オープンソースとサイバーセキュリティ:予防から回復まで

by Canonical on 28 December 2022

最新のアンチウイルスソフトウェアをインストールし、ピカピカのファイアウォールをオンにしました。これで会社は安全ですよね?

実は、世界のどんなセキュリティ製品を使っても、データセンターや企業を脅威から完全に保護することはできません。攻撃者と企業はいたちごっこを繰り返し、サイバーセキュリティの問題は決して解決されず、なくなりもしないのです。健全なインフラストラクチャへの道には終わりがないと覚悟することが重要です。

では、有効なサイバーセキュリティ戦略とは何でしょうか? Canonicalはサイバーセキュリティベンダーではありませんが、世界中の無数の企業を攻撃者から守るよう努めています。そしてソフトウェアサプライチェーンの出発点として重要な役割を果たしています。

この記事では、さまざまなセキュリティ上の検討事項が、Canonicalの製品設計、およびオープンソースに対応したお客様のサイバーセキュリティ戦略に影響を与えることをご紹介します。

予防は治療に勝る…

オランダの哲学者、デジデリウス・エラスムスが1500年に論じたとおり、治療より予防に力を注ぐほうがはるかに安価で有効です。新型コロナウイルス感染症のパンデミックがそれを教えてくれました。この原則はサイバーセキュリティにも当てはまります。

多くのセキュリティチームは人手もリソースも不足しているため、煙を見て火事の場所を知るよりも、大きな火事を消すことに力を注がねばなりません。このためには、健全で、脆弱性がなく、回復力のあるシステムを作るのが最善の策です。しかし現実的に、ハードニングとセキュリティパッチの安定した戦略を持つことは、ITチーム、特に少人数のチームにとっては極めて困難です。

Canonicalでは、十分な資金のある高度なITチームでなくても、セキュリティパッチの適用やハードニングを行うべきだと考えます。Ubuntu Proをリリースし、セキュリティサポートの幅広い普及に努めるのはそのためです。Ubuntu Proは、Ubuntu Universeリポジトリ、ライブカーネルパッチ、ハードニング自動化ツールのすべてのパッケージについて10年間のセキュリティ更新を提供します。

予防の対象はオペレーティングシステムだけではありません。Canonical KubernetesMicrok8sは、デフォルトでCIS(Center For Internet Security)ハードニングプロファイルを実装しています。Canonicalは、セキュリティを強化し、攻撃対象領域を最小限に抑えた小さなコンテナイメージとしてROCKも開発しています。

高い壁と深い堀が永遠に城を守るわけではないことはわかっています。しかし、大半の企業が門を開け放し、壁の防御もしていない状況では、未熟な攻撃者が簡単にシステムに侵入するのを防ぐ上で、一貫したハードニングとセキュリティパッチが大きな効果を発揮します。

検出、対応、回復もやっぱり重要!

攻撃者が侵入してしまったら?高度な防御でもいつか破られることがあります。そうなったときは、脅威を封じ込め、業務をできるだけ早く復旧することが重要です。

Canonicalは、大手セキュリティベンダーと提携することで企業による脅威の検出と対応をサポートするとともに、ソフトウェアオペレーターを構築し、一般的なオープンソースアプリケーションに共通するアクションの自動化によって復元の課題に取り組んでいます。

Tenable Nessusなどの脆弱性管理プラットフォーム、Microsoft Defenderなどのマルウェア検出システム、あるいはAqua Securityなどのインフラストラクチャセキュリティツールに関して、Canonicalは、大手サイバーセキュリティベンダーと長年にわたって協力してきました。これはベンダー各社に自社システムの仕組みを理解(そして正常な動作と予期しない動作を速やかに区別)してもらい、利用可能なパッチや脆弱性を意識してもらうためです。

侵害の後、しばしば最大の課題となるのがインフラストラクチャの再構築です。少数の主要関係者にしか運用の知識がなく、多数の手作業が必要になることから、再構築に長い時間がかかり、不安定な結果になることも珍しくありません。Jujucharmed operatorがあれば、管理者は環境の主導権を取り戻すことができます。charmは、複雑なシステムを再デプロイするだけでなく、バックアップ、拡張、復元など、2日目のすべての作業を容易にします。運用の知識がソフトウェアにエンコードされているため、管理者はそれほど環境にアクセスする必要がなく、攻撃対象領域が縮小されてセキュリティが向上します。

