はじめに
こんにちは、技術広報の菊池です。
セキュリティの確保は技術的な課題にとどまらず、お客様の満足、さらには企業の存続に直結する重要なトピックスです。 私たちSaaS企業も例外なく、常に変化する脅威にさらされており、日夜対策のアップデートが求められますので、 私も自身の理解を深めるためにキーワードと各分野の歴史をまとめてみました。
本記事で取り上げるセキュリティ主要7分野では、新しい技術の登場と共に、新たな脅威が絶えず発生し、その対策の進歩も伺えました。 今回は、アプリケーション、ネットワーク、エンドポイント、データ、クラウド、アイデンティティとアクセス管理、インシデント対応と復旧のセキュリティについて、 その概要と1980年代〜現代に至るまでの歴史、脅威と対応策の進化を総括しました。全てはカバーしきれませんでしたが、代表的なツールも紹介しています。
それぞれの分野では個別の発展がありますが、クラウドとモバイルの進展の影響は共通しており、下記のような大きな流れが存在しているといえそうです。
- 政治・経済・社会・技術が加速的に複雑化
- 生活習慣、ビジネスモデル、働き方、デバイスなどが変化
- 既存のシステム境界があいまいになる
- 攻撃手法が進化し、ゼロデイアタックを筆頭に事前対策が困難になる
- 防衛技術を進化させるだけでなく、防衛思想もシステムの境界防御からゼロトラストをはじめとした被害限定化の思想へと変化
これを念頭に、各分野をご覧いただければ幸いです。
- はじめに
- セキュリティ主要7分野・脅威の進化と対応
- おわりに
セキュリティ主要7分野・脅威の進化と対応
アプリケーションセキュリティ
アプリケーションセキュリティは、ソフトウェア内のセキュリティ機能を強化し、アプリケーションレベルでの攻撃や脆弱性から保護する取り組みです。開発段階からリリース後の運用フェーズに至るまでの、コードの安全性、データ保護、アプリケーションの耐久性など幅広い対策が含まれます。
脅威の進化と対応の歴史
1980年代
初期のコンピュータウイルスやトロイの木馬が登場。プログラムのセキュリティもまだ基本的なレベルに留まっていました。
1990年代~2000年代
インターネットの普及と共にWebアプリケーションの脆弱性(例:SQLインジェクション、クロスサイトスクリプティング)が顕在化し、セキュリティ対策が強化され始めました。
近年
クラウドコンピューティング、API、モバイルアプリの普及により、脅威もより複雑に進化しました。 セキュリティ対策を開発プロセスの全てのフェーズに組み込み自動化するDevSecOpsの概念も浸透し始めています。
主要なセキュリティ施策
SQLインジェクション防御:
不適切な入力処理によりデータベースが攻撃され、データベースへの不正アクセスや情報漏洩が発生するのを防ぎます。 ユーザー入力のサニタイズやプリペアドステートメントの使用で、不正なデータベース操作を防止します。
クロスサイトスクリプティング (XSS) 防御:
悪意のあるスクリプトがウェブページに注入され、ユーザーデータの盗難やセッションハイジャックが発生するのを防ぎます。ユーザー入力のサニタイズとバリデーションが重要です。
クロスサイトリクエストフォージェリ (CSRF) 防御:
ユーザーのブラウザを通じて不正なリクエストが送信され、不正なリクエストが実行されるのを防ぎます。 トークンベースやサーバー検証により、正当なユーザーのリクエストのみを許可する対策が有効です。
セキュアコーディング:
人の作業が脆弱性につながることもあります。脆弱性のないコードを書くため、コーディング規約の遵守と仕組み化、教育も重要です。
暗号化:
データの盗聴や漏洩を防ぐため、トランスポート層とデータストレージの両方での暗号化が推奨されます。
代表的な対策ツール
以下は、アプリケーションセキュリティ分野の代表的な対策ツールです。複数の役割を同時にこなせるツールもあります。
静的アプリケーションセキュリティテスト (SAST) ツール: ソースコードを分析し、脆弱性を特定します。例: SonarQube、 Checkmarx。
動的アプリケーションセキュリティテスト (DAST) ツール: 実行中のアプリケーションをテストし、脆弱性を探ります。例: OWASP ZAP、 Burp Suite、Checkmarx。
Webアプリケーションファイアウォール (WAF): ウェブアプリケーションへの不正なアクセスや攻撃を阻止します。例: Cloudflare、 ModSecurity。
