“ゼロトラスト・アプリケーション”を実現する、政府・自治体や重要社会インフラ向け製品
米大統領令から考える新たなセキュリティアプローチと「PC Matic Federal」
2022年04月25日 12時00分更新
国家間でのサイバー攻撃の脅威は、今や現実のものになった。日本でも政府機関や地方自治体、重要社会インフラ企業や大手企業に対して、国家の支援を受けたものと考えられるサイバー攻撃が展開されており、セキュリティ対策の強化は急務である。ただし、国家を背景としたサイバー攻撃では高度な手法が用いられることが多く、これまでのセキュリティ対策のアプローチそのものを再検討する必要がある。
米国政府は2021年5月、「国家サイバーセキュリティの向上に関する大統領令」(Executive Order on Improving the Nation's Cybersecurity)を発表した。この大統領令の中心となっているのが、「ゼロトラスト・アーキテクチャ(ZTA)」「エンドポイントでの検知及び対応(EDR)」「データの暗号化並びに多要素認証」といったセキュリティアプローチを“新たなスタンダード(標準)”として、政府機関や自治体、民間企業に普及させていく方針だ。
「PC Matic Federal」は、そうした最新の“ゼロトラスト”アプローチに対応する、政府・自治体や重要社会インフラ企業向けのエンドポイント保護(EPP:Endpoint Protection)製品である。「米国政府が考えるセキュリティ対策の新たなアプローチとはどんなものか」「PC Matic Federalがそれをどのように実現しているのか」――今回はそうしたテーマを掘り下げてみよう。
ゼロトラスト・アーキテクチャ、EDR、データ暗号化/多要素認証が“新たな標準”
前述した大統領令は米国の政府機関や社会インフラ企業、あるいはそうした組織で使われるソフトウェア開発企業に対するサイバー攻撃が頻発するなかで発表されたものだ。これらの高度なサイバー攻撃の一部には、敵対する国家が背後で支援しているものもあると考えられ、従来の標準レベルのセキュリティで防御することは難しい。そこで官民を挙げて、新たなアプローチでセキュリティレベルの引き上げを図る方針を示したわけだ。
米国政府では従来から、NIST CMMC(サイバーセキュリティ成熟度モデル認証)の仕組みを通じて、政府機関や自治体に納品されるIT製品やシステムの「実装」におけるセキュリティ基準を定めてきた。今回の大統領令では、それをセキュリティ対策の「運用」にまで拡大したと言える。
具体的には、前述した「ゼロトラスト・アーキテクチャ(ZTA)」「エンドポイントでの検知及び対応(EDR)」「データの暗号化並びに多要素認証」を新たな“セキュリティスタンダード”と位置づけ、それらを各政府機関や自治体で実装/運用していくという基本方針を示している。
それに加えて、ネットワーク内リソースへの直接アクセスやシステム特権昇格を伴う「重要ソフトウェア」については、各政府機関で使用製品をリストアップし、厳密な管理を図る。アップデートが提供されず、脆弱性が修正されないレガシーソフトウェアについては、削除することも義務づけられている。
新たなセキュリティアプローチを実装するために
同大統領令ではほかにも多くの取り組みが宣言されているが、日本の読者がここから学ぶべき重要な教訓は「最新の高度なサイバー攻撃から組織を守るためには、新たなセキュリティアプローチが必要になっている」ということだろう。従来のアプローチの延長線上にあるセキュリティ対策だけでは、高度化し続けるサイバー攻撃に対抗できなくなっているのだ。
エンドポイント(クライアントPC)セキュリティ領域に話を絞り込んでみと、従来は「セキュリティアップデート(パッチ)の適用」と「アンチウイルス製品の導入」というセキュリティ対策がスタンダードだった。現在もなお、この標準だけに準拠した対策を続けている組織がほとんどだろう。
しかし、高度なサイバー攻撃はそうした“古い標準レベル”の防御をたやすく打ち破る。国家が支援するような攻撃グループは、隠し持っている未公表の脆弱性(ゼロデイ脆弱性)を攻撃に利用するため、最新のセキュリティパッチを適用していても防御はできない。アンチウイルス製品も事情は同じであり、検知を回避できるまったく新しいマルウェア、あるいは改変した亜種を攻撃に使うのが常套手段だ。つまり、防御側は「誰か被害者が出たのを見てから対策をとる」かたちであり、攻撃者が必ず“先取点”を奪ってしまうことになる。
そこで注目されるのが、ブルースターが国内販売するEPP製品「PC Matic」シリーズだ。個人ユーザー向けの「PC Matic」、一般企業向けの「PC Matic PRO」と並んで、政府や自治体、重要社会インフラ企業向けには「PC Matic Federal」というエディションがラインアップされている。
