「リアルタイムの端末管理」は理想論ではない――「Tanium」のテクノロジーと特許技術を解き明かす:端末管理とセキュリティ管理を一元化
非管理端末(野良端末)の状態をリアルタイムで把握して健全性を維持する「サイバーハイジーン」は重要な考え方だが、実現するのは難しい。「そんなテクノロジーはない」という声も聞こえてくるが、端末管理とセキュリティ管理を一元化できるソリューションはもう既に存在している。それをどう使うかにかかっているのだ。
野良端末や可視化、把握、管理できていないサーバ、アプリケーション、OS、ネットワーク機器など非管理状態のIT資産、つまり「シャドーX」がサイバー攻撃の格好の標的になっている。このシャドーXをいかに撲滅するかが急務だ。
前回の記事では、従来のシャドーX対策が「やったつもり」になっているだけで実態を伴っていないことを指摘。新たな対策としてシステム構成や脆弱(ぜいじゃく)性、端末設定などをリアルタイムで管理し、リアルタイムかつ動的にIT環境の健全性を確保する「サイバーハイジーン」(サイバーIT衛生管理)という考え方が重要であることを紹介した。
サイバーハイジーンは金融庁の「金融分野におけるサイバーセキュリティに関するガイドライン(案)」や内閣府のサイバーセキュリティ戦略本部による「サイバーセキュリティ 2024」で言及されるなど、徐々に市場に浸透しつつある。その一方で「これを実現するためのテクノロジーがない」という声もある。だがそれは言い訳に過ぎない。リアルタイムでトレーサビリティーを確保できるソリューションは既に存在している。それが、タニウムのエンドポイント管理プラットフォーム「Tanium」だ。本記事でその全貌を解説する。
端末管理とセキュリティ管理の架け橋となるTanium
Taniumは、IT資産全般を一元的に可視化して制御・修復するXEM(コンバージドエンドポイント管理)製品だ。タニウムの松居和広氏(テクニカルアカウントマネジメント第一本部 ディレクター)は「多くの企業ではこれまで、端末管理とセキュリティ管理は別々の部署がそれぞれ実施していました。サイロ化した2つの管理を統合し、一元的に実行できる『架け橋』の役割を果たすのがTaniumです」と説明する。
Taniumの大きな特徴は「端末は今どのような状態にあるか」という情報を瞬時に収集できるリアルタイム性だ。
「脆弱性対応のために端末のOSバージョンや累積パッチの適用状況などの情報を収集する場合、電子メールで『現在のバージョンを教えてください』というやりとりをして集計が終わるまでに1週間以上かけているケースが散見されました。Taniumを使えば、必要なときに取りたい情報を数秒から数分で集めてコンソール画面で“見える化”できます」(松居氏)
タニウムの松居和広氏(テクニカルアカウントマネジメント第一本部 ディレクター)数万台、数十万台の端末に対してリアルタイムなトレーサビリティーを実現するスケーラビリティの高さも特徴だ。収集した情報の視覚化だけではなく、端末の設定を変更したりパッチを配信して適用させたりする修復措置も実行できる。
タニウムの柴田 亮氏(パートナーエンジニアリング本部 ディレクター)は「新たな脆弱性が報告されたとしても、レジストリの値によっては影響がないこともあります。しかし企業の担当者が端末のレジストリ値まで把握していることはまれで、一から調査すると数日かかることもあります。Taniumは取得していなかったレジストリなどの情報を数秒で収集でき、脆弱性による影響があるとしてもその場で値を変更して対応できます。『適切な値への変更が成功したかどうか』の確認にもTaniumが役立ちます。こうした今まで無理だとあきらめていた脆弱性対策が可能になり、セキュリティリスクへの対応力を大幅に引き上げられます」と述べる。
タニウムの柴田 亮氏(パートナーエンジニアリング本部 ディレクター)Taniumを使ってサイバーハイジーンを実現した企業が続々と登場している。
NECは、サイバーレジリエンスについて厳格なポリシーやルールを定めていたが、サイバーハイジーンをより強化すべくTaniumの採用を決定。現在、全世界約25万台のIT資産をTaniumで管理している。以前は2週間ほどの時間を要したパッチの配信も、4〜5日へと短縮することができたという。
全日本空輸(ANA)は、世界各地の事業所や空港カウンター、社内業務で使用する端末約3万台の最新状況を迅速に把握できる体制を整えるためにTaniumを採用。ランサムウェアの「WannaCry」が世界中の企業を震え上がらせたときには、Taniumを使って即座に世界中の端末を検査。1時間以内にすべてが安全であることを確認して経営陣に迅速に報告することができたという。
