近年ではさまざまな IT システム・サービスを多くの企業様が利用しています。その結果、サイバー犯罪者にとっての攻撃対象領域が広がったことで、サーバーやネットワークだけではなく、PC 端末・モバイル端末や ID 周りなど多方面への攻撃から企業の資産を守る必要性が出てきました。その対応のため、外部の攻撃から守るファイアウォール、社内から危険な Web サイトへのアクセスを防ぐ SWG(クラウドプロキシ)、エンドポイントの最後の砦 EDR など、さまざまなセキュリティ製品を導入されている企業様は多いのではないでしょうか。
しかしながら、セキュリティ製品の機能を生かすためには、導入して終わりではなく、適切に運用をする必要があります。
そんな状況の中で、多くの企業のシステム運用担当者の方が、セキュリティ製品の運用において、例えば以下のようにさまざまな課題やストレスを抱えていることと思います。
- 情シス部門でセキュリティ製品の運用をしなければいけなくなったが、セキュリティ製品に精通したエンジニアがいない
- 知識がなくセキュリティ製品に対する設定ができない、自信がない
- 機能が多くマニュアルを理解する時間がない
- 製品のアップデートに手順書の整備が追いつかない
- セキュリティ製品でシステム障害が発生したときにどこから切り分けたらよいのか、そもそもセキュリティ製品のどこが問題なのかもわからない
- セキュリティ製品に対する24時間365日の運用体制がない
今やセキュリティ製品は企業に欠かせないものだからこそ、その利点を余すことなく生かしたいですよね。
今回は、セキュリティ製品の適切な運用とは何か、どのように行っていけばよいか、一緒に紐解いていきましょう。
セキュリティ製品の運用はなぜ必要?
セキュリティ製品の運用について、2つの面からその必要性を説明します。
1.セキュリティ製品の「設定」面
ファイアウォールや SWG などのセキュリティ製品では、あらかじめブロックしたい通信や許可したい通信を設定することができます。
しかしながら、業務で必要なアプリケーションや SaaS は時間経過と共に利用状況が変化します。このアクセス許可設定が初期導入時のままで見直されていないと、セキュリティインシデントにつながる可能性があります。
実際に日本の企業で起きた事例として、セキュリティ製品で設定していたアクセス許可設定が古く、従業員が社内で許可されていない悪質な Web サイトに接続できてしまい、情報漏えいにつながったというケースがありました。
他にも、セキュリティアラートが上がり、EDR の管理コンソールから有害なファイルを削除しなければいけない状況にもかかわらず、手順整備ができていなかったり、対応者がいなかったりすることで作業が実施されず、被害が拡大してしまったということもあります。
こういったセキュリティインシデントはよくニュースでも話題になりますし、当社でもインシデントを防ぐためにどうすればよいのか、といった相談をお客様よりよく受けています。
2.セキュリティ製品の「健康」面
セキュリティ製品が持つその機能を生かすためには、セキュリティ製品が健康的に稼働していることが必要です。
例えば、システムトラブルで CPU 使用率やメモリ使用率が急上昇してしまった場合、セキュリティ製品の稼働が停止してしまう可能性があります(その原因が DDoS 攻撃であることも!)。
また、古いファームウェアのセキュリティ製品を使い続けていることで、悪意ある第三者から脆弱性を突かれた攻撃を受けてしまうことも…。
セキュリティ製品は従業員の端末とインターネット間の通信経路上に置かれるため、セキュリティ製品に障害が発生していると、そもそも業務ができない、といったことになりかねません。数時間でもインターネットが利用できない状況は重大なビジネスインパクトとなります。
これらの面から、セキュリティ製品の運用は不可欠だと言えるのです。
セキュリティ製品の運用方法
では、実際のセキュリティ製品の運用方法について、先ほど挙げた2つの面から考えてみましょう。
1.設定を定期的に見直す
