インフラセキュリティとは？

インフラセキュリティのレベルやカテゴリに関する普遍的な定義はありませんが、以下の4つのレベルのセキュリティを確保することが、企業におけるセキュリティの考え方として一般的です。

• 物理レベル：インフラには、鍵付きのドア、フェンス、予備の発電機、セキュリティカメラなどの物理的な保護が必要です。また、バックアップ機器を別の離れた場所に設置するフェイルオーバー計画も、物理的なセキュリティ戦略の一部です。
• ネットワークレベル：ネットワークセキュリティの中核は、ネットワークに出入りするデータを保護することにあります。これには、オンプレミスやクラウドを問わず、トラフィックの暗号化、適切なファイアウォールの管理、認証・認可システムの使用などが含まれます。
• アプリケーションレベル：アプリケーションレベルでのセキュリティも考慮する必要があります。SQLインジェクションなどの攻撃に対するデータベースの保護や、不正使用または悪質なエクスプロイトに対抗するためのアプリケーションの強化などがこれに当たります。
• データレベル：インフラセキュリティでは、最低でもデータを保護するように考慮しなければなりません。その際、データがどこに保管されているか、またはどのように保管されているかは関係ありません。データの暗号化やバックアップのほか、場合によっては匿名化などの手法も活用できます。

重要インフラのセキュリティを含め、インフラセキュリティはテクノロジー資産とデータを攻撃や災害から保護するうえで非常に重要です。また、実際に攻撃によって侵害を受けた場合や災害が発生した場合に、その被害を最小限に食い止めるためにも欠かせません。インフラセキュリティの主な目的は、企業が直面するリスクレベルを全体的に下げることにあります。こうすることで、重要な業務が中断されたり、ビジネスに財務的な影響がおよぶ可能性を最小限に抑えます。

オンプレミスとクラウドの両システム、ノートPCやスマートフォンなどの会社所有および個人所有のデバイス、カメラや産業用センサーといったIoTデバイスなど、今日の企業のITインフラはかつてないほど複雑化しています。そして、これらのデバイスの多くがセキュリティを考慮した設計になっていないか、考慮されている場合でも、問題が発生した後にセキュリティパッチを当てるというものがほとんどです。最終的に、こうしたシステムを保護する義務はすべて管理組織にのしかかります。

どのような企業においても、インフラはテクノロジーオペレーションの中核を成しているため、インフラセキュリティは全体的なセキュリティ戦略の要となっています。インフラセキュリティは組織のセキュリティのマスタープランであり、戦術的な戦略やそれらに付随して策定されるすべての要素を支える土台であると考えると、わかりやすいかもしれません。

ほとんどの企業において、ネットワークレベルのインフラセキュリティがインフラセキュリティプログラムのリソースの大部分を使用しています。一般に、セキュリティリスクという観点では、ネットワークレベルが最大かつ最も脆弱であると考えられており、ネットワークレベルを保護するためのツールは他のレベルよりも豊富に提供されています。

ネットワークインフラは膨大な数のハードウェアおよびソフトウェアのコンポーネントで構成され、非常に複雑です。コンポーネントには、ルーター、スイッチ、サーバー、無線アクセスポイント、ケーブルなどの物理的なデバイスも含まれますが、脆弱性は主に、サーバーのオペレーティングシステム、ネットワーク管理、ネットワーク通信システム、ファイアウォールなどのセキュリティアプリケーションの設定、ルーティングソフトウェアなど、ネットワークインフラを運用するためのソフトウェアやファームウェアに起因します。

つまり、企業が最大の注意を向けていくべきなのは、ネットワークのインフラです。管理者は、パッチがリリースされたらそれを適用し、設定が正しいことを再確認し、ネットワークをできるだけ安全に保つようにポリシーを策定して、それを遵守していかなければなりません。

ネットワークインフラセキュリティの役割は上記のような負担をすべて軽減することにあり、その目的のために、ハードウェアとソフトウェアの監視、悪意のある攻撃からのネットワークインフラの保護、アクセス制御ルールの適用、許可されたユーザーのみによるネットワークリソースの使用、マルウェアの検出と削除、仮想プライベートネットワーク(VPN)のような安全なチャネルのリモートユーザーへの提供などを行えるように設計されています。

