はじめに
人工衛星に関わるビジネスを展開しているベンチャー企業、AxelspaceでコーポレートIT、セキュリティエンジニアとして働いております、mizuです。
入社して2年半が経過して、ここまで自分が取り組んできた内容を一度アウトプットしておきたいと考えて、テックブログにまとめることとしました。
特に 「従業員の規模が100名以上」かつ「今後も規模を急速にスケールさせていく予定」 である組織のセキュリティ担当者の方は、弊社の取り組みを参考にしてもらえたらと思います。
今回はセキュリティ、ゼロトラスト実現に向けた取り組みをフォーカスして説明させて頂きます。
ゼロトラストに向けた課題と方針
弊社では、リモートワークの定着とSaaS活用の拡大により、以下のようなセキュリティ課題が浮き彫りになっていました。
- ログが製品ごとに分散しており、全体の状況を俯瞰できない
- 誰がどのSaaSを使っているか把握できない(シャドーIT)
- パスワードの管理方法が個人に依存しており、制御できていない
これらの課題を解決するため、以下の製品を選定し段階的に導入しました。各製品の特長や成果について 「可視性」 と「制御」 をキーワードに説明します。
EDR : CrowdStrike Completeによる監視
まずエンドポイント(PC、サーバ)へのセキュリティ対策として、従来のシグネチャ型のウイルス対策ソフト製品をリプレースして、EDR製品である「CrowdStrike Complete」を導入しています。
CrowdStrikeはEDR製品のベストオブリードであるため既に導入している組織は多いと思いますが、弊社ではCompleteというMDR(Managed Detection and Response)サービスを含めた契約をしております。これによりEDRの「Response」における、トリアージ判断や一時対応をCrowdstrikeの専門オペレータに実施頂くことが可能となり、迅速で効率的なインシデント対応が可能となりました。
Crowdstrike Complete導入後の変化や特徴について、以下にまとめます。
- エンドポイントで発生する各種イベント(インシデントではないものを含む)を可視化され、トレーサビリティを確保(可視化)
- インシデント発生時にトリアージや切断などの一時対処をMDR側で実施して頂くことで、セキュリティエンジニアの運用負荷を軽減
- EDRであっても検出が難しいと言われる「環境寄生型(LotL)攻撃」などの複雑な攻撃であってもDetectionとResponseが可能となった(制御)
CASB/SWG : NetskopeによるシャドーITの可視化とWebアクセスの制御
次にCASB/SWG製品として「Netskope」を導入しています。
これにより従業員がhttpsにてアクセスするSaaS、Webサービスに対してログを取得することと、ポリシー制御によってそのアクセスに対して様々なアクション(許可/禁止/警告)を管理者が行うことができるようになりました。
Netskope導入による可視化と制御のイメージ
https通信に対して十分な可視化を行うことができなかった従来のUTMやIDS製品と比較して、エンドポイントにてAgent型で動作するNetskope Clientはhttps通信の検査が可能となっています。このSSL/TLSインスペクションによりhttpメソッドの操作や、操作したGooge Drive上のファイル名などを取得することが可能となっています。
Netskope導入後の変化や特徴について、以下にまとめます。
- 従業員のシャドーITの利用状況を把握することが可能となった(可視化)
- 情報漏洩リスクが高いオンラインストレージ、チャット、SNS等へのWebサービスについて、ポリシーにてアクセスコントールできるようになった(制御)
- プライベートのGmailやOutlookアカウントを用いたログインをブロックすることが可能となった(制御)
Password Manager : Keeperによる管理と共有
Password Manager製品として「Keeper Security」を導入しています。
従来、フリーソフトやブラウザの機能で管理していたパスワードをKeeperに置き換えることによって、複数人での効率的なアカウント共有※や、自動入力・生成が可能となりました。
また、弊社では「BreachWatch」というオプションを追加契約することによって、ダークウェブモニタリング、脆弱なパスワードの利用状況、ユーザごと/組織全体のスコアリングを可視化しています。
※ 原則としてアカウントの共有は避けるべきと考えますが、サービス側の都合によって複数人で共有する必要があるシーンは未だに存在すると思っています。
Password Manager移行のイメージ
現代においても、Infostealerと呼ばれるマルウェアが、「ブラウザ側に保存された認証情報」を盗み出す事例が依然多く発生しているため、パスワードマネージャの導入はマルウェア対策としても有効な手段だと考えています。
Keeper導入後の変化や特徴について、以下にまとめます。
- パスワードの管理、ポリシー、共有方法を標準化することが可能となった(制御)
- パスワードの自動入力によって効率化
- パスワードの漏洩状態、脆弱なパスワードの利用状況、スコアリングの状況を管理者が確認可能となった(可視化)
SIEM : Elastic Cloudを用いたログの可視化
そして、先に導入したセキュリティ製品のログ一元管理と可視化のため、SIEMとして「Elastic Cloud」を導入しています。
可視化のために導入してきた各種製品のログをElatic Cloudというプラットフォームに取り込むことによって、可視性の向上、統合管理、長期保存を実現しています。特に多様な情報が含まれるCrowdStrikeのイベントログは長期保管ができない契約となっていたので、インシデント発生時のトレーサビリティ確保のためにSIEMへのログ取り込みを実現したいと強く考えていました。
Elastic連携イメージ
Elastic Cloud導入後の変化や特徴について、以下にまとめます。
- Elatic Cloudのプラットフォーム上で各種製品ログの閲覧可能となった(可視化)
- ユーザ/デバイス/メールアドレス等をキーとして、複数のツールにまたがったアクティビティをトレース可能となった(可視化)
- カスタムダッシュボードにて経営層へのセキュリティ状況(インシデント検知件数、スコアリング等)報告が可能となった(可視化)
さいごに
導入した各種の製品ですが、 「各機能を活用できているか」と「適切なポリシーを設けているか」 という点においては、それぞれ進捗は50%といったところだと考えています。
今後は、既存製品の理解度を高めて最大限に活用しつつ、これまで優先順位の関係で後回しになっていたセキュリティ領域についても改善に取り組んでいくことを考えています。
具体的には以下のような取り組みを予定しています。
- ZTNA : 従来型のVPNに替わるセキュアなネットワークを構築
- ASM : ITリソースのリスク評価、脆弱性診断、スコアリング
- セキュリティ教育 : フィッシングメール受信訓練やセキュリティに関するe-Learning実施
We are hiring!!
Axelspaceでは多様なポジションで引き続き募集をしており、特にセキュリティエンジニアは急募しています。以下のような条件に合う人に是非お勧めしたいです。
「宇宙業界に興味がある」
「ベンチャー企業で働きたい」
「急成長する業界と企業で、自由な裁量で働きたい」
もしご興味があれば、一度カジュアル面談でお話ししてみませんか?
Discussion