依存関係管理ツール: ソフトウェア依存関係の脆弱性を追跡し、アップデートを管理します。例: OWASP Dependency-Check、Snyk。
ネットワークセキュリティ
ネットワークセキュリティは、ネットワーク、その利用者や情報資産を不正アクセス、攻撃、侵害から保護するための対策やプロセスです。これには、物理的なセキュリティ措置からソフトウェアベースの保護、ポリシーの設計と実施までが含まれます。目的は、データの機密性、完全性、可用性を保つことです。
脅威の進化と対応の歴史
1980年代
ファイアウォールという概念が登場し、組織内外のネットワーク境界を保護することが重視されました。
1990年代~2000年代
インターネットの爆発的な普及により不正アクセスなど脅威も多様化。侵入検知システム(IDS)や侵入防止システム(IPS)などが開発されました。
近年
クラウドベースのネットワークセキュリティ、エンドツーエンドの暗号化、ゼロトラストネットワークの概念が普及。 ネットワークの境界が曖昧になる中で、セキュリティはより動的かつ分散された形へと進化しています。
主要なセキュリティ施策
トラフィックを監視し、設定されたルールに基づいて制御します。不正アクセスを阻止する基本的な防御手段です。
侵入検知システム (IDS) / 侵入防止システム (IPS)
ネットワークトラフィックを分析し、異常や攻撃の兆候を検知します。IDSは警告を発し、IPSは攻撃を阻止します。
仮想プライベートネットワーク (VPN)
インターネット上で暗号化された通信チャネルを作り、安全な通信を実現します。リモートアクセスやデータの保護に重要です。
ウイルス、スパイウェア、トロイの木馬などの悪意あるソフトウェアから保護します。システムに定期的なスキャンを行い、感染を防止します。
データ損失防止 (DLP)
機密データが不正に外部に送信されるのを防ぎます。データの使用と転送を監視し、ポリシー違反を検知します。
代表的な対策ツール
以下は、ネットワークセキュリティ分野の代表的な対策ツールです。
ファイアウォール 例:Cisco Firepower、Palo Alto Networks Firewall
IDS/IPS 例:Snort、Suricata
VPN 例:NordVPN、ExpressVPN
アンチウイルスソフトウェア 例:McAfee、Norton
DLP 例:Symantec DLP、McAfee Total Protection for DLP
エンドポイントセキュリティ
エンドポイントセキュリティは、ネットワークに接続される各端末(コンピューター、スマートフォン、タブレットなど)のセキュリティを指します。 この目的は、これらのデバイスをサイバー攻撃、マルウェア、その他の脅威から保護することです。 エンドポイントセキュリティは、機器の物理的およびソフトウェア的な両面から、企業や個人のデータとシステムを守ります。
脅威の進化と対応の歴史
1980年代~1990年代
初期のウイルス対策ソフトウェアが登場。主に単一のデバイスを保護することに焦点を当てていました。
2000年代
モバイルデバイスの普及に伴い、セキュリティソリューションは多様なデバイスに対応する必要が出てきました。
近年
リモートワークの増加とIoTデバイスの普及により、エンドポイントの種類・利用シーンが一層複雑化。セキュリティ管理がより重要になっています。
主要なセキュリティ施策
マルウェアやウイルスからデバイスを保護し、感染したファイルの検出と削除を行います。
デバイスへの不正アクセスをブロックし、許可された通信のみを通過させます。
デバイス管理
ネットワーク内の全デバイスを管理し、セキュリティポリシーの遵守を保証します。
暗号化
データを暗号化し、万が一のデータ漏洩時にも情報を保護します。
パッチ管理 ソフトウェアの脆弱性を修正するために定期的にセキュリティパッチを適用します。
代表的な対策ツール
包括的なエンドポイントセキュリティソリューション 例: Symantec Endpoint Protection、 McAfee Endpoint Security:
アンチウイルス 例:Bitdefender、 Kaspersky
デバイス管理ツール 組織内の全デバイスのセキュリティ状態を一元管理し、ポリシー遵守を支援します。 例:Microsoft Intune、 VMware Workspace ONE
