オープンソースとサイバーセキュリティ:予防から回復まで
by Canonical on 28 December 2022
最新のアンチウイルスソフトウェアをインストールし、ピカピカのファイアウォールをオンにしました。これで会社は安全ですよね?
実は、世界のどんなセキュリティ製品を使っても、データセンターや企業を脅威から完全に保護することはできません。攻撃者と企業はいたちごっこを繰り返し、サイバーセキュリティの問題は決して解決されず、なくなりもしないのです。健全なインフラストラクチャへの道には終わりがないと覚悟することが重要です。
では、有効なサイバーセキュリティ戦略とは何でしょうか? Canonicalはサイバーセキュリティベンダーではありませんが、世界中の無数の企業を攻撃者から守るよう努めています。そしてソフトウェアサプライチェーンの出発点として重要な役割を果たしています。
この記事では、さまざまなセキュリティ上の検討事項が、Canonicalの製品設計、およびオープンソースに対応したお客様のサイバーセキュリティ戦略に影響を与えることをご紹介します。
予防は治療に勝る…
オランダの哲学者、デジデリウス・エラスムスが1500年に論じたとおり、治療より予防に力を注ぐほうがはるかに安価で有効です。新型コロナウイルス感染症のパンデミックがそれを教えてくれました。この原則はサイバーセキュリティにも当てはまります。
多くのセキュリティチームは人手もリソースも不足しているため、煙を見て火事の場所を知るよりも、大きな火事を消すことに力を注がねばなりません。このためには、健全で、脆弱性がなく、回復力のあるシステムを作るのが最善の策です。しかし現実的に、ハードニングとセキュリティパッチの安定した戦略を持つことは、ITチーム、特に少人数のチームにとっては極めて困難です。
Canonicalでは、十分な資金のある高度なITチームでなくても、セキュリティパッチの適用やハードニングを行うべきだと考えます。Ubuntu Proをリリースし、セキュリティサポートの幅広い普及に努めるのはそのためです。Ubuntu Proは、Ubuntu Universeリポジトリ、ライブカーネルパッチ、ハードニング自動化ツールのすべてのパッケージについて10年間のセキュリティ更新を提供します。
予防の対象はオペレーティングシステムだけではありません。Canonical KubernetesとMicrok8sは、デフォルトでCIS(Center For Internet Security)ハードニングプロファイルを実装しています。Canonicalは、セキュリティを強化し、攻撃対象領域を最小限に抑えた小さなコンテナイメージとしてROCKも開発しています。
高い壁と深い堀が永遠に城を守るわけではないことはわかっています。しかし、大半の企業が門を開け放し、壁の防御もしていない状況では、未熟な攻撃者が簡単にシステムに侵入するのを防ぐ上で、一貫したハードニングとセキュリティパッチが大きな効果を発揮します。
検出、対応、回復もやっぱり重要!
攻撃者が侵入してしまったら?高度な防御でもいつか破られることがあります。そうなったときは、脅威を封じ込め、業務をできるだけ早く復旧することが重要です。
Canonicalは、大手セキュリティベンダーと提携することで企業による脅威の検出と対応をサポートするとともに、ソフトウェアオペレーターを構築し、一般的なオープンソースアプリケーションに共通するアクションの自動化によって復元の課題に取り組んでいます。
Tenable Nessusなどの脆弱性管理プラットフォーム、Microsoft Defenderなどのマルウェア検出システム、あるいはAqua Securityなどのインフラストラクチャセキュリティツールに関して、Canonicalは、大手サイバーセキュリティベンダーと長年にわたって協力してきました。これはベンダー各社に自社システムの仕組みを理解(そして正常な動作と予期しない動作を速やかに区別)してもらい、利用可能なパッチや脆弱性を意識してもらうためです。
侵害の後、しばしば最大の課題となるのがインフラストラクチャの再構築です。少数の主要関係者にしか運用の知識がなく、多数の手作業が必要になることから、再構築に長い時間がかかり、不安定な結果になることも珍しくありません。Jujuとcharmed operatorがあれば、管理者は環境の主導権を取り戻すことができます。charmは、複雑なシステムを再デプロイするだけでなく、バックアップ、拡張、復元など、2日目のすべての作業を容易にします。運用の知識がソフトウェアにエンコードされているため、管理者はそれほど環境にアクセスする必要がなく、攻撃対象領域が縮小されてセキュリティが向上します。
