オープンソースとサイバーセキュリティ:予防から回復まで
by Canonical on 28 December 2022
最新のアンチウイルスソフトウェアをインストールし、ピカピカのファイアウォールをオンにしました。これで会社は安全ですよね?
実は、世界のどんなセキュリティ製品を使っても、データセンターや企業を脅威から完全に保護することはできません。攻撃者と企業はいたちごっこを繰り返し、サイバーセキュリティの問題は決して解決されず、なくなりもしないのです。健全なインフラストラクチャへの道には終わりがないと覚悟することが重要です。
では、有効なサイバーセキュリティ戦略とは何でしょうか? Canonicalはサイバーセキュリティベンダーではありませんが、世界中の無数の企業を攻撃者から守るよう努めています。そしてソフトウェアサプライチェーンの出発点として重要な役割を果たしています。
この記事では、さまざまなセキュリティ上の検討事項が、Canonicalの製品設計、およびオープンソースに対応したお客様のサイバーセキュリティ戦略に影響を与えることをご紹介します。
予防は治療に勝る…
オランダの哲学者、デジデリウス・エラスムスが1500年に論じたとおり、治療より予防に力を注ぐほうがはるかに安価で有効です。新型コロナウイルス感染症のパンデミックがそれを教えてくれました。この原則はサイバーセキュリティにも当てはまります。
多くのセキュリティチームは人手もリソースも不足しているため、煙を見て火事の場所を知るよりも、大きな火事を消すことに力を注がねばなりません。このためには、健全で、脆弱性がなく、回復力のあるシステムを作るのが最善の策です。しかし現実的に、ハードニングとセキュリティパッチの安定した戦略を持つことは、ITチーム、特に少人数のチームにとっては極めて困難です。
Canonicalでは、十分な資金のある高度なITチームでなくても、セキュリティパッチの適用やハードニングを行うべきだと考えます。Ubuntu Proをリリースし、セキュリティサポートの幅広い普及に努めるのはそのためです。Ubuntu Proは、Ubuntu Universeリポジトリ、ライブカーネルパッチ、ハードニング自動化ツールのすべてのパッケージについて10年間のセキュリティ更新を提供します。
予防の対象はオペレーティングシステムだけではありません。Canonical KubernetesとMicrok8sは、デフォルトでCIS(Center For Internet Security)ハードニングプロファイルを実装しています。Canonicalは、セキュリティを強化し、攻撃対象領域を最小限に抑えた小さなコンテナイメージとしてROCKも開発しています。
高い壁と深い堀が永遠に城を守るわけではないことはわかっています。しかし、大半の企業が門を開け放し、壁の防御もしていない状況では、未熟な攻撃者が簡単にシステムに侵入するのを防ぐ上で、一貫したハードニングとセキュリティパッチが大きな効果を発揮します。
検出、対応、回復もやっぱり重要!
攻撃者が侵入してしまったら?高度な防御でもいつか破られることがあります。そうなったときは、脅威を封じ込め、業務をできるだけ早く復旧することが重要です。
Canonicalは、大手セキュリティベンダーと提携することで企業による脅威の検出と対応をサポートするとともに、ソフトウェアオペレーターを構築し、一般的なオープンソースアプリケーションに共通するアクションの自動化によって復元の課題に取り組んでいます。
Tenable Nessusなどの脆弱性管理プラットフォーム、Microsoft Defenderなどのマルウェア検出システム、あるいはAqua Securityなどのインフラストラクチャセキュリティツールに関して、Canonicalは、大手サイバーセキュリティベンダーと長年にわたって協力してきました。これはベンダー各社に自社システムの仕組みを理解(そして正常な動作と予期しない動作を速やかに区別)してもらい、利用可能なパッチや脆弱性を意識してもらうためです。
侵害の後、しばしば最大の課題となるのがインフラストラクチャの再構築です。少数の主要関係者にしか運用の知識がなく、多数の手作業が必要になることから、再構築に長い時間がかかり、不安定な結果になることも珍しくありません。Jujuとcharmed operatorがあれば、管理者は環境の主導権を取り戻すことができます。charmは、複雑なシステムを再デプロイするだけでなく、バックアップ、拡張、復元など、2日目のすべての作業を容易にします。運用の知識がソフトウェアにエンコードされているため、管理者はそれほど環境にアクセスする必要がなく、攻撃対象領域が縮小されてセキュリティが向上します。