データの暗号化 デバイス盗難や紛失時のデータ漏洩を防ぎます。例: BitLocker、 VeraCrypt
パッチ管理ツール ソフトウェアアップデートを集中管理し、セキュリティパッチの適用を自動化します 例:WSUS、 SCCM
データセキュリティ
データセキュリティは、データの機密性、完全性、および可用性を保護するプロセスおよび手法を指します。 これには不正アクセス、データ漏洩、改ざんや紛失を防ぐための対策が含まれます。
脅威の進化と対応の歴史
1980年代~1990年代 データ暗号化とアクセス制御が主要な焦点で、物理的なデータ保護が重要視されていました。
2000年代 オンラインでのデータ交換の増加に伴い、データ漏洩対策としての暗号化技術が強化されました。
近年 ビッグデータとプライバシーに関する法律(例:GDPR)の登場により、データのプライバシー保護が重要視されるようになりました。データの分類と機密性の管理が進化しています。
主要なセキュリティ施策
データ暗号化 データを暗号化し、不正アクセス者による読み取りや理解を防ぎます。ストレージおよび転送中のデータに使用されます。
アクセス制御 ユーザ認証と権限付与により、特定のユーザまたはシステムのみがデータへのアクセスを許可されます。
データマスキング 機密データを変更または隠蔽し、本物のデータにアクセスする必要のない場合に使用されます。
バックアップとディザスタリカバリ データのコピーを定期的に作成し、データの損失や破損時に復元できるようにします。
データ損失防止 (DLP) 不正または誤ったデータの転送や漏洩を防ぎます。データの使用と転送を監視します。
代表的な対策ツール
データ損失防止ソリューション 例:Symantec DLP、McAfee Total Protection for DLP:
データ暗号化 例:BitLocker、VeraCrypt
アクセス制御と認証管理 例:Active Directory、Okta
バックアップとディザスタリカバリ 例:Veeam、Acronis
データ監視と分析 例:IBM Guardium、Informatica
クラウドセキュリティ
クラウドセキュリティは、クラウドベースのサービスとインフラストラクチャ(例:パブリッククラウド、プライベートクラウド、ハイブリッドクラウド)の保護に特化したセキュリティ対策です。 これには、データの保護、アクセス管理、脅威からの保護などが含まれ、クラウド環境特有のリスクと課題に対処するための技術とポリシーが重要となります。
脅威の進化と対応の歴史
2000年代 クラウドコンピューティングの出現により、新たなセキュリティ上の課題が登場しました。
2010年代 クラウドサービスプロバイダーによるセキュリティ機能の提供が拡充してきましたが、環境が複雑になるにつれセキュリティリスクも増大。
近年 マルチクラウドおよびハイブリッドクラウド環境の普及に伴い、クラウドセキュリティポスチャ管理(CSPM)、クラウドアクセスセキュリティブローカー(CASB)などの技術が登場しています。
主要なセキュリティ施策
アクセス制御 クラウドリソースへのアクセスを厳格に管理し、認証されたユーザーのみがアクセスできるようにします。
データ暗号化 クラウド内で保存されているデータを暗号化し、不正アクセスによるデータ漏洩を防止します。
侵入検知と侵入防止システム (IDS/IPS) ネットワークトラフィックを監視し、潜在的な攻撃や脅威を検出し、ブロックします。
データ損失防止 (DLP) 重要なデータの不正な移動や漏洩を防ぎ、情報の安全性を保ちます。
イベントログの管理と分析 クラウドアクティビティのログを集中管理し、不正行為や脅威の早期発見に役立てます。
代表的な対策ツール
包括的なクラウドセキュリティ 例:Amazon Web Services (AWS) Security、Microsoft Azure Security Center
クラウドワークロードのセキュリティ 例:Symantec Cloud Workload Protection
データ損失防止 例:McAfee MVISION Cloud
イベントログの管理と分析 例:Splunk、LogRhythm
アイデンティティおよびアクセス管理 (IAM)
アイデンティティおよびアクセス管理(IAM)は、適切な人々が適切なリソースへのアクセス権を持つことを保証するプロセスと技術です。 IAMシステムは、個々のユーザーのアイデンティティを識別し、そのアイデンティティに基づいてリソースへのアクセスを管理・監視します。
