オープンソースとサイバーセキュリティ：予防から回復まで

by Canonical on 28 December 2022

最新のアンチウイルスソフトウェアをインストールし、ピカピカのファイアウォールをオンにしました。これで会社は安全ですよね？

実は、世界のどんなセキュリティ製品を使っても、データセンターや企業を脅威から完全に保護することはできません。攻撃者と企業はいたちごっこを繰り返し、サイバーセキュリティの問題は決して解決されず、なくなりもしないのです。健全なインフラストラクチャへの道には終わりがないと覚悟することが重要です。

では、有効なサイバーセキュリティ戦略とは何でしょうか？ Canonicalはサイバーセキュリティベンダーではありませんが、世界中の無数の企業を攻撃者から守るよう努めています。そしてソフトウェアサプライチェーンの出発点として重要な役割を果たしています。

この記事では、さまざまなセキュリティ上の検討事項が、Canonicalの製品設計、およびオープンソースに対応したお客様のサイバーセキュリティ戦略に影響を与えることをご紹介します。

予防は治療に勝る…

オランダの哲学者、デジデリウス・エラスムスが1500年に論じたとおり、治療より予防に力を注ぐほうがはるかに安価で有効です。新型コロナウイルス感染症のパンデミックがそれを教えてくれました。この原則はサイバーセキュリティにも当てはまります。

多くのセキュリティチームは人手もリソースも不足しているため、煙を見て火事の場所を知るよりも、大きな火事を消すことに力を注がねばなりません。このためには、健全で、脆弱性がなく、回復力のあるシステムを作るのが最善の策です。しかし現実的に、ハードニングとセキュリティパッチの安定した戦略を持つことは、ITチーム、特に少人数のチームにとっては極めて困難です。

Canonicalでは、十分な資金のある高度なITチームでなくても、セキュリティパッチの適用やハードニングを行うべきだと考えます。Ubuntu Proをリリースし、セキュリティサポートの幅広い普及に努めるのはそのためです。Ubuntu Proは、Ubuntu Universeリポジトリ、ライブカーネルパッチ、ハードニング自動化ツールのすべてのパッケージについて10年間のセキュリティ更新を提供します。

予防の対象はオペレーティングシステムだけではありません。Canonical KubernetesとMicrok8sは、デフォルトでCIS（Center For Internet Security）ハードニングプロファイルを実装しています。Canonicalは、セキュリティを強化し、攻撃対象領域を最小限に抑えた小さなコンテナイメージとしてROCKも開発しています。

高い壁と深い堀が永遠に城を守るわけではないことはわかっています。しかし、大半の企業が門を開け放し、壁の防御もしていない状況では、未熟な攻撃者が簡単にシステムに侵入するのを防ぐ上で、一貫したハードニングとセキュリティパッチが大きな効果を発揮します。

検出、対応、回復もやっぱり重要！

攻撃者が侵入してしまったら？高度な防御でもいつか破られることがあります。そうなったときは、脅威を封じ込め、業務をできるだけ早く復旧することが重要です。

Canonicalは、大手セキュリティベンダーと提携することで企業による脅威の検出と対応をサポートするとともに、ソフトウェアオペレーターを構築し、一般的なオープンソースアプリケーションに共通するアクションの自動化によって復元の課題に取り組んでいます。

Tenable Nessusなどの脆弱性管理プラットフォーム、Microsoft Defenderなどのマルウェア検出システム、あるいはAqua Securityなどのインフラストラクチャセキュリティツールに関して、Canonicalは、大手サイバーセキュリティベンダーと長年にわたって協力してきました。これはベンダー各社に自社システムの仕組みを理解（そして正常な動作と予期しない動作を速やかに区別）してもらい、利用可能なパッチや脆弱性を意識してもらうためです。

侵害の後、しばしば最大の課題となるのがインフラストラクチャの再構築です。少数の主要関係者にしか運用の知識がなく、多数の手作業が必要になることから、再構築に長い時間がかかり、不安定な結果になることも珍しくありません。Jujuとcharmed operatorがあれば、管理者は環境の主導権を取り戻すことができます。charmは、複雑なシステムを再デプロイするだけでなく、バックアップ、拡張、復元など、2日目のすべての作業を容易にします。運用の知識がソフトウェアにエンコードされているため、管理者はそれほど環境にアクセスする必要がなく、攻撃対象領域が縮小されてセキュリティが向上します。

統合でセキュリティが崩れることをお忘れなく

算数で1 + 1は常に2ですが、サイバーセキュリティの世界では必ずしもそうではありません。セキュアな製品2つを組み合わせてできたシステムがセキュアとは限らないからです。  また、製品に脆弱性があるからといって、組み合わせたシステムが侵害されるとも限りません。

多くの企業やサイバーセキュリティベンダーの悪い点は、自社製品のセキュリティ機能をあたかも隔離されて存在するかのように、あるいはあたかもクリーンな新規環境にデプロイされているかのように話すことです。しかし現実には違います。新しいインフラストラクチャは必ず他の多くのシステムと共存し、時代遅れのレガシーシステムと統合する必要があります。唯一の有効なセキュリティ対策は根底での防御です。

Canonicalはこの必要性を念頭に置き、ベアメタルにデプロイするOSから、コンテナイメージ、Jujuによるアプリケーション自動化まで、すべてを含む垂直統合型の製品群をご用意しています。セキュリティや信頼性をテストする際、Canonicalは、製品が単独で機能するだけでなく、他の製品と一緒にデプロイしてもさらに有効に機能することを確認します。

Canonicalは、どんな企業でもすべてのインフラストラクチャをCanonicalの製品上だけで実行することは非現実的であることも認識しています。インフラストラクチャスタックを大きなジェンガの塔にたとえるのはこのためです。上から1個取ってもせいぜい2、3個落ちるだけ。でも下から1個取ろうとすると、全体が崩れる可能性がはるかに大きくなります。すべてつながっているからこそ、Canonicalはインフラストラクチャ、コンテナ、OSレイヤでの隔離に投資し、問題が複数のレイヤに広がることを防いでいるのです。

オープンソースのセキュリティに関する詳細

このトピックに関心をお持ちの方は、12月1日のライブウェビナーにご参加ください（この日以降はオンデマンドでお聞きいただけます）。Canonical製品のセキュリティ機能、またはそれらのサイバーセキュリティ戦略におけるメリットについては、お問い合わせください。