「ゼロトラストはクラウドサービス(SaaS)の導入なので設計は簡単だ!」と考えている方もいると思います。
しかし、クラウドだからこそ設計で
■導入して何をしたいか?を明確にすること!
■その為に複数のクラウドをどのように組み合わせるか!
を行い、「それに合ったクラウドサービスを選択することが大切」です。
これを怠ると、後で「えっ、できると思っていたのができないの!?」といった事がおきます。
ここではそれを防ぐための設計例を説明します。
(関連知識)
ゼロトラストとは
“米国国立標準技術研究所(NIST)の定義とその意訳**
https://qiita.com/masaaki-murakami/items/6a7f56079aa95f44119d
ゼロトラストの基礎知識
“セキュリティ”の為にみんなが今までやってきた事と、これからすべきことの基礎知識**
https://qiita.com/masaaki-murakami/items/28a737c373138f3773ea
ゼロトラスト / IdaaS + CASB の設計例
ゼロトラスト / “内部の情報漏洩”対策 >>> IdaaS + CASB
https://qiita.com/masaaki-murakami/items/87d9bdc3fc0deb01ffcd
##“外部からの攻撃(身代金、搾取等)”対策【 PC・スマホ 】>>>「MDR = EPP + EDR + SOC」
####1.境界防御からゼロトラストにするとできる事
今回は❷について紹介します。
(MDRは概念的には”ゼロトラスト”とは異なりますが、一般的には❶❷をあわせてゼロトラストという場合が多いので、ここでは❷もゼロトラストに含めて説明します)
❶内部情報漏洩を防ぐ
❷外部からの攻撃から守る
殆どの人がアンチウィルスソフトをPC、スマホにインストールしているので自分は安全と考えていると思います。
しかし、実際にはアンチウィルスソフトが効かないファイルレス攻撃が毎年増え続け、今では攻撃の半数を超えています。これらの攻撃からPC、スマホを守るのがEDRです。
ではEDRを導入すればアンチウィルスはいらないのでしょうか?いえ、従来のアンチウィルス(=EPP)も必要です。
新型コロナの感染対策を考えてみましょう。感染対策は
“水際対策”+“疑われる病状の人の検査”+“感染者の隔離”+“治療”
を行っています。これはPC・スマホへの外部からの攻撃対策も同じで、EPP+EDR+SOCを組み合わせて導入する事が必要となります。
多少の誤解を生む説明になるかもしれませんが、分かり易く説明をすると、
従来のEPPは、病原体であるウイルスの感染を検知して、そのウィルスを駆除する方式で、EDRは、発病後の症状から感染を検知する方法をとっています。
発病後の対策なので”隔離をする”+”駆除をする”必要があり、また重症になる前に対策をする必要があるため検知後の”隔離”+”駆除”のスピードが大切です。
####2.機能設計
非常に厄介な事に、従来のアンチウィルスで検知できないファイルレス攻撃が増え続けており、**2019年には外部からの攻撃の半分以上がファイルレス攻撃(米国に限ってみると2019年の7割以上がファイルレス攻撃)**となっており、従来のアンチウィルスが殆ど効果がない状況になりつつあります。
何でファイルレス攻撃では検知できないのでしょうか?
ファイルレス攻撃ではPowerShell等のWindows OSの標準機能を悪用して攻撃をします。
Power ShellはWindows OSに標準搭載されている機能で、Windowsのほぼ全ての機能を実行することができます。Windowsを起動するとに複数のPowerShellが動作していることも少なくなく、かつその動作は「プロセス」としてメモリ上で実行されるため電源を切れば消えてしまい痕跡も残りません。
そのため、EDRでは発病後の症状から感染を検知する方法をとっています。
症状から感染を検知するため、新しい攻撃に対しても検知できるメリットがあります。
しかしあくまでも発病を検知する方法であるため、従来の感染段階で自動的に駆除をするEPPも必要となるのです。
