現代の企業は外部からのネットワーク脅威を高度に重視しており、ファイアウォールの強化やウイルス対策ソフトなどを通じて、悪意ある攻撃が企業ネットワークに侵入するのを防いでいます。しかし、上述したリスクの発生源が「内部」にある場合、往々にして認知や警戒が不足しがちです。社内ネットワークには以下のような特性があり、これらは外部の脅威にはない、内部脅威ならではの「先天的アドバンテージ」となっています。
・日常業務における権限の既得: 内部の攻撃者は、通常の業務プロセスの過程で、すでに相応のアクセス権限を取得しています。
・機密の所在と防御仕組みの熟知: 内部の攻撃者は、重要データがどこに保管されているかを知っており、会社が設定した防御メカニズムにも精通しています。
企業組織が内部脅威に直面した際、検知や予防のメカニズムが欠如していれば、その被害をコントロールすることは極めて困難になります。「ゼロトラスト(Zero Trust)」に基づくセキュリティ管理アーキテクチャを構築することで、企業は死角のない「社内外ネットワーク連合防御」を実現できます。つまり、人員やシステムが業務資産へのアクセスを要求した際、まずはその信頼性を検証(ベリファイ)した上で、初めてアクセス権限を付与するというアプローチです。
政府は、IoT(万物聯網)、ビッグデータ、AIなどの技術潮流に対応し、スマート製造(スマートファクトリー)を積極的に推進しています。しかし、それに伴い工場・制御システム(OT/ICS)のセキュリティ脅威も表面化してきました。2019年1月、SEMI台湾技術委員会の主導により、「ファブ&装置情報セキュリティ・タスクフォース(晶圓廠及設備資訊安全任務小組)」が正式に発足し、関連するセキュリティ標準の策定を目指しています。半導体産業においてよく見られるセキュリティ課題は以下の通りです。

現代のネットワーク環境において、OA(オフィスオートメーション)領域の端末機器の管理はもちろんのこと、各所に点在する防犯カメラやカードリーダー(非接触ICカード改札機)などのIoTデバイスも、情報セキュリティ管理の重要な一部となっています。一般的な端末管理手法では、各デバイスにエージェント(Agent)をインストールし、デバイス情報や稼働状況を監視します。
しかし、多くのIoTデバイス、BYOD(個人所有デバイス)、およびゲストデバイスにはエージェントをインストールすることが困難です。その結果、環境内にある資産の属性や、ソフトウェア・ハードウェアの構成状態を効果的に把握できなくなります。これは管理を難しくするだけでなく、ネットワーク環境全体のセキュリティに大きな懸念(死角)を残す要因となります。

政府機関や自治体には、海外からの来賓、公務で訪れる市民、外部の委託業者など、多くの来訪者が訪れ、ネットワークへの接続を頻繁に必要とします。管理者がこれら一台一台に対して手動で接続許可や権限設定を行うのは、時間と手間がかかるだけでなく、接続デバイスに対する効果的な安全性検査(検疫)を行うことができません。また、用件が済んだ後には、ネットワーク利用権限を手動で削除(デプロビジョニング)する必要があります。これらのステップに一つでも不備があると、ネットワーク環境にセキュリティ上の脆弱性が生じやすく、マルウェアの侵入やデータ流出といったインシデントを引き起こす原因となります。
台湾の政府機関ではすでにIPv6への全面移行(ネイティブ化)が完了しており、民間におけるIPv6の普及率も世界第6位に達しています。これは、今後数年以内にIPv6を利用してネットワークに接続するユーザーが着実に増加することを意味しています。現在のIPv4とIPv6が混在(デュアルスタック)する環境下において、いかに両方のプロトコルを同時に効率よく管理していくかが、政府機関が今すぐ解決すべき喫緊の課題となっています。

「情報通信安全管理法(資通安全管理法)」およびその下位法令の規定により、該当する政府機関・組織は、定められた期間内にISO 27001認証の取得またはNIST CSFの導入を達成し、GCB(政府構成基準)の導入および情報通信システム保護基準の対策検証を完了しなければなりません。また、「個人情報保護法(個人資料保護法)」は、公務機関(行政機関)に対し、個人情報の窃取、改ざん、毀損を防止するための適切な措置を講じるよう義務付けています。
