2017年のセキュリティ動向 ~1月2日の記事から振り返る~

2017年のセキュリティ動向

皆様、こんにちは。はなくとです。
今回は2017年のセキュリティ動向について書いてみたいと思います。
もう2017年も終わっちゃうよ!という素晴らしいツッコミは気の済むまでして頂いて
構いません。心が落ち着いたら先を読み進めてください。

ちなみに今回の記事執筆にあたり、こちらの記事を参考にしています。
英語ですが興味のある方は読んでみてください。
https://techcrunch.com/2017/01/02/the-age-of-resilience-security-in-2017/;

1. セキュリティ対策の変遷

と、その前に折角なのでセキュリティ対策が時代を経てどのように変化してきたか、
簡単に過去を振り返ってみたいと思います。

1.1 ネットワーク境界における対策(1990年~)

1990年代はインターネットが一般向けにも普及し始め、業務システムにネットワークが
使われるようになりました。そのため、組織内ネットワークと組織外ネットワークを意識した
セキュリティ対策を考える必要が出てきました。

代表的なセキュリティ対策として、組織外からの通信を監視・遮断するファイアウォールや組織内への侵入を検知するIDS、遮断まで行うIPS等が挙げられます。

1.2 Webアプリケーションにおける対策(2000年~)

2000年代になると、クライアント/サーバ型のWebアプリケーションを利用するようになり、
Web/AP/DBの3階層システムが主流となりました。
(はなくとは2005年に某SIerに就職したのですが、新人研修宙に3階層のシステムの概念や
構成を勉強した覚えがあります。)
Webアプリケーションの出現により、セキュリティ対策は大きく2つ変化しました。

1.2.1 Webアプリケーションにおける対策

Webアプリケーション自体を守るための対策が必要になりました。具体的には、Webアプリケーションが動作しているサーバの要塞化やWebアプリケーションの脆弱性対策等が挙げられます。この2点についてはまた別の機会に詳しく紹介したいと思います。
DMZもこの頃に出てきた考え方でしょうか。

1.2.2 モバイル端末における対策

Webアプリケーションは、組織内からの利用だけでなく、VPN等を利用して組織外からも
利用できるのが特徴の1つです。皆様の中にも、持ち出し用のモバイル端末を利用して
外出先から業務を行う方もいらっしゃるのではないでしょうか。
一方でモバイル端末の紛失等による情報漏洩のリスクが新たに発生し、モバイル端末自体にも
セキュリティ対策が必要となりました。ハードディスク暗号化等が挙げられます。

1.3 クラウドセキュリティにおける対策(2010年~)

2000年代の後半には「クラウド」という考えが出始めました。
「クラウド」を簡単に説明すると、サーバ等のハードウェアやアプリケーションを個々の企業
が独自に保有するのではなく、これらをインターネット経由で利用することができるサービス
のことです。当時は「クラウド」って良くわかっていませんでしたが、知らないうちに馴染み
ましたね。

クラウドのセキュリティ対策として、参考記事ではWAF(Web Application Firewall)や
Cloud Accessと記載がありました。ただ、WAFはクラウド特有の対策ではないような?と
思ってます。普通にオンプレ環境でも使っているのではないでしょうか。

また、Cloud Accessって何か良くわからなかったので調べてみました。
すると、CASB(Cloud Access Security Brkers)という、ガートナー社が提唱している考え
方ということが分かりました。具体的には、複数のクラウドに同じレベルのセキュリティポリシーを適用することで、安全にクラウドに接続する手段を提供するものです。
ここでは詳細は割愛しますが、分かりづらいと思いますので機会があれば別途紹介したいと思います。

ちなみに、クラウドセキュリティを語る上で是非知っておきたいのが、CSA(cloud security alliance)という非営利法人です。CSAはクラウドに対するセキュリティを実現するためのベストプラクティスを広めたり、クラウドセキュリティに関する資格試験(CCSK、CCSP)も提供しています。興味があれば受験してみてください。

CSAジャパンのホームページ
https://www.cloudsecurityalliance.jp/newsite/

1.4 自動化、レジリエンス(~2020年)

ここまで過去のセキュリティ動向を記載してきましたが、ここからは現在のお話となります。現在のトレンドは大きく2つです。

1.4.1 自動化

セキュリティ対策をすべきポイントは、上述したようなシステムの在り方や利用方法の変化によって増加する一方です。そのためセキュリティ対策は複雑となり、検知するセキュリティアラートやそのアラートが問題ないか確認・分析する作業も増え、現場は非常に大変な思いをしていると思います。そこで出てきたのが、アラートの分析や分析した結果、実施すべき作業を自動化するという考え方です。自動化により下記のメリットがあります。

・運用コストの削減
人手でアラート分析する必要がなくなります。最近、セキュリティ人材が不足している、と
耳にすることが多いですが、自動化により人材不足を補うことができます。
・人的ミスの防止
人手で作業をするとどうしてもミスが発生する可能性がありますが、自動化によってミスが
なくなります(正しく設計できてれば、ですが)。
・迅速な対応
アラートを検知した場合、指定したスクリプトを実行するよう設定をしておけば、迅速かつ
正確な対応が可能です。

1.4.2 レジリエンス

レジリエンスとは、セキュリティインシデント発生後に迅速な対応、被害を最小化しようとする考え方です。レジリエンスが必要になってきた背景として、標的型攻撃に代表されるようにウィルスや外部からの攻撃は複雑かつ巧妙化してきており、完全に防ぎきることは難しくなってきたことが挙げられます。

レジリエンスを実現するための2つの方法があります。
1つ目は組織的な対応力を強化することです。所謂CSIRT(Computer Security Incident
Response Team)です。
2つ目は複数のセキュリティ製品を連携させることです。前述した「自動化」の仕組みを利用して、インシデント発生後の対応を迅速化します。

大手セキュリティベンダーの中には、複数のセキュリティ製品を連携させて防御する仕組みを取り入れています。ちなみにはなくとも「連携」をキーワードに製品を提案したことがあります。

2. 所感

コンピュータシステムのセキュリティ対策の歴史を振り返ることは、同時にコンピュータシステムの利用方法や取り巻く環境を振り返ることに直結していることが分かってきました。
環境が変われば環境に応じたセキュリティ対策が必要になる、ということでこれから先も日々
勉強の日々が始まりそうです。

ちなみに記事を書く前はIoTやAIも書こうかな、とも思ったのですが別の記事で書いていきたいと思います。まだブログを始めたばかりなので少しづつ内容を充実させていく予定です。

おしまい

error: Content is protected !!