インフラセキュリティの基本

インフラストラクチャの保護は、サイバーセキュリティ戦略全体の極めて大きな部分を占めており、現在のセキュリティ態勢に直結します。では、インフラセキュリティとは具体的にはどのようなものなのでしょうか。さっそく見ていきましょう。

インフラセキュリティの概要

インフラセキュリティとは、組織のインフラストラクチャを保護することです。もちろん、インフラストラクチャには不動産などの長期的な資産も含まれますが、「インフラセキュリティ」は通常、次のようなテクノロジー資産を指す言葉として使用されます。

• コンピューターおよびエンドポイント/デバイス
  
• ネットワークシステム
• クラウドリソース(ハードウェアとソフトウェアの両方)

インフラセキュリティの概念には、従来のサイバー攻撃からの保護だけでなく、自然災害やその他の災害からの保護も含まれます。また、企業が予想外の障害や攻撃からどのように回復するかという「レジリエンス」のトピックにも関係します。インフラセキュリティの最終的な目標は次のとおりです。

• セキュリティ対策と全体的な態勢を強化する。
  
• ダウンタイムとそれに伴う顧客の減少、ブランドイメージや評判の低下、企業に課されるコンプライアンス費用などを最小限に抑える。

基本的に、インフラセキュリティとは企業のテクノロジー境界内全体の保護に関する大まかな指針であり、従業員のノートPCにあるデータを保護する方法など、セキュリティ計画の戦術的な側面は、全体的な戦略の下位要素として検討されます。

このブログ記事では、インフラとインフラセキュリティの各種構成要素、最も一般的な脅威、およびそれらの脅威からの保護について説明します。

インフラセキュリティのレベル

インフラセキュリティのレベルやカテゴリに関する普遍的な定義はありませんが、次の4つのレベルのセキュリティを確保することが、企業におけるセキュリティの考え方として一般的です。

• 物理レベル：インフラストラクチャには、鍵付きのドア、フェンス、予備の発電機、セキュリティカメラなどの物理的な保護が必要です。また、バックアップ機器を別の離れた場所に設置するフェイルオーバー計画も、物理的なセキュリティ戦略の一部です。
• ネットワークレベル：ネットワークセキュリティの中核は、ネットワークに出入りするデータを保護することにあります。これには、オンプレミスやクラウドを問わず、トラフィックの暗号化、適切なファイアウォールの管理、認証・認可システムの使用などが含まれます。
• アプリケーションレベル：アプリケーションレベルでのセキュリティも考慮する必要があります。SQLインジェクションなどの攻撃に対するデータベースの保護や、不正使用または悪質なエクスプロイトに対抗するためのアプリケーションの強化などがこれに当たります。
• データレベル：インフラセキュリティでは、データの保管場所や保管方法にかかわらず、最低でもデータを保護することを考慮しなければなりません。データの暗号化やバックアップのほか、場合によっては匿名化などの手法も活用できます。

インフラセキュリティの重要性

重要なインフラストラクチャのセキュリティを含め、インフラセキュリティはテクノロジー資産とデータを攻撃や災害から保護する上で非常に重要です。また、実際に攻撃によって侵害を受けた場合や災害が発生した場合に、その被害を最小限に食い止めるためにも欠かせません。インフラセキュリティの主な目的は、企業が直面するリスクレベルを全体的に下げることにあります。こうすることで、重要な業務が中断されたり、ビジネスに財務的な影響が及んだりする可能性を最小限に抑えられます。リスク管理の対象には、サイバーセキュリティリスクや財務リスク、さらにはサードパーティのリスクも含まれます。

今日の企業のITインフラはかつてないほど複雑化しており、次のような状況が一般的です。

• オンプレミスシステムとクラウドベースシステムの混在
• 会社所有および個人所有のデバイス(ノートPCやスマートフォンなど)の混在
• カメラや産業用センサーといったIoTデバイスの設置

こうしたデバイスの多くは、セキュリティを考慮した設計になっていないか、考慮されている場合でも、問題の発生後にセキュリティパッチが適用されるものがほとんどです。最終的に、こうしたシステムを保護する義務はすべて管理組織にのしかかります。

どのような企業でも、インフラはテクノロジー運用の中核を成しているため、インフラセキュリティは全体的なセキュリティ戦略の要となっています。インフラセキュリティは組織のセキュリティのマスタープランであり、戦術的な戦略やそれらに付随して策定されるすべての要素を支える土台であると考えれば、わかりやすいかもしれません。

ネットワークインフラセキュリティ

ほとんどの企業では、インフラセキュリティプログラムのリソースの大部分がネットワークレベルのインフラセキュリティに費やされています。一般に、セキュリティリスクという観点では、ネットワークレベルが最も規模が大きく脆弱であると考えられており、ネットワークレベルを保護するためのツールは豊富に提供されています。