2019年には、銓叙部(人事院に相当)がトロイの木馬に侵入され、公務員59万件の個人情報が流出するインシデントが発生しました。流出内容には国家安全保障に関わる職員の個人情報も含まれており、該当職員を危機に晒しただけでなく、国家安全保障にとっても深刻な事態となりました。
限られた予算の中で、いかにISO 27001基準に準拠した情報セキュリティマネジメントシステム(ISMS)を構築するか、あるいはNIST CSFを採用しつつ、他の法的規制を同時に遵守するかは、関係機関にとって大きな挑戦(課題)となっています。
ネットワークの発展に伴い、大量の機密データがデジタル方式で保存されるようになりました。これに伴い、ハッカーは脆弱性のあるデバイスを探し出して企業や組織の社内ネットワーク(内網)に侵入し、ランサムウェアによってデータを暗号化してユーザーのアクセス権限を遮断した上で、ファイルやアクセス権の復旧と引き換えに身代金を要求するという手口が横行しています。
2020年台湾の「6大サイバーセキュリティインシデント」回顧。クリックして全文を読む:
行政院国家情報通信安全会報技術サービスセンター(技服センター)が構築した「政府機関脆弱性アラート・通知システム(Vulnerability Alert and Notification System:VANSシステム)」は、各級の政府機関から提出されたソフトウェア資産台帳と、NVD(米国国立標準技術研究所:NISTが構築した脆弱性データベース)を照合することで、各機関のセキュリティ脆弱性を洗い出します。これにより、該当ユニット(部門)へリアルタイムに通報し、第一時間(即座)での脆弱性パッチ適用やセキュリティリスクの排除を可能にし、政府部門におけるソフトウェア資産管理を強化します。
また、「情報通信安全管理法」の各級政府機関における遵守事項において明文化されており、セキュリティ責任格付け「A級」の機関は2021年度(民国110年度)中にVANSシステムを全面的に導入することが義務付けられ、「B級」および「C級」の機関も2022年度(民国111年度)に追随して導入することが定められています。
すべてのリソースを外部リソースとみなし、必要なアクセス権限を付与する前に、信頼を得るための継続的な検証を行うアプローチです。簡単に言えば、社内ネットワーク(内網)を外部ネットワーク(外網)と同等に扱い、従来の「信頼して検証する」という認識から、「検証し、決して信頼しない(verify and never trust)」へと転換することです。
そのため、人員やシステムが業務資産へのアクセスを要求した際、UPASはまずゼロトラスト原則を採用することを推奨します。アクセス権限を付与する前に、必ずその信頼性を検証しなければなりません。企業がいかにしてゼロトラスト・セキュリティを完全なものにするかについて、Gartner(ガートナー)が2020年に発表したセキュリティレポートでは以下のように指摘されています。
「現代の企業がセキュリティリスクを低減するためには、森林のような『ゼロトラスト・ネットワーク・アーキテクチャ』を構築しなければならない。そして、この目的を達成するためには、優れたNAC(ネットワークアクセス制御)ソリューションが不可欠である。」 — Market Guide for Network Access Control, Gartner
NACメカニズムの導入を通じて、UPAS NOCはデバイスの「可視化(Visibility)」と「制御性(Control)」の観点からアプローチし、資産棚卸しを確実に完全なものにして、ネットワーク環境内のすべての接続デバイスを把握します。また、人員の接続・アクセス権限を効果的に管理します。さらに、各デバイス内のソフトウェア(ウイルス対策ソフト、資産管理ソフトなど)やOSバージョンの更新・インストール状態を検査し、脆弱性のパッチ修正を行います。最終的には、デバイス情報を分析してレポートとしてエクスポートし、継続的な追跡・監査を提供します。

手軽な導入で資産棚卸しとIP管理プロセスを最適化
行政機関のサービスやシステムのデジタル化に伴い、外部委託サービスのサプライチェーンはますます複雑化しています。日々変化し、進化を続ける攻撃手法に直面しても、その本質は変わりません。攻撃者の最終的な目標は依然として社内ネットワーク(内網)に存在するため、基盤となる内網のセキュリティ防御は不可欠な要素です。上述の主な課題に対し、より優れたセキュリティ体験を提供する当社のソリューションを以下にご紹介します。
