私はこれまで、セキュリティ侵害で多大な損害を被った後にセキュリティ投資を始める企業を数多く見てきました。これは、顧客のデータベースがランサムウェアによって暗号化されてしまった後に、慌ててサーバーにパッチを適用するようなものです。事後対応型のセキュリティ対策は、真のセキュリティ対策とは言えません。
ネットワーク監査は、単なるお役所的な事務処理ではありません。信頼できる監査チェックリストは、IT 責任者を悩ませる脅威からインフラストラクチャを実際に保護するための青写真です。
ネットワーク デバイス、ファイアウォールのルール、認証システムを検査するときは、単にチェックボックスをクリックすればよいのではありません。攻撃者よりも先に弱点を見つけようとしていることを忘れないでください。弱点は常に存在すると言っても過言ではありません。セキュリティ業務に関わって 12 年以上になりますが、これまで「なぜまだ悪用されていないのだろう?」というレベルの脆弱性が 1 つも見つからなかった監査を行ったことはありません。
このガイドは、成功したセキュリティ プログラムと失敗したセキュリティ プログラムの両方から学んだことを要約したものです。現実世界のさまざまな制約 (限られた予算、チームの人員不足、多すぎる優先事項など) の下で監査プロセスを構築するための実践的な手順と、自動化を利用して不定期に行われるセキュリティ レビューを継続的な保護に変える方法を学びます。
効果的なネットワーク監査の不可欠な要素
効果的なネットワーク セキュリティ監査チェックリストの作成は、ビジネス目標と HIPAA や GDPR などのコンプライアンス要件に沿った明確な目標を設定することから始まります。これらの目標を設定することにより、監査がセキュリティと規制の両方のニーズに対応できるようになります。
まず最初に、実際に何を保護しているのかを把握する必要があります。徹底したネットワーク評価とは、単にチェックボックスをクリックすることではなく、セキュリティのベースラインを作成することです。倉庫の奥で動作している古いルーター、折り畳み式の携帯電話が流行っていた頃に誰かが設定したファイアウォール、マーケティング チームが IT 部門に連絡しないで設置した不正なアクセス ポイントなど、ネットワーク上のすべてのものを一覧表にします。この一覧表は単なるリストではありません。実際に脆弱性が潜んでいる場所を示すものです。
セキュリティ監査では、誰が何にアクセスでき、なぜアクセスできるのかといった基本的な事項を把握する必要があります。権限の設定が古いままだと、セキュリティ上の悪夢を招く恐れがあります。そして、適切な認証を徹底してください。2 要素認証を行っていれば十分なのではありません。脆弱性スキャンと侵入テストを定期的に実行してください。侵害の後にこの教訓を身をもって学ぶ多くの企業を見てきました。文書化は面倒に感じるでしょうが、コンプライアンス レビュー中に詳細な監査レポートがあると非常に助かります。多くの IT チームは、15 ステップのウェブ サイト監査チェックリストを導入することで、重要なステップを見落とすことなくセキュリティ プロセスを計画通りに進めることができると考えています。
ネットワーク監査プロセスの実装
効果的なネットワーク監査を実装することは、経験豊富な IT チームにとっても容易なことではありません。現代のネットワークは、オンプレミスのインフラストラクチャ、クラウド サービス、多数のアクセス ポイントを持つワイヤレス ネットワークなどの複雑な要素から構成されており、可視性を維持することが困難になっています。これらの盲点は、まさにハッカーが脆弱性を悪用しようとする場所です。標準化されたネットワーク セキュリティ監査チェックリストを作成し、すべてのネットワーク セグメントで一貫した評価を確実に行うことにより、この課題を克服できます。
すべてのシステムを毎日手動でチェックする時間がある人はいないでしょう。そこで自動化の出番です。PRTG Network Monitor のようなツールは、デバイスの監視、異常な兆候の警告、理解しやすいレポートの生成などの面倒な作業を行ってくれます。これらのツールを利用することで、毎年パニックを引き起こしていたセキュリティ レビューが、継続的な改良プロセスになります。3 年分の問題を一度に発見する (私も経験したことがありますが、まさに悪夢でした) のではなく、問題が現れるたびに対処することができます。
文書化の課題は、徹底した監査プロセスを行っても、その労力が台無しになる可能性があることです。ネットワーク構成、過去の調査結果、改善努力の適切な記録がないと、進捗状況の追跡や HIPAA または GDPR への準拠の証明はほぼ不可能になります。一貫性を確保するため、標準化された監査レポートのテンプレートを作成してください。これらのレポートにすべての調査結果を文書化し、リスク評価に基づいて問題の優先順位を決定し、割り当てた責任と期限を含む明確な改良手順を含めます。内部監査とセキュリティ監査チェックリストの作成方法を学ぶことで、文書化の実践や関係者とのコミュニケーションが大幅に改善します。
「問題を見つけるのは比較的簡単だが、ほとんどの組織は問題の修正時に失敗する」というセキュリティ監査に関する嫌な真実があります。
