セキュアな統合エンドポイント管理

現在の問題

安全な統合エンドポイント管理ソリューション (SUEM) は、ゼロトラストセキュリティ、動的アクセスルール、高度な脅威に対する対応などをサポートします。 実際には、大半の企業がこの水準のアクセスならびに可視性の実現からはほど遠い状態にあります。 

• 現在のところ、ITならびにセキュリティの専門家における72%が、セキュリティとITデータがサイロ化状態にあると回答しています。そのインパクトを考慮すると、驚くべき高さだといえるでしょう。 
• 回答者の63%が、このようなサイロ化によりセキュリティ対応速度が遅延化していると回答しています。
• また54%が、このような現状によって企業全般のセキュリティ体制が弱体化していると回答しています。

SUEM（セキュアな統合エンドポイント管理）のビジネスケース

SUEMにおける主要誓約として、企業のプロアクティブ化が挙げられます。 大半の企業において、従業員からの苦情 (デバイスが動作しない、など) を受けてはじめて、IT部門によるパッチ適用が行われています。 問題が顕在化する前に、インテリジェントシステムによってデバイスのパフォーマンス低下パターンが認識され、脆弱なデバイス全域の自動診断が推奨できることが望ましいといえます。ダウンタイムが最小限に抑えられ、ITサポートの必要性がなくなります。

このような事前対策は、従業員にとってプラスとなるだけではありません。 SUEMによって、リーダーがコスト削減の好機を特定し、高度な情報に基づいた自動化戦略開発を行うためのツールが提供されます。自動化によって効率が改善され、従業員体験が向上され、パフォーマンスアップにつながる領域が子細に特定できるようになります。

セキュリティの観点に立つと、SUEMソリューションデータによって、攻撃者の関心対象、すなわち外部からの攻撃対象領域管理が明確になります。 攻撃の突破口となりやすい場所とは？ 最初に侵害されやすいシステムとは？ 続いて起こりうるラテラルムーブメントとは？ 企業が脆弱性や相対的なインパクトを把握することを通じて、多大な可能性のなかからアクションに優先順位を付けることが可能になります。

責任の範囲を定義する

多くの企業において、ITチームとセキュリティチーム間のゴールとアクションに摩擦がたえず発生し、フラストレーションや非効率性の要因となっていることが報告されています。

過去5年間において、デジタル攻撃対象領域 (デバイス、アプリケーション、サーバー、コード、シャドー IT) が急激に拡大されています。 この領域の所有者とは? デバイスやアプリ、コードの管理者とは？ 私たちは明確なスイムレーンを有しません。

SUEMを使用することで、ITとセキュリティ間のサイロ化を打破し、顕在化されたパターンやシグナルに基づいてアクションに優先順位を付けることが可能になります。 SUEMの導入によって、あらゆるチームが同じデータセットを使用し、別個のデータサイロの代わりに統合的なデータセットからアクションの推論や分析、推奨を行うことができるようになります。 パフォーマンスに秀でた企業では、デバイス管理から安全なデバイス管理へと進化しています。

スリニヴァス・ムッカマラ博士
Ivanti 最高製品責任者

BYODに対する厳格なアプローチを展開する  

適切な管理を行うことによって、個人用端末の業務利用(BYOD) は、リモートの従業員にとってすぐれたエンパワーメントとなりえます。 BYODのポリシー、戦略、テクノロジーソリューションは、私用デバイスのオフィスやネットワークへの持ち込みに起因する拡大的なリスクに的確に対処しなければなりません。 例：

• 資格性： どの従業員がどのような使用デバイスを業務使用できるのか定義します。 どの種類のデバイスを許容し、どのようなセキュリティ対策 (暗号化、パスワード管理など)を定義しますか？ 
• 責任とコンプライアンス： エンドユーザーにMDMポリシーへの同意を求めるポリシーを設定します。これにより、企業がアセットをリモートワイプできるようになります。 
• データ管理とプライバシー： BYODデバイスに認められるアクセス水準をあらかじめ定義し、文書化します。 一般的に、企業の管理対象外にあるデバイスに向けてネットワークへのフルアクセスを許可することは推奨されません。 最小特権アクセスアプローチに準じ、従業員の私用デバイスにアクセスを許可するデータ、ならびにアプリケーションにまつわる明確なガイドラインを提供します。
• サポートとメンテナンス： 承認デバイスのリストを作成します。 標準のエンタープライズデバイスとは異なるデバイス、サポートされていない旧アプリやOSの搭載されたデバイスは、サポートコストの増大につながり、ユーザーの生産性に影響が生じます。
• 出口計画： 従業員が企業を退職(ないしはBYODの特権消失)する際に、雇用主としていかに既存のアクセシビリティや企業データの管理や削除を行い、あらゆる私物デバイスを企業ネットワークから切断すべきでしょうか？

これらのプロトコルやガイダンスのほかにも、企業として業務に使用されるあらゆる私物デバイスを登録し、監視するためのモバイルデバイス管理ソリューションが要されます。 デバイスの登録やアプリケーション管理、リモートワイプ、コンプライアンスの強制といったさまざまな重要管理ならびに強制機能を提供するMDMソリューションを選択してください。

ダレン・ゴーソン 
Ivanti SUEM製品管理担当副社長

動的なエクスポージャー管理の適用

脆弱性の数、そして巧妙な脅威アクターはいずれも劇的に増加化しています。 さらに、脆弱性の悪用に要される時間も短縮化を遂げています。 現在「パッチ管理」と呼ばれているものは、露出管理と呼ぶべきだといえます。どれほどの長きにわたって、企業が特定の脆弱性にさらされる状況を甘受し続けられますか？

ベンダーの重大度やCVSSスコアのみを基準にして意思決定を行っている場合、ベンダーが必ずしもCVEをクリティカルとして分類していないことから、さまざまな脆弱性にさらされかねません。 企業はより精緻なアプローチを採用し、頻繁に悪用されているものが何であるのか常に自問しなければなりません。 それがある場所を検出できますか? 迅速な対応や優先的な更新よりも定期的なメンテナンスを優先化させるプロセスはありますか?

セキュリティを最重視している企業、なかでも頻繁にターゲティングされている企業においては、現在のところ次に挙げられる2つのトラックシステムが実行されています。

• 月ごとの定期メンテナンス (スケジュールされたパッチ管理など) 
• 急激に出現する重大な脅威に対する継続的なメンテナンス

この2つのトラックシステムには、コンプライアンス測定時に課題が生じる可能性があります。 この2つのトラックシステムを実行する際には、KPIの調整を実施し、アクティブなエクスプロイト管理の重要性が反映されなければなりません。

クリス・ゲトル 
Ivanti 製品管理エンドポイントセキュリティ担当副社長