研究によると、IoTデバイスの90%以上はエージェント(Agent)のインストールが不可能であり、従来のデバイス識別技術では機能させることが困難です。UPAS NOCは特許取得済みのARP技術を活用し、エージェントレス(Agentless)の方式で、約30種類に及ぶネットワーク接続デバイスの属性を自動識別します。
・OA領域: PC機器、モバイル端末、プリンター、IoTデバイス
・サーバールーム・インフラ: 仮想マシン(VM)、サーバー、その他VMおよびネットワーク機器コンポーネント
・一般的なネットワーク機器: ルーター、スイッチ、ファイアウォール、無線アクセスポイント(AP)およびコントローラー
資産の棚卸しだけでなく、デバイス情報の統計・集計も大きな課題です。OSのバージョン、ウイルス対策ソフトが最新であるか、パターンファイル(ウイルス定義)が更新されているか、ソフトウェアの使用状況など、どれか一つでも不備があれば、ネットワーク環境全体が危険に晒される可能性があります。
UPAS NOCは、WSUSサーバー、複数のウイルス対策ソフト、および資産管理ソフトのデータベースと連携(API接続)することが可能です。さらに、Tableau(タブロー)と組み合わせることでビジュアル化されたグラフを構築し、デバイス情報を一目でわかりやすくクリアに表示します。


実際の社内ネットワーク(内網)管理において、内部社員ではない外部デバイスが、一時的にインターネット(外網)に接続する必要がある場合や、指定された時間帯のみ内網に接続する必要があるといった運用シナリオに直面します。厳格で緻密な外網防御に比べ、内網に侵入した外部デバイスが管理下に置かれず、利用権限も細分化されていない場合、高リスクなセキュリティの抜け穴となる可能性があります。UPAS NOCは、外部来訪者に対して以下のソリューションを提供します。
・来訪者向け内網接続認証の提供: 現地(オンサイト)申請と事前予約申請の2つの方式に対応しています。来訪者の身元審査を自動化し、対応する権限を付与するとともに、詳細なログ(接続記録)を完全に残すことで、管理負担を軽減します。
・来訪者を特定のセグメントに隔離: 内網の利用が必要な来訪者に対して、UPAS NOCは来訪者専用のネットワークセグメントを分離し、アクセスできるデータを制限できます。万が一、来訪者セグメントでセキュリティインシデントが発生した場合でも、被害をそのセグメント内に封じ込め、損失を最小限に抑えることができます。
・来訪者のアクセス権限と有効期限の制限: 有効期限が切れると、ホワイトリストから自動的に切断・除外されます。アクセス権限と利用時間の厳格なコントロールにより、来訪者権限の回収(削除)忘れによるセキュリティホールの発生を防止します。

IPv4とIPv6のデュアルスタック環境においてよく見られる課題として、「IPv4とIPv6アドレスの混在・乱雑化」が挙げられます。また、従来IPv4で行っていたIP配布やネットワークセグメントの管理は、IPv6への切り替え時に再編成(リナンバリング)を行う必要があります。これら2つの状況は管理を難しくし、担当者の負担を増大させます。UPAS NOCは、以下のようなIPv6管理機能を提供します。
・IPv6ホワイトリスト制御機能: IPv6アドレスを使用するコンプライアンス(規約)適合デバイスを自動的にシステムホワイトリストに組み込み、社内ネットワーク(内網)の利用を許可します。さらに、詳細なリストを自動生成し、各IPの使用状況を明確に一覧化できます。
・IPv4サフィックス(末尾)を含むIPv6アドレスの自動配布: 過去に構築したネットワークセグメントの成果をそのまま引き継ぐことができます。プロトコル変換時に追加の再設定を行う必要がないため、管理者の負担を軽減します。
・IPv4・IPv6対応表(マッピングテーブル)の自動生成: デュアルプロトコルを採用するネットワーク環境において、UPAS NOCは両プロトコルのIPアドレス対応表を自動生成できます。これにより、各端末(エンドポイント)が使用している2つのIPアドレスを一目で把握できます。
・法的要件への適合: 「情報通信安全管理法(資安法)」の要求に基づき、各機関はISO 27001認証を通過できる情報セキュリティマネジメントシステム(ISMS)の構築や、情報通信システム保護基準の検証を求められています。UPAS NOCは、多数のISO 27001コントロール項目および情報通信システム保護基準の要件を満たしているため、認証取得にかかるコストを削減できます。
