オープンソースとサイバーセキュリティ:予防から回復まで
by Canonical on 28 December 2022
最新のアンチウイルスソフトウェアをインストールし、ピカピカのファイアウォールをオンにしました。これで会社は安全ですよね?
実は、世界のどんなセキュリティ製品を使っても、データセンターや企業を脅威から完全に保護することはできません。攻撃者と企業はいたちごっこを繰り返し、サイバーセキュリティの問題は決して解決されず、なくなりもしないのです。健全なインフラストラクチャへの道には終わりがないと覚悟することが重要です。
では、有効なサイバーセキュリティ戦略とは何でしょうか? Canonicalはサイバーセキュリティベンダーではありませんが、世界中の無数の企業を攻撃者から守るよう努めています。そしてソフトウェアサプライチェーンの出発点として重要な役割を果たしています。
この記事では、さまざまなセキュリティ上の検討事項が、Canonicalの製品設計、およびオープンソースに対応したお客様のサイバーセキュリティ戦略に影響を与えることをご紹介します。
予防は治療に勝る…
オランダの哲学者、デジデリウス・エラスムスが1500年に論じたとおり、治療より予防に力を注ぐほうがはるかに安価で有効です。新型コロナウイルス感染症のパンデミックがそれを教えてくれました。この原則はサイバーセキュリティにも当てはまります。
多くのセキュリティチームは人手もリソースも不足しているため、煙を見て火事の場所を知るよりも、大きな火事を消すことに力を注がねばなりません。このためには、健全で、脆弱性がなく、回復力のあるシステムを作るのが最善の策です。しかし現実的に、ハードニングとセキュリティパッチの安定した戦略を持つことは、ITチーム、特に少人数のチームにとっては極めて困難です。
Canonicalでは、十分な資金のある高度なITチームでなくても、セキュリティパッチの適用やハードニングを行うべきだと考えます。Ubuntu Proをリリースし、セキュリティサポートの幅広い普及に努めるのはそのためです。Ubuntu Proは、Ubuntu Universeリポジトリ、ライブカーネルパッチ、ハードニング自動化ツールのすべてのパッケージについて10年間のセキュリティ更新を提供します。
予防の対象はオペレーティングシステムだけではありません。Canonical KubernetesとMicrok8sは、デフォルトでCIS(Center For Internet Security)ハードニングプロファイルを実装しています。Canonicalは、セキュリティを強化し、攻撃対象領域を最小限に抑えた小さなコンテナイメージとしてROCKも開発しています。
高い壁と深い堀が永遠に城を守るわけではないことはわかっています。しかし、大半の企業が門を開け放し、壁の防御もしていない状況では、未熟な攻撃者が簡単にシステムに侵入するのを防ぐ上で、一貫したハードニングとセキュリティパッチが大きな効果を発揮します。
検出、対応、回復もやっぱり重要!
攻撃者が侵入してしまったら?高度な防御でもいつか破られることがあります。そうなったときは、脅威を封じ込め、業務をできるだけ早く復旧することが重要です。
Canonicalは、大手セキュリティベンダーと提携することで企業による脅威の検出と対応をサポートするとともに、ソフトウェアオペレーターを構築し、一般的なオープンソースアプリケーションに共通するアクションの自動化によって復元の課題に取り組んでいます。
Tenable Nessusなどの脆弱性管理プラットフォーム、Microsoft Defenderなどのマルウェア検出システム、あるいはAqua Securityなどのインフラストラクチャセキュリティツールに関して、Canonicalは、大手サイバーセキュリティベンダーと長年にわたって協力してきました。これはベンダー各社に自社システムの仕組みを理解(そして正常な動作と予期しない動作を速やかに区別)してもらい、利用可能なパッチや脆弱性を意識してもらうためです。
侵害の後、しばしば最大の課題となるのがインフラストラクチャの再構築です。少数の主要関係者にしか運用の知識がなく、多数の手作業が必要になることから、再構築に長い時間がかかり、不安定な結果になることも珍しくありません。Jujuとcharmed operatorがあれば、管理者は環境の主導権を取り戻すことができます。charmは、複雑なシステムを再デプロイするだけでなく、バックアップ、拡張、復元など、2日目のすべての作業を容易にします。運用の知識がソフトウェアにエンコードされているため、管理者はそれほど環境にアクセスする必要がなく、攻撃対象領域が縮小されてセキュリティが向上します。
統合でセキュリティが崩れることをお忘れなく
