SolarWindsとFireEyeのセキュリティインシデントに関する公式見解

Wed, 16 Dec 2020 21:26:05 Z

Ivanti SolarWinds Security Advisory

Ivantiおよび最近買収したMobileIronおよびPulse Secureでは、現時点ではSolarWindsおよびFireEyeどちらのセキュリティインシデントについても、悪影響、危険な状態、侵害は発生しておりません。

12月13日よりIvantiの情報技術セキュリティ担当部門は、米国国土安全保障省の勧告に従ってSolarWinds製品の使用を停止するか、もしくは昨今の重大な攻撃の影響を受けないように対応しています。また、セキュリティ侵害インジケーターの環境における監視を継続し、複数の情報源で新しい情報を収集し続けております。追加の情報が入り次第、新しいセキュリティ侵害インジケーターのログ確認を含め、継続して警告や監視を更新します。

Ivantiのセキュリティおよびコンプライアンスプログラムについて、より詳細の情報はこちらをご覧ください。

https://www.ivanti.co.jp/resources/security-compliance

よろしくお願いいたします。

Ivanti情報セキュリティチーム

資産管理が最も重要なセキュリティ対策である理由

Wed, 15 May 2019 09:18:37 Z

米国のインターネットセキュリティセンター（CIS）が提示しているセキュリティコントロールトップ20のうち上位5のコントロールをご覧いただくとわかるように、うち2つのコントロールが資産管理に関連しています。1番目と2番目のコントロールは、ハードウェア資産とソフトウェア資産の管理に関する対策です。

企業がセキュリティを強化する上で、資産管理が唯一かつ最も重要な対策とされているのはなぜかと多くの方は疑問に思っています。ウイルス対策ソフトウェアや強力なパスワードが重要視されるべきはないかと直感的に思う方が多いかもしれません。

まずは、このリストが業界のエキスパートの経験と見解に基づいて作成されている点に留意することが重要となります。つまり、これは見解に基づくものであり、必ずしも結論がご自身の見解や自社で得られる結果と一致するわけではありません。

ただし、資産管理が実際に導入できる最も重要なセキュリティ対策であることを裏付ける説得力のある事例は実際に存在するのです。これについて説明するため、私自信の経験を共有させていただきます。

IT資産管理（ITAM）の必要性

金融サービス企業のCISO（最高情報セキュリティ責任者）として働いていた時、私はFFIEC（米国連邦金融機関検査協議会）の調査に参加しました。最初は「社内のサーバーとワークステーションにパッチを適用していますか？」といった簡単な質問を問われました。

その質問には一言「はい」と回答しました。

ところが次に問われた質問は、正確に回答するには数時間を要するものでした。彼らはこう言ったのです。「どうして「はい」と言えるのですか？」

その質問の意味と深さを私が本当に実感するまで数時間がかかりました。そして、さらなる質問が私の頭の中に次々と浮かんできました。

なぜ私は、すべてのサーバーとワークステーションにパッチを適用していると断言できるのか？
社員が携帯しているノートパソコンにも漏れなくパッチを適用したと言い切れるのか？
社内のシステムにインストールされているすべてのソフトウェア製品にパッチを適用していると断言できるのか？
1週間のうちに作成され、削除された仮想システムについて把握していると言い切れるのか？
クラウド上のソフトウェアとハードウェアについてどうやって情報を収集しているのか？

これらの質問に回答するためには、社内のソフトウェア資産とハードウェア資産すべてを網羅する正確なインベントリ（目録）が必要でした。しかもそれだけではなく、資産は頻繁に動き、変更され、削除/排除されるため、自社環境の新しい情報を収集するためのプロセスを確立する必要がありました。