・GCB(政府構成基準)導入の効率化: GCBのコンプライアンス導入は、管理者の頭を悩ませることが多々あります。複雑な設定と膨大なコンピュータ機器により導入プロセスは極めて煩雑になり、多くの原因で導入に失敗することがあります。UPAS NOCは優れたGPO(グループポリシーオブジェクト)機能を提供し、管理者がドメイン内のデバイスにおけるGPOおよびGCBの適用状況を把握できるようサポート。規定通りにGCBやGPOが適用されていないエンドポイントデバイスを速やかに探し出します。
・デバイス違法操作のリアルタイムアラートと完全なシステム監査トレイル(ログ): これら2つの機能は、個人情報(個資)の保護において極めて重要です。デバイスが違法な操作(VLANのまたぎ、IPの改ざんなど)を行った際、リアルタイムアラートによってインシデント発生の瞬間に該当デバイスのネットワーク接続を即座に遮断し、被害の拡大を防ぎます。また、完全なシステム監査トレイルは、セキュリティインシデント発生後に法的リスクを担保する上で最も強力な証拠(エビデンス)となります。
・NIST CSFへの柔軟な対応: NIST CSF(サイバーセキュリティフレームワーク)は、近年最も注目されているセキュリティフレームワークの一つです。構築や認証プロセスが煩雑なISO 27001と比較して、CSFは情報セキュリティシステムを段階的(ステップバイステップ)に改善していくことを強調しています。『iThome 2020 情報セキュリティ大調査』によると、1割以上の政府機関がCSFフレームワークの導入に意欲を示しており、予算に限りのある政府機関にとってCSFは優れた選択肢と言えます。UPAS NOCは多数のCSFコントロール項目に対応しているため、組織はニーズに合わせて柔軟にモジュールを個別購入でき、構築コストを削減できます。
おすすめの関連記事:
公的機関(パブリックセクター)における防御思考の多くは、ウイルス対策の観点から出発しており、セキュリティソリューションを通じてランサムウェアを遮断しようとします。しかし、防護ソフトウェアのインストール状況や更新状態の検証を怠ると、防御効果に抜け穴(脆弱性)が生じる原因となります。UPAS NOCは、資産棚卸しやコンプライアンス検査をはじめとする以下の防御手段を通じて、社内外ネットワークの連合防御を効果的に実現し、98%以上の資産防護完了率(カバー率)を達成します。
・資産棚卸し: 多元的な技術を用いて環境内のすべての接続デバイスを識別・管理下に置き、社内ネットワーク(内網)環境におけるIP接続状態を完全に把握します。
・起動・シャットダウンレポート: デバイスの電源状態(ON/OFF)に基づいて脆弱性の有無を判断します。例えば、長期間再起動されていないデバイス(OSパッチが更新されず、デバイスの脆弱性が放置されている状態)や、長期間電源が入っていなかったデバイス(ウイルス対策ソフトやパターンファイルが最新バージョンに更新されていない状態)などを特定します。
・デバイスコンプライアンス検査: ネットワークに接続するデバイスに対し、OSのバージョン、ウイルス対策ソフト/パターンファイル、資産管理ソフトなどのインストール率や更新率といった複数のセキュリティ検査項目を監査します。
・データトラフィック監視: 端末機器(エンドポイント)のネットワーク利用行動をコントロールします。ネットワークトラフィック情報を提供し、関連するトラフィックレポートを生成します。
・ADアカウント管理: Active Directory(AD)のログイン/ログアウト時間のログを提供し、社内ネットワーク内のアイドル(不稼働)デバイスや、RDP(リモートデスクトップ)接続を使用しているデバイスを管理することで、ハッカーから攻撃を受ける隙を減らします。
・構成・挙動検査: 違法(未許可)ソフトウェアの新規追加、GPOポリシーの変更、最高権限でのフォルダー共有の有効化など、構成における異常な挙動をリアルタイムで検知しアラートを通知します。
ハッカーの思考から紐解く防御手段、詳細はこちら:
UPAS NOCは、網羅的な資産棚卸しを通じて、ソフトウェア資産の棚卸し完了率(カバー率)98%以上を達成します。また、お客様の異なるニーズに合わせて、2種類のVANSシステムソリューションを提供しています。
