インフラセキュリティでは、不動産などの恒久的な資産も対象となることがありますが、より一般的には、コンピューター、ネットワークシステム、クラウドリソースといった、ハードウェアおよびソフトウェアのテクノロジー資産に関するセキュリティを意味します。
インフラセキュリティの概念には、従来のサイバー攻撃からの保護だけでなく、自然災害やその他の災害からの保護も含まれます。また、企業が予想外の障害や攻撃からどのように回復するかという「レジリエンス」のトピックにも関係します。インフラセキュリティの最終的な目標は、セキュリティ対策を強化し、ダウンタイムとそれに伴う顧客の減少を食い止め、ブランドイメージや評判の低下、企業に課されるコンプライアンス費用などを最小限に抑えることにあります。
基本的に、インフラセキュリティとは企業のテクノロジー境界内全体の保護に関する大まかな指針であり、従業員のノートPCのデータをどう保護するかといった、より戦略的なセキュリティ計画は、全体的な戦略の下にあるサブセットとして策定されます。
この記事では、インフラとインフラセキュリティの各種構成要素、最も一般的な脅威、そしてそれらの脅威からの保護について説明します。
インフラセキュリティとは:目次
インフラセキュリティのレベルやカテゴリに関する普遍的な定義はありませんが、以下の4つのレベルのセキュリティを確保することが、企業におけるセキュリティの考え方として一般的です。
重要インフラのセキュリティを含め、インフラセキュリティはテクノロジー資産とデータを攻撃や災害から保護するうえで非常に重要です。また、実際に攻撃によって侵害を受けた場合や災害が発生した場合に、その被害を最小限に食い止めるためにも欠かせません。インフラセキュリティの主な目的は、企業が直面するリスクレベルを全体的に下げることにあります。こうすることで、重要な業務が中断されたり、ビジネスに財務的な影響がおよぶ可能性を最小限に抑えます。
オンプレミスとクラウドの両システム、ノートPCやスマートフォンなどの会社所有および個人所有のデバイス、カメラや産業用センサーといったIoTデバイスなど、今日の企業のITインフラはかつてないほど複雑化しています。そして、これらのデバイスの多くがセキュリティを考慮した設計になっていないか、考慮されている場合でも、問題が発生した後にセキュリティパッチを当てるというものがほとんどです。最終的に、こうしたシステムを保護する義務はすべて管理組織にのしかかります。
どのような企業においても、インフラはテクノロジーオペレーションの中核を成しているため、インフラセキュリティは全体的なセキュリティ戦略の要となっています。インフラセキュリティは組織のセキュリティのマスタープランであり、戦術的な戦略やそれらに付随して策定されるすべての要素を支える土台であると考えると、わかりやすいかもしれません。
ほとんどの企業において、ネットワークレベルのインフラセキュリティがインフラセキュリティプログラムのリソースの大部分を使用しています。一般に、セキュリティリスクという観点では、ネットワークレベルが最大かつ最も脆弱であると考えられており、ネットワークレベルを保護するためのツールは他のレベルよりも豊富に提供されています。
ネットワークインフラは膨大な数のハードウェアおよびソフトウェアのコンポーネントで構成され、非常に複雑です。コンポーネントには、ルーター、スイッチ、サーバー、無線アクセスポイント、ケーブルなどの物理的なデバイスも含まれますが、脆弱性は主に、サーバーのオペレーティングシステム、ネットワーク管理、ネットワーク通信システム、ファイアウォールなどのセキュリティアプリケーションの設定、ルーティングソフトウェアなど、ネットワークインフラを運用するためのソフトウェアやファームウェアに起因します。
つまり、企業が最大の注意を向けていくべきなのは、ネットワークのインフラです。管理者は、パッチがリリースされたらそれを適用し、設定が正しいことを再確認し、ネットワークをできるだけ安全に保つようにポリシーを策定して、それを遵守していかなければなりません。
ネットワークインフラセキュリティの役割は上記のような負担をすべて軽減することにあり、その目的のために、ハードウェアとソフトウェアの監視、悪意のある攻撃からのネットワークインフラの保護、アクセス制御ルールの適用、許可されたユーザーのみによるネットワークリソースの使用、マルウェアの検出と削除、仮想プライベートネットワーク(VPN)のような安全なチャネルのリモートユーザーへの提供などを行えるように設計されています。
クラウドインフラセキュリティは、その名のとおり、クラウドベースの資産の保護を行います。クラウドインフラセキュリティは、上述のような1つの明確なレベルに対するインフラセキュリティではなく、ネットワークレベル、アプリケーションレベル、データレベルなど、複数のセキュリティレベルにまたがって機能します。ただし、定義上、物理的なセキュリティレベルについては除外されます。
クラウドインフラセキュリティは複雑になりがちですが、その理由として、多くの企業が、プロバイダーと自社の責任範囲の境界線を正確に把握していないことが挙げられます。一般に、多くのクラウドプロバイダーが負っているのは、「クラウドの」セキュリティに対する責任です。これはつまり、ストレージ、コンピューティング、ネットワークの各層のセキュリティを含め、クラウドのインフラが本質的に安全かつ信頼できるものであることを保証するということを意味します。クラウドプロバイダーはこれらの責任をサービス利用規約で詳細に説明していますが、クラウド内の環境は曖昧なことが多く、特に攻撃が検出されたような場合、誰が何に対して責任を負うのかについて混乱が生じがちです。