ネットワークインフラは複雑であり、通常は膨大な数のハードウェアおよびソフトウェアのコンポーネントで構成されています。これらのコンポーネントには、ルーター、スイッチ、サーバー、無線アクセスポイント、ケーブルなどの物理的なデバイスも含まれています。ただし、脆弱性の主な要因となっているのは、ネットワークインフラを運用するためのソフトウェアやファームウェアであり、具体的には、サーバーのオペレーティングシステム、ネットワーク管理、ネットワーク通信システム、ファイアウォールなどのセキュリティアプリケーションの設定、ルーティングソフトウェアなどが挙げられます。

つまり、企業が最も注意を払うべきなのが、ネットワークのインフラなのです。管理者は、パッチがリリースされたら適用し、設定が正しいことを再確認し、ネットワークをできるだけ安全に保つためのポリシーを策定して、遵守しなければなりません。

ネットワークインフラセキュリティの役割は、上記のような負担をすべて軽減することにあります。その目的のために、ハードウェアとソフトウェアの監視、悪意のある攻撃からのネットワークインフラの保護、アクセス制御ルールの適用、許可されたユーザーのみによるネットワークリソースの使用、マルウェアの検出と削除、仮想プライベートネットワーク(VPN)のような安全なチャネルのリモートユーザーへの提供などを行えるように設計されています。

クラウドにおけるインフラセキュリティ

クラウドインフラセキュリティとは、その名のとおり、クラウドベースの資産を保護することです。クラウドインフラセキュリティは、上述のような1つの明確なレベルに対するインフラセキュリティではなく、ネットワークレベル、アプリケーションレベル、データレベルなど、複数のセキュリティレベルにまたがって機能します。ただし、定義上、物理的なセキュリティレベルについては除外されます。

クラウドインフラセキュリティは複雑になりがちですが、その理由として、多くの企業が、プロバイダーと自社の責任範囲の境界線を正確に把握していないことが挙げられます。一般に、多くのクラウドプロバイダーは、「クラウドそのもの」のセキュリティを責任範囲としています。これは、ストレージ、コンピューティング、ネットワークの各層のセキュリティを含め、クラウドのインフラが本質的に安全かつ信頼できるものであることを保証することを意味します。クラウドプロバイダーはこれらの責任をサービス利用規約で詳しく説明していますが、「クラウド内の環境」については曖昧な記述が多く、特に攻撃が検出された場合の責任者や責任範囲に関して混乱をもたらしがちです。

責任範囲の規定はプロバイダーごとに異なりますが、一般には、ユーザーの管理とアクセス制御、クラウドでのデータの暗号化、ベンダーが提供するセキュリティツールの適切な設定、関連するプライバシー法への遵守など、クラウドセキュリティタスクの多くがサービスの利用者側の責任とされています。これは責任共有モデルと呼ばれます。

クラウドが普及したことでクラウドインフラへの攻撃が増加する中、クラウドセキュリティが非常に重要な課題であることは言うまでもありません。しかし、次のようなさまざまな理由から、クラウドインフラの保護は困難を極めています。

• 攻撃対象が拡大している
• 実行中のクラウドサービスの動作を完全には可視化できない
• クラウドベースのワークロードは動的であり、一時的なものが多い
• 全般的にクラウド環境は複雑である(特に複数のクラウドサービスが関与している場合)

インフラストラクチャに対する一般的な脅威

インフラセキュリティに関する理解が深まったところで、ここからはインフラストラクチャに対する脅威について具体的に考えてみましょう。今日の市場で最も多く見られるインフラセキュリティの脅威には、次のようなものがあります。

フィッシング

フィッシングは個人や企業を対象に最も広く蔓延し、損害をもたらしている脅威の1つです。量的にも複雑さの点でもますます拡大しているため、検出が難しくなっています。しかし、フィッシング攻撃の目的は依然として変わっていません。攻撃者は次のような目的で、ユーザーのログイン認証情報を手に入れようとします。

• 企業のリソースにアクセスする。
• 資金や知的財産を盗み出す。
• 企業に大損害を与える。

フィッシング攻撃は、新型コロナウイルスの感染が拡大していた時期に急増し、パンデミックに便乗した救済詐欺、アメリカ疾病予防管理センター(CDC)のなりすまし、中小企業向け融資や納税期限の延長に関するものなど、さまざまな詐欺が横行しました。

ランサムウェア

このタイプの攻撃では、攻撃者は企業のネットワーク上にマルウェアをインストールし、標的のデータを暗号化します。その後、データを人質に取り、被害企業に身代金の支払いを要求します。身代金を支払わない限り、被害企業はそのファイルにアクセスできず、身代金を支払ったとしても、システムの機能が回復する保証はありません。