UPASエージェント(Agent)の追加インストールは不要
すでに他社製の資産管理システムを導入し、そのベンダーのエージェント配置(デプロイ)を完了させている場合、ソフトウェア資産をCPE形式に変換してVANSシステムへアップロードすることが可能です。UPAS NOCはこれに対し、セキュリティの抜け穴を徹底的に排除するための高度な(アドバンスド)ソリューションを提供します。
業界平均のエージェント配置率および更新率はわずか80%程度に留まっており、これがソフトウェア資産棚卸しの漏れを生む原因となっています。結果として、深刻な脆弱性が検知されないまま放置され、組織が高度なセキュリティリスクに晒されることになります。この問題の根本的な原因は、多くのサードパーティ製ベンダーがADサーバーから直接エージェントを配信(プッシュ)する手法を採っている点にあります。配信の失敗やデバイス側の原因による配置不能により、該当端末の資産ソフトウェアが棚卸し対象から漏れてしまうのです。
UPAS NOCは、特許取得済みのARPパケット解析技術を用いて、環境内にあるデバイスの可視性を大幅に向上させ、ネットワークに接続されたすべての端末(エンドポイント)を容易に把握します。この高度な可視化をベースに、UPAS NOC SIM(セキュリティ統合モジュール)が資産管理ソフトのデータベースと連携。完全な監視リストと照合することで、エージェントが未配置・未更新のデバイスを一台の漏れもなく洗い出します。さらに、規約非適合(不調和)なデバイスに対しては、安全性の高いネットワーク遮断メカニズムを用いて、脆弱性パッチの適用を強制(隔離・検疫)します。
当社が提供する高度なソリューションは、UPASエージェントを追加インストールする必要なしに、既存の資産管理システムがすべての端末を確実に管理下に置くことを保証します。これにより、ソフトウェア資産を確実に棚卸ししてVANSへアップロードし、より網羅的なソフトウェア脆弱性検査を通じてセキュリティリスクを効果的に排除します。
UPASエージェント(Agent)のインストールが必要
端末の全数把握(網羅的な棚卸し)をベースに、UPAS NOC PM(パッチ管理モジュール)がさらに一歩進めてすべてのソフトウェア資産を棚卸しします。CPE形式のソフトウェア総合台帳を自動生成し、ワンクリックでVANSへアップロードできるため、「情報通信安全管理法」が公的部門に課す要件に容易に適合し、どの端末のソフトウェア脆弱性も見落とさないよう確実に担保します。
本モジュールは、端末側にUPASエージェントをインストールする必要があります。公的機関によるVANS導入を支援するだけでなく、端末のWindowsバージョン(ビルド番号)、ウイルス対策ソフト、必須インストールソフト、禁止ソフト、ライセンス保有数など、多岐にわたるコンプライアンス検査を実行できます。その後、UPAS NOCのアクセス制御機能を通じて、要件を満たさないデバイスに脆弱性パッチの適用を強制します。

理想的な効果を発揮するネットワークセキュリティアーキテクチャの構築には、導入・展開から運用管理、保守に至るまでのプロセスが必要であり、そこに関わるユーザーのレイヤーは多岐にわたります。そのため、「セキュリティの徹底」は、単一の方向から一方的に押し付けられる主張であってはなりません。セキュリティポリシーの理想的な効果を維持するために、多様なユーザー側が常に張り詰めた状態で煩雑な業務を運用し続けなければならない状況は、かえって防御ネットワーク内に潜む隠れたリスク(憂患)となってしまいます。

UPAS NOCは、セキュリティ体験の最適化を常に追求し続けています。当社のコア・アドバンテージは、「エージェント(Agent)のインストールを必要とせず」にカバー率の高い防御ネットワークを展開し、可視性を向上させ、管理ポリシーを適用できる点にあります。802.1X認証に依存しない(Non-802.1X)技術により、高い適応性と簡便性を提供し、ネットワーク環境の再構築や、ソフトウェア・ハードウェアのアップグレードに伴うリスクや管理ストレスを回避します。
クリックしてダウンロード UPAS NOC 公的部門・政府機関向けソリューション
お客様の業界に最適なソリューションのご提案とコンサルティングをいたします。ぜひお気軽にお問い合わせください。