こんにちは。業務委託でPR TIMESにJOINしているコーポレートエンジニアの木戸啓太です。
経歴はNetworkEngineer、ServerEngineerを経て外資系ベンダーでSIer及び社内システムEngineerを経験し、その後、freee株式会社に、確実なIPO実現のため、コーポレートIT部門の立ち上げの責任者として参画しました。同社では、ITEngineerも務めながらCSIRTも兼務し、セキュリティ整備を実施。 現在は、バリュエンステクノロジーズ株式会社の執行役員CIO、情報システム部長/コーポレートエンジニアをしています。最近は自社プロダクトの『helpmeee!KEIKO』の開発に参画しています。
また、その他複数社での業務委託やIT顧問なども担い、ISMSやPマーク取得〜更新、監査対応等も対応しています。
前回のブログはこちらです。
エンドポイントとセキュリティ『CrowdStrike Falcon Complete』
以前は、ESETのAVを使用していました。ESETもとても良いソリューションです。会社の規模などによっては、そのまま弊社も使用し続けることを選択していたと思います。しかし、最近のサイバーセキュリティの脅威や監視および軽減する上で、エンドポイントセキュリティは、XDRやEDRなど次世代アンチウイルスを導入して運用することが当たり前になってきています。
製品選定は、『CrowdStrike』と『SentinelOne』のいずれを採用するかで、とても悩みました。
※私がいるバリュエンスグループでは両方採用しています。
両方とも、とても素晴らしいソリューションです。今回は Gartnerでも高く評価されている『CrowdStrike』を選択し、更にSOC運用を目的に『Falcon Complete』にしました。CrowdStrikeは以前から構築・運用をしていたので操作には慣れていました。インシデントレスポンス〜トリアージ対応を行い、会社のセキュリティを守ってきましたが、私がセキュリティに特化した専門家ではないこともあり、専門家の運用と比較すると物足りないところはあるかと思います。せっかく、EPP・NGAV・EDRを導入しても、なんちゃってEDR運用だけは避けたいと思いました。導入しただけで運用ができず放置してしまっている企業を沢山みてきたという背景もあるからです。
運用は、下記のPDCAサイクルで実行しています。
検知→対応→原因追及→振り返り→対策
単純な流れに見えるかもしれませんが、当該サイクルの運用においては、素早くリスク軽減をして影響を与えず迅速に対応するスキルが必要です。
現在、システム環境や端末の多様化を受け、サイバー攻撃も多種多様になり、世界中からあらゆる手段を使って狙われるようになってきています。そういったサイバー攻撃に対処するために、セキュリティの専門家がいる『Falcon Complete』チームは、ウイルス対策ソフト・ファイアウォール・IPS/IDSなどさまざまな対策を行い、さらに、24時間365日監視し情報システム部門と連携をして運用をしています。専門家チームを活用することで、安全安心の運用の確保と、我々、情報システム部門は手間がかかる作業からの解放が実現されています。
脱PPAP
メールの添付ファイルとして、パスワードZIPファイルで送付するいわゆる”PPAP”が、社会的に問題になりました。1通目に添付ファイルを送信して2通目の後続にパスワードを送付するやりかたなどは、未知のマルウェアやEmotetなどセキュリティをすり抜ける為、悪用されるリスクがあります。メールへのファイル添付は、誤送信や盗聴防止、受信者の手間なども課題としてあります。
また、下記はメールによる情報漏洩のリスクです。
①宛先を誤って個人情報を送付した場合、以下の事象などが発生する可能性があります。
- メールアドレスに大量のスパムメールなどが届くようになる
- 自宅に身に覚えのないダイレクトメールが届くようになる
- 知らない業者からの勧誘の電話が増える
- SNSや掲示板で自分の名前や住所、電話番号などを公開される
②上記①の発生により、企業の信用・信頼が低下し、重大な社会的責任を負う可能性があります。また、取引先/顧客情報の漏洩は、会社としての営業や経営に大きな影響を与え、企業存続に対しても影響するリスクがあります。
上記を踏まえ、当社が課題解決にあたって必要な要件は下記です。
- 誤送信防止
- 宛先確認、添付ファイル漏れなどの確認フローを挟めること
- 誤送信に気づいた際に対処できるよう、送信の一時保留ができること
- メルマガなど、複数ドメインへの送信時には 自動的に宛先をBccに変更できること
- 誤送信時の被害拡大防止
- 添付ファイルはWEBダウンロード形式にする
- 閲覧/ダウンロードの有効期限を設けられること
- PPAP運用
- 先方理由により、WEBダウンロードが利用できない場合に限る
- お客様から指定された場合は添付ファイルを社員が自分でzip形式で暗号化し、後続メールにてパスワードを自動送信する
- 添付ファイルはWEBダウンロード形式にする
上記の要件を満たすソリューションの候補としては『mxHero』と『Active! gate SS』でした。これもまた、両方とも素晴らしいソリューションでとても迷いました。当社は主にGoogle Workspaceを使用している為、『Active! gate SS』を選択しました。クラウドストレージを2つ保有して運用していく手間も当時はあったこととコストの兼ね合いもありました。
Cisco umbrella
リモートワークに適した環境を提供するのも我々の業務です。その中で「すべてを信用しない」という前提に立ち、「適切な認証を受けたユーザーと端末だけが許可されたアプリケーションやデータにアクセスできる」ようにする、ゼロトラストアーキテクチャに基づいて導入を進めています。SASE (Secure Access Service Edge)やゼロトラストが注目をされているなか当社は、DNS セキュリティに着目しました。
※私個人ではNetskopeなどを自社や他社で導入して運用しています。詳細はこちら
DNSの課題としては一部ですが下記があります。
- DNS ベースのすり抜けによりサーバの IP アドレスを頻繁に変化させ、フィッシングなど悪意のあるサイトの追跡特定を複雑化させるFast Flux手法
- DNS を悪用するランサムウェア
- DNSサーバのトラフィックを増幅してサービス不能の状態にする
- DNSリクエストに不正な信号を混ぜ込むことで通信経路の保護手段を回避する
Cisco Umbrellaであれば機械学習モデルでマルウェアやランサムウェアなどの脅威を自動的に発見できます。また、「新しく発見されたドメイン」における未知の脅威を削減することができます。DNS だけではなくウェブの脅威防御も可能な為、安全なサイトへの DNS リクエストは許可して危険なサイトへの DNS リクエストは拒否します。この機能を活用して課題解決し安全なリモートワークを実現したいと思っています。
最後に
当社にJoinして、そろそろ2年が経とうとしています。とてつもないスピードで統制をしていますが、従業員の方も協力的に対応してくれており、とても素晴らしい組織のチームワークだと思っています。
ITスキルやリテラシーは人によって様々です。スピード感をもってIT投資をしているので、難しいことや分からないことが各従業員で出てくるはずです。それを当社は、皆さん協力的で意見・提案も頂きながら進められています。一人一人のプロ意識がとても高く、私もとても働きやすい環境です。
また、自分がさまざまな企業様と関わることで分かったことが、正しいやり方というのはなく、会社それぞれのやり方であったり、適したソリューションを選定することが大事だと思います。良いソリューション、流行りのソリューション。これらを導入してもスケールしないなら意味がありません。その為に、会社にとって何が必要なのか。どれなら運用できるのか提案含め選定がとても必要だと思っています。特に必要なのは、その会社に馴染むことだと思います。
引き続き攻めの情シスを実行していきたいと思います。