ランサムウェア攻撃はさらに蔓延しつつあります。2021年6月には数百の企業のネットワークを麻痺させるランサムウェア攻撃がありました。攻撃者は、あるソフトウェアサプライヤーを標的とし、そのサプライヤーのネットワーク管理パッケージを利用して、クラウドサービスプロバイダー経由でランサムウェアを拡散しました。

ボットネット

ボットネットはこれまで、分散型サービス妨害(DDoS)攻撃に利用されてきました。近年では、密かに暗号通貨をマイニングしたり、IoTインフラを標的にしたりするために利用されています。この種の攻撃の被害に遭った企業は、時には何年もの間、自社のリソースが悪用されていることに気付かないこともあります。クラウドベースのリソースは、ボットネット攻撃に対して特に脆弱です。

物理的な盗難

インフラは、鍵付きのドア、フェンス、警報システム、警備員など、物理的なバリアによって効果的に保護されている必要があります。物理的に保護されていなければ、サイバー脅威からどれだけインフラを保護しても意味がありません。ある医療機関では、所有するノートPCが1台盗まれただけで、65万人もの患者の個人情報や医療データが公開され、潜在的な危険にさらされました。

インフラセキュリティのメリット

当然ながら、インフラセキュリティの最大のメリットは、企業のすべてのテクノロジー資産を攻撃から保護できることにあります。ほとんどの企業にとって、インフラセキュリティはサイバー攻撃やその他のエクスプロイトに対する防御の最前線です。

インフラセキュリティの導入が、企業に多くのメリットをもたらすことは言うまでもありません。適切なインフラセキュリティ対策の導入によって、次のことが可能になります。

• データの盗難や他の方法での侵害を防ぎ、多額の罰金の支払いという金銭的なリスクを最小限に抑える。
• 消費者の情報を攻撃から守ることを義務付けるデータプライバシー規制の強化に確実に対応する。
• ユーザーの不注意による損害のリスクを最小限に抑える。

ほとんどのマルウェアは、社内ユーザーが意図的に企業ネットワーク上に仕込んだものではありません(ただし、このようなインサイダー攻撃が起こる可能性もあります)。それよりも、ユーザーが意識せずにメールの添付ファイルや悪質なリンクをクリックしたことで攻撃が開始されるケースが多いです。こうした避けられない人為的ミスが起こった場合にも、インフラセキュリティのシステムやプロトコルによってリスクを軽減できます。

サイバーセキュリティソリューションによるインフラ保護

ITセキュリティソリューションは、インフラを保護するための重要なツールです。サイバーセキュリティソリューションでインフラを保護できることに疑問の余地はありませんが、問題はどのようにソリューションを利用すれば、インフラを最大限に保護できるのかということです。サイバーセキュリティソリューションは、次の目的で使用できます。

• 許可されたユーザーにのみアクセス権を付与する。
• インフラ機器にマルウェアがインストールされるのを防ぐ。
• 攻撃と防御の両方の視点でネットワーク全体のセキュリティを評価する。
• 防御が破られた場合でもデータを保護できるように、移動中および保管中のデータを暗号化する。

これらすべてを組み合わせることで、強力なインフラ保護プログラムの基盤を構築できます。

「国家規模のインフラセキュリティ」とは？

国家規模のインフラセキュリティは、企業レベルよりもはるかに複雑な、まったく次元の異なるセキュリティです。

重要インフラである国家レベルのインフラには、社会を支える物理的システムと電子システム、ネットワーク、データ、デジタル資産などがあります。また、インターネットそのもの、道路や鉄道、パイプラインや発電所、橋やトンネル、飲料水システムなどのさまざまな物理的構造物のほか、GPS衛星のような上空にあるシステムも含まれます。

米国では、国土安全保障省が重要インフラのセキュリティを管轄しています。2013年には、政府関係者がこれらの分野の安全を確保するために、国家インフラ防護計画(NIPP)と呼ばれる広範な戦略を策定しました。この計画では、次のような目標が掲げられています。

• 脅威の評価と分析を行い、その結果をリスク管理活動に反映させる。
• 重要インフラをさまざまな脅威から保護して、リスクを低減させる。
• 高度な計画と復旧対策を通じて、インフラのレジリエンスを高める。
• インフラコミュニティ全体で情報を共有する。
• インシデントの発生時および発生後における理解と適応を促す。

国家のテクノロジー資産のセキュリティは、NIPPで保護対象となっている重要インフラ分野の1つに過ぎません。『Cybersecurity and Infrastructure Security Convergence Action Guide』は、サイバー資産と物理的資産の両方を保護するための統合計画の概要を説明しており、インターネットセキュリティをヘルスケア、輸送、エネルギー、産業用制御システムの物理的保護につなげています。東海岸への石油供給の45%を停止させた2021年5月のColonial Pipeline社へのランサムウェア攻撃などの事件を見れば、このような物理的なサイバーセキュリティ攻撃への対策がさらに重要になっている理由が容易に理解できます。)