PC Matic Federalは、未知のプログラムの実行を確実にブロックする「アプリケーション・ホワイトリスト方式」のアンチマルウェア機能(詳しくは後述)と、実行プロセスのログなどを詳細に記録してインシデント調査に役立てられるEDR機能、インストールされているソフトウェアのバージョンや更新状態などを管理できるRMM機能(PC資産管理機能)を統合した、オールインワンのセキュリティ製品だ。
実は、EPP+EDR+RMMを統合したオールインワン製品という点では、一般企業向け製品のPC Matic PROと変わらない。ただし、PC Matic Federalの場合はPC Maticのクラウドサービスに接続せず、オンプレミスやプライベートクラウドで自社運用する管理サーバーを使って運用することができる。そのため、外部へのインターネット接続が制限されている政府・自治体や大規模企業でも、PC Maticの高度なセキュリティ機能が活用できるのだ。
“ゼロトラスト・アプリケーション”アプローチを実現するPC Matic
PC Matic Federalを含むPC Maticシリーズの大きな特徴が「アプリケーション・ホワイトリスト方式」の採用である。これは、従来一般的なアンチウイルス製品とは正反対の考え方をとるものだ。
一般的なアンチウイルス製品では、あらかじめブラックリスト(いわゆる「シグネチャ」)に記載されたマルウェアの起動だけをブロックし、その他のプログラムについてはデフォルトで起動を「許可」する。そのため、ブラックリストに記載されていない未知のマルウェアが侵入すれば、その実行も許してしまうという欠点がある。
その反対にPC Maticシリーズでは、あらかじめホワイトリスト(安全性が確認済みのプログラムリスト)に記載されたアプリケーションの起動だけを許可し、その他のプログラムについてはデフォルトで起動を「拒否」する。未知のマルウェアが侵入しても、ホワイトリストに記載されていないため起動できず、攻撃は失敗する。
こうした高強度のアプリケーション制御を実装した結果、PC Maticシリーズが導入された10万台以上の法人エンドポイントでは「連続1900日以上、マルウェアやランサムウェアの感染ゼロ」を実現している。
「未検証のプログラムは一切信用せず、実行を拒否する」というアプリケーション・ホワイトリスト方式は、アプリケーションに対する“ゼロトラスト”アプローチと言えるだろう。実際にPC Maticは、米国政府が進める「ゼロトラスト・アーキテクチャ実装プロジェクト」を構成するセキュリティソリューションの1つとして、NIST NCCoE(National Cybersecurity Center of Excellence)に参画している。またPC Maticの開発元であるPC Matic Inc.では、米国政府のクラウド調達認証であるFedRAMP ATO(運用機関認証)も取得している。
もちろん、サイバー攻撃には未知の脆弱性だけでなく既知の脆弱性も悪用される。通常、そうした脆弱性が見つかったOSやアプリケーションにはセキュリティアップデートが提供されるので、防御のためにはこまめなアップデートが重要だ。ただし、組織内のすべてのPCで多数のソフトウェアを漏れなくアップデートし、最新の状態を維持することは意外に難しい。その作業に腐心しているIT管理者も多いだろう。
PC Maticシリーズでは、攻撃者に狙われやすい著名なアプリケーションやドライバーの自動アップデート機能を提供している。管理者から強制的にアップデートを実行することが可能で、アップデートされていない古いバージョンのアプリケーションの起動をブロックする機能も備えているため、多数のクライアントPCを利用する組織でも漏れのない対策が実現する。
そのほかにもPC Matic Federal/PROでは、攻撃者やマルウェアに悪用されやすいWindows RDP(リモートデスクトップ)への接続をきめ細かく制御し、接続履歴を管理者にレポートする機能も標準装備している。接続時間帯の指定や接続端末の認証といった機能も備えるため、RDPを使用する場合のセキュリティが強化される。
* * *
冒頭で述べたとおり、現在展開されている高度なサイバー攻撃の被害を防ぐためには、従来とってきたセキュリティ対策のアプローチを考え直し、防御を一段高いレベルへと引き上げる必要がある。そこでのキーワードはやはり「ゼロトラスト」になるだろう。
PC Matic Federalを含むPC Maticシリーズは、エンドポイント保護においてその役割を果たす。しかも、IT担当者やエンドユーザーにおけるPC管理負荷も軽減される。これからのサイバーセキュリティを考えるうえで、ぜひとも注目したい製品だ。
(提供:ブルースター)