統合でセキュリティが崩れることをお忘れなく
算数で1 + 1は常に2ですが、サイバーセキュリティの世界では必ずしもそうではありません。セキュアな製品2つを組み合わせてできたシステムがセキュアとは限らないからです。 また、製品に脆弱性があるからといって、組み合わせたシステムが侵害されるとも限りません。
多くの企業やサイバーセキュリティベンダーの悪い点は、自社製品のセキュリティ機能をあたかも隔離されて存在するかのように、あるいはあたかもクリーンな新規環境にデプロイされているかのように話すことです。しかし現実には違います。新しいインフラストラクチャは必ず他の多くのシステムと共存し、時代遅れのレガシーシステムと統合する必要があります。唯一の有効なセキュリティ対策は根底での防御です。
Canonicalはこの必要性を念頭に置き、ベアメタルにデプロイするOSから、コンテナイメージ、Jujuによるアプリケーション自動化まで、すべてを含む垂直統合型の製品群をご用意しています。セキュリティや信頼性をテストする際、Canonicalは、製品が単独で機能するだけでなく、他の製品と一緒にデプロイしてもさらに有効に機能することを確認します。
Canonicalは、どんな企業でもすべてのインフラストラクチャをCanonicalの製品上だけで実行することは非現実的であることも認識しています。インフラストラクチャスタックを大きなジェンガの塔にたとえるのはこのためです。上から1個取ってもせいぜい2、3個落ちるだけ。でも下から1個取ろうとすると、全体が崩れる可能性がはるかに大きくなります。すべてつながっているからこそ、Canonicalはインフラストラクチャ、コンテナ、OSレイヤでの隔離に投資し、問題が複数のレイヤに広がることを防いでいるのです。
オープンソースのセキュリティに関する詳細
このトピックに関心をお持ちの方は、12月1日のライブウェビナーにご参加ください(この日以降はオンデマンドでお聞きいただけます)。Canonical製品のセキュリティ機能、またはそれらのサイバーセキュリティ戦略におけるメリットについては、お問い合わせください。
ニュースレターのサインアップ
関連記事
CanonicalのCISOがEUサイバーレジリエンス法を完全解説
強力で対象の広い規制は、関係者の安全を確保する一方、不確定性をもたらす可能性があります。EUサイバーレジリエンス法(CRA)も例外ではありません。オープンソース関係者と技術業界全般にわたり、心配、不安、希望などさまざまな反応が見られます。 しかし怖がる理由があるのでしょうか? EUサイバーレジリエンス法が本当にオープンソースの状況を変えるのでしょうか? 企業はこの法律にどう備えれば良いのでしょうか? この記事ではEUサイバーレジリエンス法とその目的、要件、オープンソース関係者に対する影響を説明し、施行に備えたサイバーセキュリティ上のアドバイスをご紹介します。 EUサイバーレジリエンス法とは? EUサイバーレジリエンス法(CRA)とは、欧州連合(EU)の法律で、EUのIT業 […]
Firefighting Supportを発表
新しいサービスでCanonicalの専門家が高度なクラウドサポートを提供 Canonicalのマネージドソリューションチームは、自社でインフラストラクチャの管理を行い、トラブルシューティングの必要があるときのみ専門家の対応を求める組織のために、新しいサービス「Firefighting Support」を発表しました。 Firefighting Supportでは、フルマネージドサービスを止めた、または厳しいセキュリティ規制によってサードパーティーに環境へのアクセスを許可できないお客様に対して、マネージドサービスレベルのサポートを提供します。このサービスはノードごとの年間料金で提供され、次のような内容です。 自己管理インフラストラクチャへの移行に理想的 現在の市場では、マネ […]
Linuxにセキュリティパッチを適用する頻度は?
セキュアな環境を維持するには定期的なパッチの適用が不可欠ですが、Linux環境を安全に保つための方法は環境によって異なります。運用の安定性を考えて、どのぐらいの更新頻度が妥当でしょうか? 最も制限が多く、規制が厳しい環境でも、準拠が保証され安全な方法で、セキュリティパッチの適用を自動化できる方針が存在します。セキュリティパッチの適用方針を定義するときは、Canonicalでのソフトウェア更新のリリーススケジュールを理解し、セキュリティパッチの適用の時間枠を知っておくことが不可欠です。私は最近、ライブのウェビナーとセキュリティの質疑応答を主催し、パッチ適用の回数を最小化するとともに、パッチが適用されていない脆弱性が悪用される回数も最小化する方法について解説しました。この記事 […]