クラウドインフラセキュリティは、その名のとおり、クラウドベースの資産の保護を行います。クラウドインフラセキュリティは、上述のような1つの明確なレベルに対するインフラセキュリティではなく、ネットワークレベル、アプリケーションレベル、データレベルなど、複数のセキュリティレベルにまたがって機能します。ただし、定義上、物理的なセキュリティレベルについては除外されます。

クラウドインフラセキュリティは複雑になりがちですが、その理由として、多くの企業が、プロバイダーと自社の責任範囲の境界線を正確に把握していないことが挙げられます。一般に、多くのクラウドプロバイダーが負っているのは、「クラウドの」セキュリティに対する責任です。これはつまり、ストレージ、コンピューティング、ネットワークの各層のセキュリティを含め、クラウドのインフラが本質的に安全かつ信頼できるものであることを保証するということを意味します。クラウドプロバイダーはこれらの責任をサービス利用規約で詳細に説明していますが、クラウド内の環境は曖昧なことが多く、特に攻撃が検出されたような場合、誰が何に対して責任を負うのかについて混乱が生じがちです。

責任範囲の規定はプロバイダーごとに異なりますが、一般には、ユーザーの管理とアクセス制御、クラウドでのデータの暗号化、ベンダーが提供するセキュリティツールの適切な設定、関連するプライバシー法への遵守など、クラウドセキュリティタスクの多くは、常にサービスの利用者側の責任となります。

クラウドの急速な普及に伴ってクラウドインフラに対する攻撃が増加する中、クラウドセキュリティが非常に重要な課題であることは言うまでもありません。しかし、攻撃の規模が拡大していること、実行時のクラウドサービスの動作を完全には可視化できないこと、クラウドベースのワークロードが動的かつ一時的であるという特性を持つこと、さらには(特に複数のクラウドサービスが関与している場合)クラウド環境が複雑であることなど、多くの理由によってクラウドインフラのセキュリティの確保は困難を極めています。

今日の市場において最も多く見られるインフラセキュリティの脅威には、次のようなものがあります。

• フィッシング：フィッシングは個人や企業を対象に最も広く蔓延し、損害をもたらしている脅威の1つです。量的にも複雑さの点でもますます拡大しているため、検出が難しくなっています。しかし、フィッシング攻撃の目的は常に同じです。攻撃者はユーザーのログイン資格情報を手に入れ、それを使って企業のリソースにアクセスしたり、資金や知的財産を盗んだり、企業に大損害を与えたりします。新型コロナウイルスの感染が拡大する中、フィッシング攻撃が急増しました。これには、パンデミックに便乗した救済詐欺やアメリカ疾病予防管理センター(CDC)のなりすまし、さらには中小企業向けの融資や納税の延長にいたるまで、さまざまなものがあります。
• ランサムウェア：このタイプの攻撃では、企業のネットワーク上にインストールされたマルウェアが標的のデータを暗号化し、攻撃者によって身代金が要求されます。身代金を支払わないと被害者はそのファイルにアクセスできず、身代金を支払ったとしても、システムの機能が回復する保証はありません。ランサムウェア攻撃はより広範に蔓延しつつあります。2021年6月、ランサムウェア攻撃が数百の企業のネットワークを麻痺させましたが、これは、あるソフトウェアサプライヤーを標的とし、そのネットワーク管理パッケージを、クラウドサービスプロバイダーを経由してランサムウェアを拡散するための導線として使用したものでした。
• ボットネット：ボットネットはこれまで、分散型サービス妨害(DDoS)攻撃に利用されてきました。近年では、密かに暗号通貨をマイニングしたり、IoTインフラを標的にしたりするために利用されています。この種の攻撃の被害に遭った企業は、時には何年もの間、自社のリソースが悪用されていることに気付かないこともあります。クラウドベースのリソースは、ボットネット攻撃に対して特に脆弱です。
• 物理的な盗難：インフラは、鍵付きのドア、フェンス、警報システム、警備員など、物理的なバリアによって効果的に保護されている必要があります。物理的に保護されていなければ、サイバー脅威からどれだけインフラを保護しても意味がありません。ある医療機関が所有するノートPCが盗難された際には、実に65万人の患者の個人情報や医療データが公開され、潜在的な危険にさらされました。