統合でセキュリティが崩れることをお忘れなく
算数で1 + 1は常に2ですが、サイバーセキュリティの世界では必ずしもそうではありません。セキュアな製品2つを組み合わせてできたシステムがセキュアとは限らないからです。 また、製品に脆弱性があるからといって、組み合わせたシステムが侵害されるとも限りません。
多くの企業やサイバーセキュリティベンダーの悪い点は、自社製品のセキュリティ機能をあたかも隔離されて存在するかのように、あるいはあたかもクリーンな新規環境にデプロイされているかのように話すことです。しかし現実には違います。新しいインフラストラクチャは必ず他の多くのシステムと共存し、時代遅れのレガシーシステムと統合する必要があります。唯一の有効なセキュリティ対策は根底での防御です。
Canonicalはこの必要性を念頭に置き、ベアメタルにデプロイするOSから、コンテナイメージ、Jujuによるアプリケーション自動化まで、すべてを含む垂直統合型の製品群をご用意しています。セキュリティや信頼性をテストする際、Canonicalは、製品が単独で機能するだけでなく、他の製品と一緒にデプロイしてもさらに有効に機能することを確認します。
Canonicalは、どんな企業でもすべてのインフラストラクチャをCanonicalの製品上だけで実行することは非現実的であることも認識しています。インフラストラクチャスタックを大きなジェンガの塔にたとえるのはこのためです。上から1個取ってもせいぜい2、3個落ちるだけ。でも下から1個取ろうとすると、全体が崩れる可能性がはるかに大きくなります。すべてつながっているからこそ、Canonicalはインフラストラクチャ、コンテナ、OSレイヤでの隔離に投資し、問題が複数のレイヤに広がることを防いでいるのです。
オープンソースのセキュリティに関する詳細
このトピックに関心をお持ちの方は、12月1日のライブウェビナーにご参加ください(この日以降はオンデマンドでお聞きいただけます)。Canonical製品のセキュリティ機能、またはそれらのサイバーセキュリティ戦略におけるメリットについては、お問い合わせください。
ニュースレターのサインアップ
関連記事
機械学習のセキュリティリスクの概要
データはあらゆる機械学習(ML)プロジェクトの要であり、悪人もそれを知っています。技術者の間でAIが常に話題になるとともに、MLシステムは攻撃の標的としても注目を集めています。Identity Theft Resource Center(ID窃盗リソースセンター)の報告によれば、2023年にはデータ漏えいが72%も増加しており、MLプロジェクトが恰好の攻撃経路とならないよう適切な対策を施すことは極めて重要です。このブログ記事では、機械学習のセキュリティリスクについて説明し、主要な脅威と課題に言及します。しかし、悲観的な話だけでなくベストプラクティスにも目を向け、オープンソースの役割も含め、可能なソリューションを探求します。 機械学習の攻撃対象領域 あらゆるテクノロジーには […]
Ubuntu 24.04 LTSのセキュリティの新機能
新しいUbuntu 24.04 LTSリリースであるNoble Numbatは、優れた新機能を備えています。Ubuntuの他のリリースと同様、Ubuntu 24.04 LTSにもメインリポジトリの5年間の無償セキュリティメンテナンスが付属します。サポートはさらに5年間延長でき、Ubuntu Proを購入するとUniverseリポジトリも含めることができます。大きなアップグレードなしにシステムのセキュリティを維持したい組織は、Legacy Supportアドオンでサポートを10年以上に延長することもできます。Ubuntu ProとLegacy Supportによるセキュリティ強化も併せ、Ubuntu 24.04 LTSは、リスクの大きい環境でアプリケーションやサービスを開発 […]
Canonical Jobs – Linuxエンジニア
Linuxフィールドエンジニア IoT分野における当社の主力製品、Ubuntu Coreはユニークな存在です。最高の信頼性、セキュリティ、フットプリントを実現するため、Linuxを再発明したものと言えます。当社の顧客は、自動車、市販電子機器、医療機器、産業システム、ロボティクス、ゲートウェイなど、さまざまな業界にわたりますが、厳しい品質とセキュリティの要件を満たすよう迫られているという点では共通しています。 日本市場での急速な展開に対応するため、当社はデバイス部門のフィールドエンジニアチームの拡大を検討しています。この重要なポジションは、新しいテクノロジーを迅速に習得し、多くの業界の最先端でお客様のソリューション構築を支援することが求められるため、能力ある候補者はキャリア […]