Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

Tenable Identity Exposure が CISA が策定した最新のゼロトラストガイドラインの適用にどのように役立つか

Tenable Identity Exposure が CISA が策定したゼロトラストガイドラインの適用にどのように役立つか

Active Directory はゼロトラストアーキテクチャに不可欠な基盤であるため、その保護は非常に重要です。 Tenable Identity Exposure を使用すると、Active Directory システムの衛生状態とセキュリティ態勢を継続的に評価し、侵害のリスクを軽減できます。 以下でその方法を詳しく説明します。

米国 サイバーセキュリティ・インフラストラクチャ・セキュリティ庁 (CISA) は最近、ゼロトラスト成熟度モデル (ZTMM) の更新版をリリースしました。これは、連邦政府機関がゼロトラストアーキテクチャ (ZTA) を設計、実装、進化させる際に使用できるロードマップです。 

最新バージョンでは、5 つの主要な柱である「アイデンティティ」、「デバイス」、「ネットワーク」、「アプリケーションとワークロード」、「データ」に関する導入ガイダンスが更新されています。 それぞれの柱は、各機関がゼロトラスト戦略の発展に伴って進んでいく、複数の成熟段階で構成されています。 更新された成熟度モデルでは、既存の「従来型」、「高度」、「最適」の各ステージに、「初期」ステージと呼ばれる成熟度ステージも追加されています。

ZTA の実装は完了までに数年かかる長いプロセスであり、ゼロトラスト原則に対応する、複数の統合テクノロジーソリューションを活用する必要があります。 CISA は、米国の 国立標準技術研究所 (NIST) が定めるゼロトラストへの移行の手順に沿って、各機関はゼロトラスト機能に投資する前に、現在の企業システム、リソース、インフラと人員、プロセスを評価すべきであると指摘しています。 

以下の図は、「可視化と分析」、「自動化とオーケストレーション」、「ガバナンス」という分野横断的な機能とともに ZTMM の 5 本の柱を表しています。

Tenable が CISA が策定したゼロトラストガイドラインの適用を支援

(提供: CISA)

NIST SP 800-207 に要約されているように、ZTA は設計およびデプロイメントのフェーズで以下の 7 つの原則に従う必要があります。

  1. すべてのデータソースとコンピューティングサービスは、リソースと見なされる。
  2. ネットワークの場所に関係なく、すべての通信が保護される。
  3. 個々のエンタープライズリソースへのアクセスは、セッションごとに許可される。
  4. リソースへのアクセスは、動的ポリシーによって決定される。
  5. 企業は、所有する資産や関連する資産すべての整合性とセキュリティ態勢を監視し、測定する。
  6. すべてのリソースの認証と承認は動的であり、アクセスが許可される前に厳密に実施される。
  7. 企業は、資産、ネットワークインフラ、通信の現在の状態に関する情報をできるだけ多く収集し、それを使用してセキュリティ態勢を改善する。

Tenable Identity Exposure を使用してゼロトラストの成熟を推進

Active Directory (AD) は、オンプレミス環境やハイブリッド環境全体で認証と承認を行うための信頼できる情報源です。 Active Directory は、ゼロトラストフレームワークのすべての原則と要素にわたって使用されます。 したがって、Active Directory はネットワークリソース、デバイス、アプリケーション、アイデンティティ、データに対する中核となる認証および承認システムであるため、AD セキュリティはいかなる ZTA においても重要です。 

AD セキュリティを適切に保護するには、その全領域を考慮し、衛生状態とセキュリティ態勢を継続的に評価する必要があります。 こうすることで、事前対応型と事後対応型の対策の両方に対応し、AD 侵害の可能性を低減することができます。 

ZTA の一環として Tenable Identity Exposure (旧称 Tenable.ad) を使用すると、AD システムに必要な包括的な保護を確実に行い、脆弱性を攻撃者が悪用する前に発見して修正し、攻撃をリアルタイムに検出して対応することができます。

Tenable Identify Exposure は AD システムを以下の方法で保護します。

  • 次の機能により既存の脆弱性を検出して修正する:
    • 脆弱性の迅速な検出、マッピング、スコアリング
    • 段階的な修正戦術
  • 次の機能により、堅牢化されたセキュリティ設定を維持する:
    • 新たな弱点や設定ミスの即時検出
    • 攻撃経路の遮断
  • 次を提供することで AD 攻撃をリアルタイムで検出して対応する:
    • リアルタイムのアラートと実行可能な修正計画
    • SIEM、SOAR、SOC で通知を確認し、応答をトリガーする機能
    • 攻撃者を惹きつけ、注意をそらすハニーポット設定
  • 次を実行することで、インシデント対応と脅威の調査を強化する:
    • AD の変更をオブジェクトレベルと属性レベルで検索して関連付ける
    • AD のオブジェクトと資産への攻撃経路をすぐに可視化する

