施設へラテラルムーブメントするのを防ぎます。DMZ モデルは、ファイアウォール、バリケード、外濠に関連するアプローチです。このモデルでは、防御の外輪にプロキシ エッジ サーバを配置して分離を強化し、Web プロセスを LAN から切り離します。VMware vSAN データストアはエンタープライズ データベースの暗号化で使用され、VMcrypt はストレージ、アーカイブ、バックアップ ファイルの暗号化で使用されます。
エンタープライズ セキュリティを実施するうえで、管理者権限のエスカレーションも見過ごすことのできない重要な問題です。スーパー ユーザーや管理者の権限をより厳重に管理し、権限のないユーザーによって展開されたとき即座に検知する必要があります。侵入者、機密データの不正転送、管理者権限のエスカレーションなどの問題をより確実に検知するため、リアルタイムのネットワーク監視では、機械学習や人工知能を活用した分析の導入が進んでいます。パッチが適用されていないソフトウェア プラットフォームや Web サーバのオペレーティング システムは、ネットワーク侵害やデータ漏洩の大きな原因です。企業は、必要なアップデートが本番環境に即座に適用されるよう十分に配慮する必要があります。セキュリティのアップグレードを自動化することで、重要なパッチを適用する際の対応スピードが大幅に向上します。エージェントなしのアンチウイルスをハイパーバイザーのレベルにインストールし、マルウェア攻撃や侵入に対して、人手を介さず自動的にセキュリティ対応が適用されるよう構成できます。これにより、数百万台の仮想マシンを同時に並行して実行しているクラウド データセンターで、対応時間を大幅に短縮できます。