インフラストラクチャを保護するためのベストプラクティス

インフラ保護のためにセキュリティポリシーに取り込むべきベストプラクティスには、次のようなものがあります。

パスワードの安全性に十分注意する：ログインはすべて、強力なパスワード(大文字、小文字、数字、記号を組み合わせた、意味のある単語をそのまま綴ったものではない、覚えにくくて長いパスワード)で保護し、可能な限り二要素認証を使用します。

ユーザー権限を頻繁に監査する：不正なアクセスを防ぐため、ユーザーのアクセスが不要になったときや、ユーザーが組織を離れたときには、すぐにサービスへの権限を削除します。

定期的にパッチを適用する：パッチは、通常、リリースされたその日にインストールします。セキュリティ修正が含まれている場合は、とりわけこれが重要です。

インターネットベースの資産には、SSH (Secure Shell)やSSL (Secure Socket Layer)などの安全なプロトコルを必ず使用する：これらのプロトコルは、安全でないネットワーク上でも、安全な通信チャネルを提供します。

使用していないサービスやソフトウェアを削除する：アクティブなシステムは、アイドル状態でも不要なセキュリティリスクを引き起こす可能性があります。これは、ネットワークのハードニングと呼ばれるプロセスの一部です。

ファイアウォールを適切に構成する：誤った設定のファイアウォールは、ファイアウォールを使用していないのと同じくらい危険です。

コードが安全な開発手法に従っていることを確認する：セキュリティを重視した考え方を開発チームに浸透させるには、シフトレフト(セキュリティを初期段階から組み込む)アプローチやDevSecOpsアプローチが有効です。

可能な限り暗号化を使用する：攻撃者は、たとえシステムへの侵入に成功したとしても、鍵を持っていない限り暗号化されたファイルには太刀打ちできません。

すべてのシステムを定期的にバックアップする：オフサイトバックアップは、ランサムウェア攻撃に対する最大の防御です。

システムのストレステストを定期的に行う：セキュリティスキャンや侵入テストを実施して、脆弱性が潜んでいないか定期的に確認します。

インフラセキュリティ用のツールとソリューション

組織のインフラデータを保護するには、次のようなツールやセキュリティ管理機能の導入を検討することをお勧めします。

• ファイアウォール：あらゆる脅威に対する防御の最前線であり、悪質なトラフィックが内部ネットワークにアクセスするのを防ぎます。
• アンチウイルスシステムまたはアンチマルウェアシステム：マルウェアはさまざまな方法で企業内に侵入します。アンチマルウェアシステムは、メールメッセージ、Webトラフィック、ハードウェアデバイスをスキャンし、マルウェアに感染していないことを確認します。
• 侵入テストとネットワークの脆弱性分析ツール：これらのツールは、定期的または継続的にネットワークをスキャンして、潜在的なセキュリティの問題がないか確認します。
• 侵入検知システム：侵入検知ツールは、ネットワークをリアルタイムで監視し、通常とは異なる動作や攻撃者がインフラに侵入したことを示す動作がないかどうかチェックします。
• 認証ソフトウェア：認証ソフトウェアは、ネットワークにアクセスするユーザーの挙動を監視します。AI (人工知能)により、ユーザーの認証情報が不正に使用されたことを示唆する異常なアクティビティを検出できます。
• パスワード監査ツール：パスワードの監査を定期的に実施して、ユーザーが安全ではないログイン認証情報やハッキングの恐れがあるログイン認証情報を使用していないか確認する必要があります。
• 暗号化ツール：攻撃者にとって、暗号化されたデータはほとんど、あるいはまったく価値がありません。そのため、万一攻撃を受けた場合にも組織の保護を強化できます。
• SIEMツール：セキュリティ情報/イベント管理(SIEM)ツールは、インフラセキュリティの監視に伴う面倒な作業の大部分を自動化し、組織内のさまざまなアプリケーションから生成されるセキュリティアラートをリアルタイムで分析します。

企業の保護はインフラセキュリティ対策から

攻撃者は長い間インフラを標的にしてきましたが、それはインフラが彼らにとって潜在的な宝の山であるためです。不幸にもその規模と複雑さのために、インフラの保護はセキュリティ運用チームにとってもたやすいことではありません。

IoTデバイスの台頭やクラウドサービスの急増により、多くの企業が攻撃対象の拡大という厄介な問題に直面しており、組織的な攻撃と自然災害の両方に対しますます脆弱になっています。インフラを慎重に保護することのみが、本当の意味で脅威を軽減し、インフラ環境とデータを攻撃から守ることにつながります。

このブログはこちらの英語ブログの翻訳です。