Tenable Identity Exposure は CISA の ZTMM の柱とどのように連携しているか

アイデンティティ

CISA によると、「アイデンティティとは、機関のユーザーまたはエンティティ (非個人のエンティティを含む) を一意に表す属性または一連の属性」を指します。 

Tenable Identity Exposure は、不適切な設定に関連する AD セキュリティリスクを継続的に表面化させ、個人および非個人の両方のアイデンティティに対して不適切に設定された権限によって発生する攻撃経路を明らかにします。 こういったリスクは、ゼロトラスト環境において、認証情報の盗難やデータの抽出を目的とした攻撃に簡単に利用されてしまいます。 たとえば、パスワードが空のままのユーザー、古いアカウント、セキュリティグループのメンバーシップ以外の特権、ユーザーアカウントに対する安全でない Kerberos 委任、誤って設定された無数のドメインレベルのアクセス許可と設定といったものが悪用されます。

デバイス

CISA では、デバイスについて「サーバー、デスクトップ、ラップトップマシン、プリンター、携帯電話、IoT デバイス、ネットワーク機器などを含む、ネットワークに接続できるすべての資産 (ハードウェア、ソフトウェア、ファームウェアなど)」と定義しています。

Tenable Identity Exposure は、Active Directory ドメイン参加済みデバイスの脆弱性と設定ミスを特定します。例えば、特権ユーザーがログオンできる場所の制限、制約のないコンピューターの委任、古い OS などを含まれますがこれらに限定されません。 

ネットワーク

CISA によると、「ネットワークとは、機関の内部ネットワーク、無線ネットワーク、インターネットなどの一般的なチャネルに加え、メッセージの転送に使用される携帯電話やアプリケーションレベルのチャネルといったその他の潜在的なチャネルを含む、オープンな通信メディア」を指します。 

さまざまな種類のネットワークがある場合、グループメンバーシップや証明書サービスといった Active Directory のサービスが多く利用されます。 Tenable Identity Exposure を利用すると、確実にこれらのリソースを適切に設定し、保護できるようになります。 たとえば、アカウントにマップされた証明書、ADCS の危険な設定ミス、AD PKI での脆弱な暗号化アルゴリズムの使用のほか、ネットワークへのアクセス権限の獲得に使用されるグループに関連する変更についても監視できます。

アプリケーションとワークロード

CISA では「アプリケーションとワークロードには、オンプレミス環境、モバイルデバイス、クラウド環境で実行される、機関のシステム、コンピュータープログラム、サービスが含まれる」と説明しています。

Tenable Identity Exposure は、Active Directory の AD 設定ミスや脆弱性を特定します。 アプリケーションとワークロードは多くの場合、ドメイン参加しているか、AD のサービスアカウントを使用しています。Tenable Identity Exposure は、これらのアプリケーションを実行しているアカウントとインフラの設定ミスを特定します。例として、Kerberos サービスを実行している特権アカウント、危険な委任、設定ミスのある Active Directory 証明書などがあります。

データ

CISA によると「データには、連邦システム、デバイス、ネットワーク、アプリケーション、データベース、バックアップ (オンプレミス環境と仮想環境を含む)、およびそれらに関連するメタデータ内に存在している、またはかつて存在していた、すべての構造化ファイルおよび非構造化ファイルとフラグメントが含まれます」。 

Tenable Identity Exposure は、Active Directory の AD 設定ミスや脆弱性を特定します。 多くの場合、データは AD グループによって保護され、ホストはドメイン参加しているか、AD のサービスアカウントを使用しています。Tenable Identity Exposure は、これらのアプリケーションを実行しているアカウントとインフラの設定ミスを特定します。例として、Kerberos サービスを実行している特権アカウント、危険な委任、設定ミスのある Active Directory 証明書などがあります。

Tenable Identity Exposure と Tenable One

Tenable Identity Exposure は、スタンドアロンソリューションとして、または Tenable One サイバーエクスポージャー管理プラットフォームの一部としてご利用になれます。 Tenable One プラットフォームは、さまざまなデータソースを 1 つのソリューションに統合しているため、お客様はリスクの全体像を把握し、すべての資産タイプにおいて最も重大な脆弱性に優先順位を付けることができます。 このプラットフォームは、Tenable Research による高速で広範な脆弱性カバレッジを基盤として構築されており、アイデンティティシステム、ウェブアプリケーション、IT 資産、クラウドリソース、コンテナにわたる、業界で最大の網羅性を誇る脆弱性カバレッジを提供します。また、包括的な分析機能により、作業の優先順位付けやリスクの伝達を可能にします。

Tenable One を使用すると、アイデンティティシステムのデータ、およびその他すべての資産や脆弱性の情報を一元的に表示できます。 統合ダッシュボードとレポートにより、セキュリティの状態や傾向が明確に伝わります。

Tenable One は、以下を実現します。

  • 現代のアタックサーフェス全体の包括的な可視化
  • 脅威を予測し、攻撃を防ぐための作業の優先順位付け
  • より適切な判断を可能にする、サイバーリスクの伝達

詳しくは、ソリューション概要の「ゼロトラストへのアプローチでセキュリティを考え直す」をご覧になるか、Tenable Identity Exposure ページにアクセスしてください。

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加