算数で1 + 1は常に2ですが、サイバーセキュリティの世界では必ずしもそうではありません。セキュアな製品2つを組み合わせてできたシステムがセキュアとは限らないからです。 また、製品に脆弱性があるからといって、組み合わせたシステムが侵害されるとも限りません。
多くの企業やサイバーセキュリティベンダーの悪い点は、自社製品のセキュリティ機能をあたかも隔離されて存在するかのように、あるいはあたかもクリーンな新規環境にデプロイされているかのように話すことです。しかし現実には違います。新しいインフラストラクチャは必ず他の多くのシステムと共存し、時代遅れのレガシーシステムと統合する必要があります。唯一の有効なセキュリティ対策は根底での防御です。
Canonicalはこの必要性を念頭に置き、ベアメタルにデプロイするOSから、コンテナイメージ、Jujuによるアプリケーション自動化まで、すべてを含む垂直統合型の製品群をご用意しています。セキュリティや信頼性をテストする際、Canonicalは、製品が単独で機能するだけでなく、他の製品と一緒にデプロイしてもさらに有効に機能することを確認します。
Canonicalは、どんな企業でもすべてのインフラストラクチャをCanonicalの製品上だけで実行することは非現実的であることも認識しています。インフラストラクチャスタックを大きなジェンガの塔にたとえるのはこのためです。上から1個取ってもせいぜい2、3個落ちるだけ。でも下から1個取ろうとすると、全体が崩れる可能性がはるかに大きくなります。すべてつながっているからこそ、Canonicalはインフラストラクチャ、コンテナ、OSレイヤでの隔離に投資し、問題が複数のレイヤに広がることを防いでいるのです。
オープンソースのセキュリティに関する詳細
このトピックに関心をお持ちの方は、12月1日のライブウェビナーにご参加ください(この日以降はオンデマンドでお聞きいただけます)。Canonical製品のセキュリティ機能、またはそれらのサイバーセキュリティ戦略におけるメリットについては、お問い合わせください。
ニュースレターのサインアップ
関連記事
コンフィデンシャルコンピューティングはプライベートデータセンターにも必要?
コンフィデンシャルコンピューティングの普及が進む中、よく聞かれる質問があります。なぜプライベートデータセンターにもコンフィデンシャルコンピューティングが必要なのでしょう? コンフィデンシャルコンピューティングがパブリッククラウド環境におけるセキュリティの懸念への対処と関連付けられることが多いのは事実ですが、コンフィデンシャルコンピューティングの価値はそれだけではありません。 コンフィデンシャルコンピューティングの脅威モデル この質問に答えるためには、最初にコンフィデンシャルコンピューティングの根本的な脅威モデルについて理解する必要があります。パブリッククラウドにおけるコンフィデンシャル仮想マシン(CVM)は、メインメモリ内のワークロードを暗号化することでワークロードの新し […]
未来のAIがもたらすもの
Artificial Intelligence Appreciation Dayに注目すべき8つのトレンド 米国で7月16日は「Artificial Intelligence Appreciation Day」(人工知能感謝の日)です。20世紀にSF小説でよく扱われたアンドロイドなどのテーマや発明は、今や科学的にほぼ現実のものとなりました。1950年代、人工知能はアルゴリズム開発などの大きな成功と、計算能力の制約による大きな失敗の両方を経験しました。そして今日、AIは今年最大のトピックとなりそうです。ChatGPTは1週間足らずで10億ユーザーを達成し、企業はAIへの投資を増額しています。では、AIの未来はどうなるのでしょう?以下のトレンドが今後を垣間見せてくれます。 A […]
Canonical プレゼンツ:Dell Technologies Forum 2023 – イノベーションと成長の力を解放する
Dell Technologies Forum 2023は、イノベーションと組織の成長を目指すビジネスリーダーやスペシャリストに向けた、デル・テクノロジーズの日本における最大のイベントです。今年も会場とオンラインで同時に開催され、最新のITトレンドや最先端テクノロジーのご紹介のほか、実際に変革を成し遂げた企業の事例、様々なセッションをご用意しています。 Canonicalの参加 Canonicalはパートナーとして、デルプラットフォームとの共同ソリューションの成功事例をいくつか紹介します。さらに、最新のAIプラットフォームソリューションを展示します。信頼できるAI/MLオープンソースプラットフォーム、Ubuntuは、開発者からエッジまで、AIの構想を支援するプラットフォー […]