端末管理だけではなく、グローバルガバナンスの実現にTaniumを活用している例もある。タニウムの坂本祐一氏(テクニカルアカウントマネジメント第三本部 ディレクター)は「積極的に海外展開をされている金融業界の企業さまは従来、数百項目に上る自己点検シートを全拠点に配布してガバナンスを効かせていました。このシートの約3割を占めるエンドポイント関連のチェックをTaniumで自動化し、工数やコストを大幅に削減しつつ高度なガバナンスを実現されました」と語る。
新たな脆弱性が判明した際の対応を迅速化した企業もある。ダッシュボードで「組織が健全かどうか」を一元的に管理することで素早い判断や施策の実行につなげたという。
タニウムの坂本祐一氏(テクニカルアカウントマネジメント第三本部 ディレクター)特許技術で高速な情報収集とパッチ配信を実現
事例を読んでも「数万台の端末の情報を数秒から数分で取得できる」という説明は信じられないかもしれない。1台の管理サーバが複数の端末と通信するハブ&スポーク型の管理ツールを長く運用してきたIT担当者ならばなおさらだ。
常識では困難だったリアルタイムでスケーラブルなIT資産全般の状態チェックを可能にしたのが、タニウムが5年間の歳月をかけて開発した「特許技術」だ。
特許を取得したコア技術の一つが「Taniumプロトコル」だ。高速なデータ収集やファイル配信を念頭に置いて、軽量で効率的な動作を目指して一から開発。「企業のLANはもちろん、海外拠点やテレワーク環境にある端末からも情報を秒単位、分単位で吸い上げたりファイルを配信したりできます」(坂本氏)
このTaniumプロトコルに加えて、「リニアチェーン」アーキテクチャでも特許を取得。同一グループの端末同士が自律的に通信してその結果をサーバに届ける仕組みだ。ハブ&スポーク型の管理ツールは通信のボトルネックを避けられなかったが、リニアチェーンなら何万台、何十万台もの端末もリアルタイムで動的な管理が実現する。「端末側が自動的にリニアチェーンを形成し、情報やファイルのキャッシュを効率的に持ち合うという仕組みです。サーバと端末間の通信量と通信頻度を減らし、サーバの負荷を下げることでスケーラビリティが大幅に向上します」(松居氏)
パッチなどのファイル配信にもタニウムの技術が光る。ファイルを64KBの小さな単位に分割して配信し、端末にキャッシュとしてため込むことで、ファイル配信中に端末をシャットダウンしても次の起動時に続きから配信できる。ネットワーク帯域への影響も考慮していて、Taniumを使ったファイル配信に使う帯域の上限を設定できる。そのため大容量のパッチやファイルを配信しても帯域を圧迫して他の業務に影響を与えることがない。
「Taniumのクラウド版は、端末をインターネットに接続すればTaniumプロトコルを介して情報をすぐに収集し、資産管理からパッチ配信まで一気通貫でできます」(坂本氏)
サイバーハイジーンもサイバーレジリエンスもTaniumだけで
ここまで説明したように、タニウムのコア技術を搭載したTaniumの第一階層がサイバーハイジーンの実現に貢献する。それを土台にして、さまざまな「拡張機能」を第二階層として備えている。
拡張機能は、米国国立標準技術研究所(NIST)が提唱する「サイバーセキュリティフレームワーク 2.0」(CSF 2.0)のコア機能のうち「特定」「防御」「検知」「対応」「復旧」に対応したモジュールとして提供している。サイバーハイジーンだけではなく、昨今注目を集めるサイバーレジリエンスの領域もカバー可能だ。各領域について、以下で詳しく説明する。
CSF 2.0のコア機能に対応したTaniumの拡張機能。サイバーハイジーンに当たる「特定」「防御」、サイバーレジリエンスに当たる「検知」「対応」「復旧」に沿った機能をモジュール単位で提供する(出典:タニウム提供資料)CSF 2.0における特定の領域をカバーするのが、非管理端末を検出する「Discover」モジュールや、端末のメモリやストレージ容量、OSのバージョン、ソフトウェアといった情報を収集して管理する「Asset」モジュールだ。
防御の領域では、OSのパッチを配信する「Patch」、ソフトウェアの配信や削除を行う「Deploy」、端末のポリシーを適切な状態に保つように制御する「Enforce」、端末にどのような脆弱性が存在しているかを把握する「Comply」というモジュールを用意している。
検知、対応、復旧をカバーするモジュールが「Threat Response」だ。Threat Responseは公開されているIoC(Indicator of Compromise)情報を参照し、ファイルのハッシュ値などを基に端末内にマルウェアがあるかどうかをチェックする。