責任範囲の規定はプロバイダーごとに異なりますが、一般には、ユーザーの管理とアクセス制御、クラウドでのデータの暗号化、ベンダーが提供するセキュリティツールの適切な設定、関連するプライバシー法への遵守など、クラウドセキュリティタスクの多くは、常にサービスの利用者側の責任となります。
クラウドの急速な普及に伴ってクラウドインフラに対する攻撃が増加する中、クラウドセキュリティが非常に重要な課題であることは言うまでもありません。しかし、攻撃の規模が拡大していること、実行時のクラウドサービスの動作を完全には可視化できないこと、クラウドベースのワークロードが動的かつ一時的であるという特性を持つこと、さらには(特に複数のクラウドサービスが関与している場合)クラウド環境が複雑であることなど、多くの理由によってクラウドインフラのセキュリティの確保は困難を極めています。
今日の市場において最も多く見られるインフラセキュリティの脅威には、次のようなものがあります。
当然のことながら、インフラセキュリティの最大のメリットは、企業のすべてのテクノロジー資産を攻撃から保護できることにあります。ほとんどの企業にとって、インフラセキュリティはサイバー攻撃やその他のエクスプロイトに対する防衛の最前線です。インフラセキュリティは、ネットワーク上のハードウェアとソフトウェアの両方を攻撃から保護すると同時に、ユーザーとそのデータをも保護します。
インフラセキュリティの導入は、企業にとって多くのメリットがあります。これにより、データの盗難や他の方法での侵害を防ぎ、多額の罰金を課せられるという財務的なリスクを最小限に抑えることができます。プライバシー規制の拡大に伴い、消費者の情報を攻撃から守ることを義務付ける規則を確実に遵守するうえで、インフラセキュリティは重要な役割を果たすようになりました。
さらに、ユーザーの不注意による損害のリスクを最小限に抑えるという点でも、インフラセキュリティは重要な役割を担っています。ほとんどの場合、マルウェアは社内ユーザーが意図的に企業ネットワーク上に置いたものではなく(このようなインサイダー攻撃が起こることもありますが)、ユーザーが意識せずにメールの添付ファイルや悪意のあるリンクをクリックすることで攻撃が開始されます。このような避けて通れない人為的なミスが起こった場合にも、インフラセキュリティのシステムやプロトコルによってリスクを軽減することができます。
サイバーセキュリティ(またはITセキュリティ)ソリューションは、インフラを保護するための重要なツールです。サイバーセキュリティソリューションでインフラを守れるかどうかについては疑問の余地がありませんが、問題は、それを使ってインフラをどのように守るのが最善なのかという点にあります。
サイバーセキュリティソリューションは、許可されたユーザーのみがアクセスできるようにしたり、インフラ機器にマルウェアがインストールされるのを防いだり、侵入テストを使った攻撃のシミュレートでネットワーク全体のセキュリティを評価したり、あるいは、攻撃への防御が破られた場合でもデータを保護できるように移動中や保管中のデータを暗号化したりするために使用できます。
つまり、サイバーセキュリティソリューションは、強力なインフラ保護プログラムを構築するための部品を提供するということです。
国家規模のインフラセキュリティは、企業レベルよりもはるかに複雑な、まったく次元の異なるセキュリティです。重要インフラである国家レベルのインフラには、社会を支える物理的システムと電子システム、ネットワーク、データ、デジタル資産などが含まれ、さらに、インターネットそのもの、道路や鉄道、パイプラインや発電所、橋やトンネル、飲料水システムなどのさまざまな物理的構造物のほか、GPS衛星のような上空にあるシステムも含まれます。
重要インフラのセキュリティは、米国国土安全保障省が管轄しています。2013年、政府関係者は、これらの分野の安全を確保するために、国家インフラ防護計画(NIPP)と呼ばれる広範な戦略を策定しました。この計画では、脅威の評価および分析とリスク管理活動への反映、さまざまな脅威に対する重要インフラの安全確保とリスクの低減、高度な計画および復旧対策によるインフラのレジリエンスの向上、インフラコミュニティ全体での情報共有、インシデント発生時とその後の学習と適応の促進などを目標として掲げています。
国家のテクノロジー資産のセキュリティは、NIPPで保護対象となっている重要インフラ分野の1つに過ぎません。『Cybersecurity and Infrastructure Security Convergence Action Guide』は、サイバー資産と物理的資産の両方を保護するための統合計画の概要を説明しており、インターネットセキュリティをヘルスケア、輸送、エネルギー、産業用制御システムの物理的保護につなげています。東海岸への石油供給の45%を停止させた2021年5月のColonial Pipeline社へのランサムウェア攻撃などの事件を見れば、なぜこのような物理的なサイバーセキュリティ攻撃への対策が重要になってきているのか、容易に理解できます。
インフラを保護するためのセキュリティポリシーに取り込むべきベストプラクティスとしては、以下のようなものがあります。
組織のインフラデータを保護するには、以下のようなツールやセキュリティ管理機能の導入を検討するとよいでしょう。
攻撃者は長期にわたってインフラを標的にしてきましたが、それはインフラが彼らにとって潜在的な宝の山であるためです。不幸にもその規模と複雑さのために、インフラの保護はセキュリティ運用チームにとってもたやすいことではありません。IoTデバイスの台頭やクラウドサービスの急増により、多くの企業が攻撃対象の拡大という厄介な問題に直面しており、組織的な攻撃と自然災害の両方に対しますます脆弱になっています。インフラを慎重に保護していくことのみが、本当の意味で脅威を軽減し、インフラ環境とデータを攻撃から守ることにつながります。