インベントリ（目録）を追跡するために、サーバー、ワークステーション、ソフトウェア製品のリストを購入できた時代は遠い昔に過ぎ去ったのです。

効果的なIT資産管理（ITAM）の要素

現在、効果的な資産管理には複数の要素が求められます。

1. 検出

まず検出プロセスです。検出とは、自社環境の新しいソフトウェアとハードウェアについて情報を収集するプロセスです。これには、ネットワークからビジネスアプリケーションのインテリジェンスまで、幅広い手法を通して自社環境に追加された新しい資産を積極的にモニタリングすることが求められます。資産検出モジュールの中には、新しい資産を検出するためにpingスキャンを実行するものがあります。

今の時代のネットワークにおいて、これは好ましいステップである一方、この手法自体によっては、正確な資産インベントリ（目録）が得られないことがほとんどです。サーバーとネットワークの構成の多くは、pingに応答しません。

このため、pingスキャンが、お使いの資産管理システムが新しいシステムを検出する唯一の方法である場合、得られる情報は十分ではないことや、正確性に欠けている可能性があります。最新のネットワークベースの資産検出には、複数のアクティブスキャンとパッシブスキャン、pingを含む検出モジュール、TCP同期スキャン、ARP、DHCP、Wi-Fiに加え、ネットワーク上に隠れているシステムの検出に役立つその他の手法が含まれます。

2. インベントリ（目録作成）

検出に続くプロセスがインベントリ（目録作成）です。最初は思っているよりも難しく感じるプロセスかもしれません。システムが動かされることはもちろん、ネットワーク構成が変更されることやソフトウェアが追加/削除されること、管理責任が変更される可能性もあります。

これらすべてを説明できることが求められており、可能な限り変更プロセスを自動化する必要があります。動的なソフトウェア、ハードウェア、仮想化資産のインベントリ（目録）を管理するには、自動化、優れたストレージ設計、自社の要件に一致するワークフローが必要となります。

これらの要素がなければ、世界で最も優れた資産インベントリ（目録）もすぐに意味をなさなくなり、役に立たなくなります。

ソフトウェア資産の管理

ソフトウェア資産の管理は、ハードウェア資産の管理よりさらに手強い可能性があります。企業がMicrosoftのオペレーティングシステムとアプリケーションのみを使用していた時代ははるか昔に終わっています。

現在は、Microsoft、Apple、様々な種類のLinuxのオペレーティングシステムが混在し、数十社のベンダーのアプリケーション、オープンソース、多種多様なライセンス構成が存在している環境がほとんどです。ライセンスはいくつかの異なるグループや部門によって管理されている可能性があります。

また、一部の企業では一元管理されています。レガシーシステムには、アップグレードできない古いソフトウェアがインストールされている可能性があります。一部のソフトウェアは無料のため、料金や支払いに関連する記録が存在しないことがあります。

企業がライセンス条件を遵守しているか違反しているかを把握するためには、これらの異なるライセンスすべてを管理し、エンドポイントに新しいソフトウェアがインストールされた場合それを自動的に把握し、ライセンス条件を正確に理解する方法が必要となります。

Ivantiが役立つ仕組み

資産管理が、気が遠くなるような作業に思えるのは、実際にそれだけ大変な作業だからです！さらに資産管理は、企業の環境において、すべてのセキュリティ要素の最も重要な部分にもなります。

これらのインベントリ（目録）がなければ、パッチ適用、ログ管理、リスク管理、ウイルス対策の効果はもちろん、ライセンス違反や物理的な盗難の影響を把握することはできません。幸いにも、Ivantiは高いハードルに挑戦するソフトウェアを提供しています。

Ivantiは、Ivanti Service Manager（ISM）、Asset Manager、Ivanti License Optimizer（ILO）を組み合わせることで、お客様のハードウェア資産とソフトウェア資産のインベントリ（目録作成）、検出、ストレージ、管理、ワークフローをサポートする非常に効果的なプロセスを実現します。

今すぐ、当社の営業担当者にお問い合わせになり、自社のセキュリティフレームワークの中で最も重要な要素に速やかに対応する上で、Ivantiが役立つ仕組みをご確認ください！

Ivantiブログ: 投稿者