セキュリティ製品に入れている各種設定を見直してみましょう。例えば、「社内からアクセスする先」が適切かどうかを見直す場合は、セキュリティ製品で設定しているインターネットへのアクセス許可設定と、社内ポリシーとして許可しているアクセス先の見比べを定期的に行ってみましょう。社内ポリシーでアクセス不可としているはずのクラウドサービスや URL に対して、アクセス許可が入っているようであれば、ブロック設定に変更する必要があります。
このアクセス許可設定については、製品によってさまざまな呼び名があり、設定箇所も異なるので、導入している製品に応じて対応しましょう。
2.セキュリティ製品の稼働状況を監視する
セキュリティ製品が健康的に稼働し続けるためには、何か異常が起きていないか稼働状況を監視することが必要です。
オンプレミス型のセキュリティ製品の場合は、CPU 使用率やメモリ使用率などが上がりすぎていないか確認しましょう。Zabbix などの監視ツールからセキュリティ製品を常時監視し、データをストックすることで状況を確認できます。また、CPU 使用率が一定の閾値以上になった場合は運用担当者へ通知する設定にすることで、異常に素早く気づくことができます。
クラウド型のセキュリティ製品の場合は、クラウドサービス側で障害が起きていないか確認しましょう。異常が起きた場合に、メールなどで通知をするよう設定をいれましょう。
といっても、「1.設定を定期的に見直す」においては、製品ごとに設定箇所や方法を把握する必要があり、マニュアルの読みこみや作業手順の確認や整備に時間を要することも多いと思います。特にクラウド型のセキュリティ製品は、機能のアップデートも頻繁に行われるため、各セキュリティ製品に精通したエンジニアが必要です。
「2.セキュリティ製品の稼働状況を監視する」においても、稼働状況監視には監視環境の整備や24時間365日の運用体制が必要となるため、人的リソースの確保に課題を感じる企業も多いのではないでしょうか。それだけでなく、異常に気づいた際の対処方法も理解しておく必要があり、セキュリティ製品の健康を維持するには高いハードルを越える必要があります。
セキュリティ製品の運用はアウトソーシングできる
まずは自社のセキュリティ製品の運用において、できている部分、できていない部分を今一度確認してみましょう。
もし運用に取り組んでいくにあたり、セキュリティ製品に精通している人材がいない場合や、難易度の高い作業がある場合は、セキュリティ製品運用のアウトソーシングという選択肢もぜひご検討ください。
当社のセキュリティ製品運用サービス「NOZ SecOps」では、セキュリティ製品の運用に特化したチームが機器の設定や監視をお客様のニーズに合わせて代行することが可能です。
「NOZ SecOps」では「アクセス許可の設定を確認したいけど確認箇所がわからない…」というような、製品仕様に関するお問い合わせに対応しており、そのまま設定変更のご依頼を承ることも可能です。また、当社環境から製品を監視し異常があった場合にお客様に通知するサービスも提供しており、障害が起きた際の対応やサポートも行うことができます。必要に応じて製品サポートベンダーへの確認をとりながらお客様にお答えしますので安心してお任せいただけます。
※お客様にて製品サポートベンダーとのサポート契約があることが前提です。
まとめ
セキュリティ製品は導入やライセンスの維持に大きなコストがかかる分、しっかり活用したいものです。
せっかくセキュリティ製品を導入し投資したにもかかわらず、適切な運用ができておらずにセキュリティインシデントが起きてしまったら徒労に終わってしまいますよね。
当社でもそのようなケースでご相談いただくこともあります。ぜひ今一度現在の運用状況を確認してみてはいかがでしょうか。
当社「NOZ SecOps」では、技術問合せや作業代行、システム障害発生時やインシデント発生時の対応支援を行い、お客様のセキュリティプロダクト運用を的確にサポートします。セキュリティ製品の運用をアウトソーシングすることをご検討される際は、当社にもぜひご相談ください。