統合でセキュリティが崩れることをお忘れなく

算数で1 + 1は常に2ですが、サイバーセキュリティの世界では必ずしもそうではありません。セキュアな製品2つを組み合わせてできたシステムがセキュアとは限らないからです。  また、製品に脆弱性があるからといって、組み合わせたシステムが侵害されるとも限りません。

多くの企業やサイバーセキュリティベンダーの悪い点は、自社製品のセキュリティ機能をあたかも隔離されて存在するかのように、あるいはあたかもクリーンな新規環境にデプロイされているかのように話すことです。しかし現実には違います。新しいインフラストラクチャは必ず他の多くのシステムと共存し、時代遅れのレガシーシステムと統合する必要があります。唯一の有効なセキュリティ対策は根底での防御です。

Canonicalはこの必要性を念頭に置き、ベアメタルにデプロイするOSから、コンテナイメージ、Jujuによるアプリケーション自動化まで、すべてを含む垂直統合型の製品群をご用意しています。セキュリティや信頼性をテストする際、Canonicalは、製品が単独で機能するだけでなく、他の製品と一緒にデプロイしてもさらに有効に機能することを確認します。

Canonicalは、どんな企業でもすべてのインフラストラクチャをCanonicalの製品上だけで実行することは非現実的であることも認識しています。インフラストラクチャスタックを大きなジェンガの塔にたとえるのはこのためです。上から1個取ってもせいぜい2、3個落ちるだけ。でも下から1個取ろうとすると、全体が崩れる可能性がはるかに大きくなります。すべてつながっているからこそ、Canonicalはインフラストラクチャ、コンテナ、OSレイヤでの隔離に投資し、問題が複数のレイヤに広がることを防いでいるのです。

オープンソースのセキュリティに関する詳細

このトピックに関心をお持ちの方は、12月1日のライブウェビナーにご参加ください(この日以降はオンデマンドでお聞きいただけます)。Canonical製品のセキュリティ機能、またはそれらのサイバーセキュリティ戦略におけるメリットについては、お問い合わせください

ニュースレターのサインアップ

Ubuntuニュースレターの配信登録

お客様が購読登録を行われる場合、以下の条件に同意されたことになります。Canonicalのプライバシーに関するお知らせ個人情報保護ポリシー

関連記事

Ubuntu 24.04 LTSのセキュリティの新機能

新しいUbuntu 24.04 LTSリリースであるNoble Numbatは、優れた新機能を備えています。Ubuntuの他のリリースと同様、Ubuntu 24.04 LTSにもメインリポジトリの5年間の無償セキュリティメンテナンスが付属します。サポートはさらに5年間延長でき、Ubuntu Proを購入するとUniverseリポジトリも含めることができます。大きなアップグレードなしにシステムのセキュリティを維持したい組織は、Legacy Supportアドオンでサポートを10年以上に延長することもできます。Ubuntu ProとLegacy Supportによるセキュリティ強化も併せ、Ubuntu 24.04 LTSは、リスクの大きい環境でアプリケーションやサービスを開発 […]

Canonical社が提供する「Ubuntu Pro for Devices」に基づく新事業を展開 ~パートナーと連携した新しい事業を立ち上げ~

株式会社アイ・オー・データ機器(本社:石川県金沢市、代表取締役会長:細野 昭雄、以下、アイ・オー・データ)は、Canonical Group, Ltd.(本社:英国ロンドン、CEO:Mark Shuttleworth、以下:Canonical社)とLinux OS 「Ubuntu」のライセンス契約を合意し、Canonical社が提供する「Ubuntu Pro for Devices」プログラムに基づき、Ubuntuを活用した新事業や新商品を展開することを発表いたします。 ビジネス概要 アイ・オー・データはLinux OS 「Ubuntu」搭載デバイスをより広く、手軽に使っていただくため、Canonicalの「Ubuntu Pro for Devices」プログラムに基づい […]

CanonicalがUbuntu Core 24を発表

Ubuntu Core(改変不可)が、IoTデバイスメーカー向けの新しい工場インストールシステム、AIoT対応のGPUサポート、LandscapeとMicrosoft Azure IoT Edgeによるデバイス管理統合機能を導入。 ロンドン、2024年6月4日 Canonicalは本日、12年間の長期サポート(LTS)を保証したUbuntu Core 24の一般提供を発表しました。Ubuntuの改変不可フレーバーであるUbuntu Core 24は、すべてのシステムコンポーネントとシステム自体をコンテナ群にまとめ、カーネルによる厳密な隔離、高度なマネージドコンポーネント統合、信頼性の高いOTA更新、フェイルセーフロールバックにより、インテリジェントなエッジ/IoTアプリケ […]