企業が徹底的な監査に多額の費用をかけたにもかかわらず、その結果が活用されないという状況を、これまで何度も目にしてきました。真の課題は、ファイアウォールや認証システムの脆弱性を見つけることではなく、それらが悪用される前に修正することです。
まず、パッチを適用していないサーバー、脆弱なアクセス制御、平文と変わらない旧式の暗号化などの、非常にリスクの高い問題を修正することから始めましょう。それぞれの修正に具体的な期限を定めて責任者を任命し、しつこくフォローアップしましょう。結果に対する責任がなければ、詳細な監査レポートを作成しても、費用や時間の無駄遣いになってしまいます。
Paessler PRTG によるネットワーク セキュリティの強化
存在を知らないものを保護することはできません。今日では、すべてのルーター、ファイアウォール、アクセス ポイント、エンドポイントを自力で追跡することはほぼ不可能です。ここで PRTG Network Monitor が大いに役立ちます。PRTG Network Monitor はネットワーク インフラストラクチャ全体を自動的に検出してマッピングし、ユーザーが追跡できていない可能性のある接続を明らかにします。私はこれまで、セキュリティ チームが数か月にわたり追跡されることなく動作していたシャドウ IT デバイスを発見して驚くのを何度も目にしてきました。この完全な可視性により、脆弱性が潜みやすい危険な盲点が排除され、ネットワーク セキュリティ監査で実際に保護すべき、すべての要素をカバーできるようになります。
従来のネットワーク監査は、1 枚のスナップショットを撮り、その状況が今後 12 か月間反映されると期待するようなものです。現実はそうではありません。PRTG の監視機能は、ネットワークのセキュリティ リスクを継続的に監視することにより、この古いアプローチを変革します。システムは、トラフィックのパターンを追跡し、認証の試行を監視し、構成の変更をリアルタイムで警告します。たとえば、あるプリンターが突然、事業を行っていない国の IP アドレスに大量のデータを送信するといった疑わしい事態が発生した場合、データ侵害が発生した翌年の監査時ではなく、すぐに気付くことができます。これにより、ネットワーク セキュリティが、定期的にチェックボックスをチェックする作業から、機密情報を実際に保護する継続的なプログラムへと変化します。
以前は、四半期ごとのセキュリティ レビューのたびに不安になっていました。その前の週はいつも大混乱で、夜遅くまでパッチを適用し、文書を更新し、重大な問題が発見されないことを祈っていました。PRTG はその状況を完全に変えてくれました。まるで、少しこだわり過ぎのセキュリティ アナリストがネットワークを 24 時間 365 日監視しているようなものです。アラートが多すぎることもありますが、重要な問題を見逃すよりは誤検知を調査する方がましです。継続的な監視のおかげで、正式な監査時に不意を突かれることなく、迅速に問題を発見して修正できます。
正式な監査時に何が起こるか、明言しておきます。ほとんど何も起こりません! 多くの重要な問題 (古いファイアウォールのルール、2019 年からパッチを適用していないサーバー、誰もが知っている管理者のパスワードなど) を特定しても、優先順位が変わり、緊急事態が発生すると、それらの特定した問題が置き去りになることがあります。まず、脆弱なアクセス制御や、「ハッキングされても構いません」というメモが貼られていると言っても過言ではないパッチ未適用のシステムなどの、恐ろしい問題から始めましょう。そして、残りの問題に対する現実的なタイムラインを作成しましょう。そのための秘訣は、リーダーシップ チームが自ら特定した問題をレビューし、計画を承認し、(ここが非常に重要です) 定期的に進捗状況を確認するように支援することです。このフォローアップがないと、実際のデータに対するリスクを放置したまま、セキュリティ対策を講じているに過ぎません。
コンプライアンス要件からセキュリティの有益性へ
ファイアウォールのルールから多要素認証の実装まで、すべてを体系的にチェックすることは、セキュリティの強化だけでなく、その価値についての投資対効果検討書の作成にも役立ちます。これは、予算を管理している (そして技術的な情報に詳しくない) 経営幹部と話をするときに重要です。その取り組みが、どのようにインシデントのコストを削減して (経営幹部にとって印象の悪い) ダウンタイムを回避しているかを示しましょう。
BYOD (個人所有の機器の持ち込み) が多くの職場で一般的になるにつれ、たまに行うセキュリティ チェックから継続的な監視へと移行する必要があります。移行には、(問題は発生しないと想定するのではなく) 問題が発生した場合に備えた、現実的な災害復旧計画の策定も含まれます。
ネットワーク セキュリティのアプローチを変革する準備ができたら、PRTG Network Monitor の無料トライアルで、重要なインフラストラクチャを効率的かつ効果的に保護する機能を体験してください。
よくある質問と回答
ネットワーク監査チェックリストで、サイバー セキュリティの予測リスク スコアリングはどのように改善されますか?