脅威の進化と対応の歴史
1990年代~2000年代 認証はパスワードベースが主流でした。しかしパスワードの弱点が明らかになるにつれ、追加の認証手段が求められました。
2010年代 多要素認証(MFA)が普及。IAMシステムが企業内のユーザー管理に不可欠となる。
近年 バイオメトリック認証や人工知能(AI)を用いた認証方法が登場。IAMはより洗練され、組織内のアクセス管理を自動化するシステムが増えています。
主要なセキュリティ施策
ユーザー認証 パスワード、生体認証、スマートカードなどを用いてユーザーの身元を確認します。
シングルサインオン (SSO) 一度のログインで複数の関連システムやアプリケーションにアクセスできるようにします。
多要素認証 (MFA) セキュリティを強化するために、2つ以上の認証方法を組み合わせて使用します。
アクセス管理ポリシー ユーザーのアクセス権限を定義し、適切なアクセスレベルを設定します。
プロビジョニングとデプロビジョニング 新しいユーザーのアクセス権の設定や、不要になったアクセス権削除を行います。
代表的な対策ツール
IAMソリューション SSO、MFA、アクセス管理ポリシーなどを提供しています。 例:Microsoft Azure Active Directory、 Okta:
パスワード管理ツール 例:LastPass、 Dashlane
多要素認証 例:Duo Security、 RSA SecurID
アイデンティティ管理とガバナンス 例:SailPoint, IBM Security Identity Governance and Intelligence
インシデント対応と復旧
セキュリティ違反やその他のサイバーインシデントが発生した際に、迅速かつ効果的に対応し、組織の運用を正常な状態に戻すプロセスです。このプロセスには、事前のリスク評価、インシデント対応計画の策定、インシデントの検出、対応、分析、および将来の脅威に対する備えの強化、バックアップと復旧の手順が含まれます。
脅威の進化と対応の歴史
1980年代~1990年代
初期のセキュリティインシデントへの対応は比較的基本的であり、主に物理的な脅威やデータ損失に焦点を当てていました。
2000年代
サイバー攻撃の複雑化に伴い、専門的なインシデント対応チームとプロセスが形成され始めました。
近年
ゼロデイアタックを筆頭に、サイバー攻撃は高度化しています。事前にリスクを特定し、迅速に対応するためのソフィスティケートされたツールと手法が開発されています。 また、データバックアップと災害復旧計画の重要性が高まっています。
主要なセキュリティ施策
インシデント対応計画 インシデント発生時の対応手順、責任者、コミュニケーションプランを定めた計画を事前に立案しておく必要性が高まっています。
インシデント検出 サイバー攻撃やセキュリティ違反を早期発見するためのシステムとプロセスです。
脅威インテリジェンス 最新の脅威情報を収集・分析し、将来の攻撃に備えることを指します
フォレンジック分析 インシデント後の詳細な調査を行い、原因と影響を特定することです。
ディザスタリカバリとビジネス継続計画 (BCP) 大規模なインシデント後に、ビジネス運用を迅速に回復するための計画です。
Security Operation Center (SOC) セキュリティ装置、ネットワーク、サーバ、アプリケーションなどから出力されるログを常時監視・分析し、インシデントの検出・対処を行う専門組織を指します。
代表的な対策ツール
セキュリティ情報およびイベント管理(SIEM)ツール 例:Splunk、 IBM QRadar
脅威インテリジェンスとインシデント対応 例:CrowdStrike、 FireEye
フォレンジック分析 例:EnCase、 FTK (Forensic Toolkit)
ディザスタリカバリソリューション 例:VMware Site Recovery、 Zerto
おわりに
ここまで、セキュリティの主要7分野について、概要と脅威の進化と対応策の歴史、主要なセキュリティ対策と代表的な対策ツールをまとめました。 セキュリティ各分野の歴史は加速化する複雑性との闘い、その中での費用対効果の模索とも言えそうです。 当社でも引き続きセキュリティのトレンド情報や傾向を収集し、脆弱性情報を収集、対策に励んでいますので、今後も注視を続けたいと思います。