当然のことながら、インフラセキュリティの最大のメリットは、企業のすべてのテクノロジー資産を攻撃から保護できることにあります。ほとんどの企業にとって、インフラセキュリティはサイバー攻撃やその他のエクスプロイトに対する防衛の最前線です。インフラセキュリティは、ネットワーク上のハードウェアとソフトウェアの両方を攻撃から保護すると同時に、ユーザーとそのデータをも保護します。

インフラセキュリティの導入は、企業にとって多くのメリットがあります。これにより、データの盗難や他の方法での侵害を防ぎ、多額の罰金を課せられるという財務的なリスクを最小限に抑えることができます。プライバシー規制の拡大に伴い、消費者の情報を攻撃から守ることを義務付ける規則を確実に遵守するうえで、インフラセキュリティは重要な役割を果たすようになりました。

さらに、ユーザーの不注意による損害のリスクを最小限に抑えるという点でも、インフラセキュリティは重要な役割を担っています。ほとんどの場合、マルウェアは社内ユーザーが意図的に企業ネットワーク上に置いたものではなく(このようなインサイダー攻撃が起こることもありますが)、ユーザーが意識せずにメールの添付ファイルや悪意のあるリンクをクリックすることで攻撃が開始されます。このような避けて通れない人為的なミスが起こった場合にも、インフラセキュリティのシステムやプロトコルによってリスクを軽減することができます。

サイバーセキュリティ(またはITセキュリティ)ソリューションは、インフラを保護するための重要なツールです。サイバーセキュリティソリューションでインフラを守れるかどうかについては疑問の余地がありませんが、問題は、それを使ってインフラをどのように守るのが最善なのかという点にあります。

サイバーセキュリティソリューションは、許可されたユーザーのみがアクセスできるようにしたり、インフラ機器にマルウェアがインストールされるのを防いだり、侵入テストを使った攻撃のシミュレートでネットワーク全体のセキュリティを評価したり、あるいは、攻撃への防御が破られた場合でもデータを保護できるように移動中や保管中のデータを暗号化したりするために使用できます。

つまり、サイバーセキュリティソリューションは、強力なインフラ保護プログラムを構築するための部品を提供するということです。

国家規模のインフラセキュリティは、企業レベルよりもはるかに複雑な、まったく次元の異なるセキュリティです。重要インフラである国家レベルのインフラには、社会を支える物理的システムと電子システム、ネットワーク、データ、デジタル資産などが含まれ、さらに、インターネットそのもの、道路や鉄道、パイプラインや発電所、橋やトンネル、飲料水システムなどのさまざまな物理的構造物のほか、GPS衛星のような上空にあるシステムも含まれます。

重要インフラのセキュリティは、米国国土安全保障省が管轄しています。2013年、政府関係者は、これらの分野の安全を確保するために、国家インフラ防護計画(NIPP)と呼ばれる広範な戦略を策定しました。この計画では、脅威の評価および分析とリスク管理活動への反映、さまざまな脅威に対する重要インフラの安全確保とリスクの低減、高度な計画および復旧対策によるインフラのレジリエンスの向上、インフラコミュニティ全体での情報共有、インシデント発生時とその後の学習と適応の促進などを目標として掲げています。

国家のテクノロジー資産のセキュリティは、NIPPで保護対象となっている重要インフラ分野の1つに過ぎません。『Cybersecurity and Infrastructure Security Convergence Action Guide』は、サイバー資産と物理的資産の両方を保護するための統合計画の概要を説明しており、インターネットセキュリティをヘルスケア、輸送、エネルギー、産業用制御システムの物理的保護につなげています。東海岸への石油供給の45%を停止させた2021年5月のColonial Pipeline社へのランサムウェア攻撃などの事件を見れば、なぜこのような物理的なサイバーセキュリティ攻撃への対策が重要になってきているのか、容易に理解できます。