「EDR(Endpoint Detection and Response)製品などでアラートが出たとき、管理者が知りたいのは『感染がどこまで広がっているのか』という情報です。Threat Responseは、第一階層の技術を生かして高速に全端末をチェックし、必要に応じて不審なプロセスの終了や端末の隔離を実行します。『端末内でどのような動作が行われたのか』をドライブレコーダーのように後から確認する機能もあります」(松居氏)
ランサムウェア攻撃の巧妙化に伴い、侵入を前提にしたセキュリティ対策に取り組むサイバーレジリエンスに注目が集まっている。しかしサイバーレジリエンスは「攻撃を受けた後」の被害を最小限にするための対策であり、脅威の特定や防御といった上流工程を意識した対策までできている企業がどれほどあるだろうか。「シフトレフト」の原則に沿って上流工程にフォーカスしたサイバーハイジーンを強化することで、より効果的に対策できるだろう。どちらの領域もTaniumという単一のソリューションでカバーできるというわけだ。
Taniumはこのように単体でも幅広い領域をカバーしているが、パートナーソリューションと連携することで端末管理のさらなる効率化やセキュリティ強化を実現できる。例えば、MicrosoftのSIEM(Security Information and Event Management)製品「Microsoft Sentinel」と連携すれば、Taniumで収集したログ情報をMicrosoft Sentinelに共有してログ集約を効率化できる。
「運用時に個社ごとのカスタマイズが求められます。そこでServiceNowと連携し、Taniumで取得したエンドポイントの情報を『ServiceNow』に集約してプリンタなどのエージェントが入らない機器も含めて統合管理を実施したり、パッチ配信の承認ワークフローを組み合わせたりするという使い方に対応しました」(柴田氏)
この他、SplunkやDeep Instinctなどのソリューションと組み合わせればより深い検知、対応、復旧を実現。TaniumのAPIを使えばその他の外部システムと連携することも可能だ。
タニウムの取り組みはまだある。XEMの次のステップとして注目されているAEM(Autonomous Endpoint Management)の実現を目指している。自動化やAIなどを活用して、より能動的かつ自律的に端末を管理することで管理者の工数やミスを削減し、より高度な管理を実現する狙いだ。このAEMについては、別の機会に取り上げる。
目に見える効果に加え、端末管理とセキュリティ管理の壁を取り除くTanium
Taniumに備わっている数々の機能は、これまで別々に扱われていた端末管理とセキュリティ管理を統合することで全体の最適化を目的にしたものだと言える。IT環境をリアルタイムで把握することで、素早いセキュリティ対策の実施や導入したセキュリティツールの効果的な運用が可能になる。
「Taniumで端末管理とセキュリティ管理の垣根を取り除くことで、より効率的な運用や迅速なインシデント対応ができるようになる素地をつくります。サイバー攻撃者は何度も攻撃を仕掛けられます。そして一度攻撃が成功すれば勝ちです。対して、防御側は一度でも防御を破られたら負けです。これを肝に銘じて高度なエンドポイント運用に何が必要かを考えることが大切です」(松居氏)
「本当にリアルタイムに情報を取得できるのか」と疑問に思う読者がいるかもしれない。百聞は一見にしかずで、タニウムに相談すればTaniumのデモンストレーションを体験できる。実際にどれほどのスピードで情報を集められるのか、試してみてほしい。
野良端末と脆弱性を撲滅せよ
野良端末や脆弱性の管理における“真の課題”を明らかにしつつ、「サイバーハイジーン」の概要やメリット、最新の事例などを解説した特設サイトを公開中。万が一の事態が起きた際に重要な「サイバーレジリエンス」の実践にもつながるサイバーハイジーンについてチェックしてほしい
関連記事
「野良端末の撲滅に取り組んでいます」という企業の“根本的な誤解”
「当社は“野良端末”の撲滅に取り組んでいます」――こう胸を張る企業の中には「やったつもりになっている」だけのケースがある。サイバー攻撃の起点になる野良端末の対処にありがちな“根本的な誤解”を解き明かすと、有効な対策が見えてくる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
提供:Tanium合同会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2024年12月23日
ITmediaはアイティメディア株式会社の登録商標です。