ほとんどのベンダーは詳しく教えてくれませんが、予測リスク スコアロングは、入力するデータの質に左右されます。ここで、ネットワーク監査チェックリストが非常に重要になります。
監査チェックリストを詳細に確認していくこと (大変な作業になることもあります) は、効果的な事前対応型のセキュリティ ツールの基盤を構築しているようなものです。デバイス、構成、そしてセキュリティ ギャップの文書は、予測アルゴリズムに現実的な情報を提供します。たとえば、ある金融サービスのクライアントの監査では、プロダクション環境で何年も稼働を続けていた「一時的な」開発サーバーが繰り返しフラグ付けされていました。予測スコアリングでは、これらのサーバーが原因でリスクが増加し、90 日以内に侵害される確率は 60% と示されました。我々はパッチの適用を強く求めましたが、後になって、スコアリングでフラグ付けされていた脆弱性が狙われていたことが判明しました。この 2 つのプロセスを適切に連携させることにより、事後対応型ではなく、事前対応型のセキュリティ プログラムを構築できます。これらを連携させないでおくことは、実際の環境に基づいていないダッシュボードに頼って、当てずっぽうで作業を行っているようなものです。
サイバー セキュリティの予測リスク スコアリングに最も役立つのはネットワーク監査チェックリストのどの要素ですか?
ネットワーク監査チェックリストのすべての項目が予測リスク スコアリングで同じ重みになるわけではありません。特に、パッチの管理状況、認証メカニズム、構成の変更、アクセス制御ポリシーの追跡に注目してください。これらの項目からは、潜在的なセキュリティ インシデントを予測するための最も豊富なデータが提供されます。セキュリティ パッチの適用が常に遅れているシステムでは、予測モデルで定量化できるリスクの増加が示されます。同様に、認証試行の異常なパターンやファイアウォール ルールの予期しない変更は、まだ成功していないが直ちに調査が必要な、新たな攻撃の兆候を示している可能性があります。
構造化されたネットワーク評価アプローチを通じて、最も重要な監査ポイントを特定する方法を学びましょう。
基本的なネットワーク監査チェックリストを備えている中小企業がサイバー セキュリティ予測リスク スコアリングに投資する価値はあるでしょうか?
もちろんです! IT リソースが限られた、基本的なネットワーク監査プロセスしかない小規模な組織であっても、サイバー セキュリティ戦略に予測要素を導入するメリットはあります。膨大なコストがかかるエンタープライズ グレードの分析プラットフォームやデータ サイエンティストのチームは不要です。まず、特定の種類の脆弱性が増加していないか、監査結果の傾向を追跡することから始めましょう。特定のシステムで絶えず問題が発生しているかどうかを調べる基本的な傾向分析は、より高度な予測リスク スコアリングのための第一歩です。監査プロセスが成熟するにつれて、予算を超過したり専門知識を要求したりすることなく、脅威に先手を打つために役立つ高度な機能を段階的に導入できます。
あらゆる規模の組織で、事前対応型のセキュリティ対策を導入する前に基本的なネットワーク評価から始めることで得られるメリットを確認してください。
この記事は、Paessler の Blog で公開されている「Network audit checklist for IT infrastructure security」の日本語参考訳です。
