効率的かつ正確にセキュリティ設定のチェックを

エンドポイントセキュリティの要
セキュリティポスチャマネジメントの課題

従来の境界型セキュリティに代わる対策として、情報資産にアクセスしてくるもの全てを信頼せず、常に正当なアクセス・利用者であるかを検証するゼロトラストセキュリティが広まっている。ゼロトラストセキュリティにおいて、ここ数年重要性が再認識されているのがエンドポイントにおけるセキュリティだ。米国国立標準技術研究所（ＮＩＳＴ）が発表している「ＳＰ８００-２０７ＺｅｒｏＴｒｕｓｔＡｒｃｈｉｔｅｃｔｕｒｅ※１」でも、ゼロトラストの基本的な考え方となる７つの理念のうち４つがエンドポイントに関わる内容を示している。このことからも、エンドポイントのセキュリティの重要性がお分かりいただけるだろう。しかし、エンドポイントの対策は企業にとっての負担が大きく、管理が行き届かないものもある。まずはその現状や阻害要因を探っていこう。

早稲田大学グローバルエデュケーションセンター非常勤講師

日立ソリューションズ
セキュリティソリューション事業部企画本部
セキュリティマーケティング推進部 Security CoEセンタ長
シニアエバンジェリスト

扇健一 氏

セキュリティポスチャマネジメント運用の実態

　NIST SP800-207 Zero Trust Architectureでのエンドポイントに関連する理念は次の4つだ。

・全てのデータソースとコンピューティングサービスはリソースと見なされる。
・リソースへのアクセスは、クライアントID、アプリケーション・サービス、要求元資産の監視可能な状態、そして行動および環境属性を含めた動的ポリシーによって決定される。
・企業は、全ての所有および関連する資産の整合性とセキュリティ状態を監視し測定する。
・企業は、資産、ネットワーク、通信の現状について、できるだけ多くの情報を収集し、セキュリティ態勢の向上に役立てる。

　それぞれの理念に該当する技術分野としては、IT資産管理、マルウェア対策、セキュリティポスチャマネジメント、デバイス認証などが該当する。IT資産管理を行い、そのIT資産に対しEDR※2の導入とセキュリティポスチャマネジメントを実施。取得したセキュリティ状態の情報を用いてデバイス認証し、ユーザー認証、位置情報、時間情報などと掛け合わせて動的なアクセス制御を行うといった具合にゼロトラストセキュリティの実装に活用されている。

　ここで厄介なのが、セキュリティポスチャマネジメントだ。多くの企業では、PCのセキュリティ状態を維持するために、情報システム部門が従業員に指示を出し、各自でのセキュリティ設定を促し、未対応者がいる場合はフォローなどをしているのではないだろうか。このように、セキュリティポスチャマネジメントはエンドポイントセキュリティの要にもかかわらず、運用は煩雑で負荷も高いものとなっている。

半数以上の企業が従業員による
チェックを実施

　それでは、企業のセキュリティ運用の実態を、2023年2月に当社が実施した「PCセキュリティ設定チェックの点検業務」に関する調査から分析していく。同調査によると、従業員がPCのセキュリティ設定チェック(メーラーやWebブラウザー、セキュリティソフトウェア、OSなどのセキュリティ設定が正しいかを点検)を行っている企業は57％と半数を超えていた。

　また、チェック内容については次の3点が上位を占めていた。

・OSやソフトウェアを最新の状態に更新
・ウイルス対策ソフトウェアの設定（週1回フルスキャンなど）
・必須または禁止ソフトウェアのインストール有無確認

　ほかにも、OSやWebブラウザー、メーラーなどに関わる設定やOfficeの設定（マクロ無効化など）もあるだろう。頻度については、「1カ月に1回」以上の企業が70％を占めた。また、チェック項目数は、「11項目」以上の企業が53％となった。多くの項目を高い頻度でチェックしている企業が多いことが分かる。1回当たりのチェック時間は30分未満が最も多く48％、30分以上が34％を占める結果となった。チェック頻度が多いほど、1回当たりのチェックが短くても従業員に負荷をかけている可能性がある。

　以上の調査結果から、コストを算出してみる。仮に、1回当たり20分のチェックを月1回実施、1時間当たりの従業員の稼働コストを5,000円とした場合、500人規模の企業では年間1,000万円かかる。5,000人規模なら1億円と莫大なコストだ。

情報システム部門にも多大な負荷

　PCセキュリティ設定チェックの点検業務に関し、情報システム部門で時間がかかる項目として上位を占めたのは、以下4点だ。

・質問対応など、従業員のフォロー
・セキュリティ設定に関する従業員へのレクチャー
・チェックを実施しない従業員のフォロー
・セキュリティ設定に関する情報収集

　そのほか、各端末から収集したデータの集計、従業員向け実施マニュアルの整備、セキュリティ水準に達しない端末の理由確認、CISO※3などへの報告がある。自部署のメンバーに対し、自分が同様の対応をすることを想像すれば、その大変さは容易に想像できるだろう。

効率的＆正確なチェックの
仕組みが必要

　運用面でもコスト面でも負担が大きいPCセキュリティ設定チェックだが、対応に抜け漏れがあった場合、セキュリティ事故を引き起こす可能性がある。実際に、調査対象の1／5の企業において設定不備により情報漏えいやメール誤送信、マルウェア感染などのインシデントが発生していた。ランサムウェアやマルウェアのEmotetなど、サイバー攻撃の手口は巧妙化している。それに加えリモートワークの拡大もあり、従来の境界型防御では防ぎきれなくなっているからこそエンドポイントでのセキュリティ対策がますます重要だ。従業員、情報システム部門双方の負担を増やさず、効率的かつ正確なPCセキュリティ設定を行うためのセキュリティポスチャマネジメントの仕組みが求められている。次回は、その実現方法について説明する。
※1 出典：https://csrc.nist.gov/publications/detail/sp/800-207/final
※2 Endpoint Detection and Response：端末の処理を常時監視し、不審な挙動をいち早く検知。
※3 Chief Information Security Officer：企業が情報セキュリティ対策を実施する上で責任者となる担当幹部。