インフラを保護するためのセキュリティポリシーに取り込むべきベストプラクティスとしては、以下のようなものがあります。

• パスワードの安全性に十分に注意する：ログインはすべて、強力なパスワード(大文字、小文字、数字、記号を組み合わせた、意味のある単語をそのまま綴ったものではない、覚えにくくて長いパスワード)で保護し、可能な限り2要素認証を使用するようにします。
• ユーザー権限を頻繁に監査する：不正なアクセスを防ぐため、ユーザーのアクセスが不要になったときや、ユーザーが組織を離れたときには、すぐにサービスへの権限を削除します。
• 定期的にパッチを適用する：パッチは、通常、リリースされたその日にインストールします。セキュリティ修正が含まれている場合は、とりわけこれが重要です。
• インターネットベースの資産には、SSH(Secure Shell)やSSL(Secure Socket Layer)などの安全なプロトコルを必ず使用する：これらのプロトコルは、安全でないネットワーク上でも、安全な通信チャネルを提供します。
• 使用していないサービスやソフトウェアを削除する：アクティブなシステムは、アイドル状態でも不要なセキュリティリスクを引き起こす可能性があります。これは、ネットワークのハードニングと呼ばれるプロセスの一部です。
• ファイアウォールが適切に構成されていることを確認する：誤った設定のファイアウォールは、ファイアウォールを使用していないのと同じくらい危険です。
• コードが安全な開発手法に従っていることを確認する：開発チームにセキュリティを重視した考え方を浸透させるには、DevSecOpsなどのフレームワークが有効です。
• 可能な限り暗号化を利用する：攻撃者は、たとえシステムへの侵入に成功したとしても、鍵を持っていない限り暗号化されたファイルには太刀打ちできません。
• すべてのシステムを定期的にバックアップする：オフサイトバックアップは、ランサムウェア攻撃に対する最大の防御です。
• システムのストレステストを定期的に実施する：セキュリティスキャンや侵入テストを実施して、脆弱性が潜んでいないか定期的に確認します。

組織のインフラデータを保護するには、以下のようなツールやセキュリティ管理機能の導入を検討するとよいでしょう。

• ファイアウォール：あらゆる脅威に対する防御の最前線であり、悪意のあるトラフィックが内部ネットワークにアクセスするのを防ぎます。
• アンチウイルスシステム、アンチマルウェアシステム：マルウェアはさまざまな方法で企業内に侵入します。アンチマルウェアシステムは、メールメッセージ、Webトラフィック、ハードウェアデバイスをスキャンし、それらが感染していないことを確認します。
• 侵入テストとネットワークの脆弱性分析ツール：これらのツールは、定期的または継続的にネットワークをスキャンして、セキュリティの問題が潜在していないか確認します。
• 侵入検知システム：侵入検知ツールは、通常とは異なる動作や攻撃者がインフラに侵入したことを示す動作がないかどうか、ネットワークをリアルタイムで監視します。
• 認証ソフトウェア：認証ソフトウェアは、ネットワークにアクセスするユーザーの挙動を監視します。AIにより、ユーザーの資格情報が不正に使用されたことを示唆する異常なアクティビティを検出できます。
• パスワード監査ツール：パスワードの監査は定期的に実施して、ユーザーが安全でない、またはハッキングされる恐れのあるログイン資格情報を使用していないかどうか、継続的に確認していく必要があります。
• 暗号化ツール：暗号化されたデータは攻撃者にとってほとんど、あるいはまったく価値がありません。そのため、万一攻撃を受けた場合の組織の保護を強化できます。
• SIEMツール：セキュリティ情報/イベント管理(SIEM)ツールは、インフラセキュリティの監視に伴う面倒な作業の大部分を自動化し、組織内のさまざまなアプリケーションから生成されるセキュリティアラートをリアルタイムで分析します。

攻撃者は長期にわたってインフラを標的にしてきましたが、それはインフラが彼らにとって潜在的な宝の山であるためです。不幸にもその規模と複雑さのために、インフラの保護はセキュリティ運用チームにとってもたやすいことではありません。IoTデバイスの台頭やクラウドサービスの急増により、多くの企業が攻撃対象の拡大という厄介な問題に直面しており、組織的な攻撃と自然災害の両方に対しますます脆弱になっています。インフラを慎重に保護していくことのみが、本当の意味で脅威を軽減し、インフラ環境とデータを攻撃から守ることにつながります。