IT環境の現状

巧妙なサイバー攻撃時代におけるエンタープライズIT

読了時間:3分

新型コロナウイルス感染症のパンデミックが始まって以来、驚異的な数の壊滅的なデータ侵害が記録されています。 データ侵害の平均コストは現在424万米ドルで、昨年の386万米ドルから10%増加しています。 これは過去7年間¹で業界が経験した最大の増加率であり、セキュリティー対策は最重要課題となっています。 セキュリティー戦略を改善し、この常時接続の世界でビジネスを迅速かつ安全、確実に進める。そのことに、今日多くの企業経営者が焦点を当てています。そしてその結果として、セキュリティー関連の予算が増加しています。 しかし、セキュリティー対策への支出を増加して技術革新を進めても、さらに複雑化した新たなリスクが数多く発生して、ITセキュリティーを脅かし続けています。 多くのセキュリティーの専門家は、巧妙な攻撃ベクトルの増加により、今日のビジネスの多くの局面がかつてない勢いでこうした攻撃ベクトルにさらされ続けていることを最も懸念しています。

青い四角形の画像

424万米ドル

現在のデータ侵害にかかる平均的なコスト。昨年報告された386万米ドルから10%増加しています。

02

現在の脅威の実情

読了時間:7分

企業は、セキュリティー・システムによって、知的財産、機密情報、顧客データ、ワークロード・プライバシーを、現在の脅威と今後起こりうる脅威から守ろうとしています。

専門家がITセキュリティーに対してどのような戦略的アプローチを取るかは、データ侵害やサイバー攻撃を防ぐために非常に重要です。 セキュリティーの脆弱性は、ダウンタイムにつながるだけでなく、あらゆる企業にとっても大きな負担となります。 ランサムウェア攻撃は最大の脅威であり、企業は1度の攻撃につき平均462万米ドルの損害を被っています¹。 IBM® Power®プラットフォームは、エンドポイント検出・対応(EDR)と継続的な多要素認証などのゼロトラストの概念を実装することで、その保全性によりランサムウェアのリスクを軽減できます。 

ビジネス主導型、コンプライアンス主導型、金融主導型のアプローチを単独で採用するだけでは、増大するITシステムのリスクに対して適切なビジネス保護プロセスを提供することはできません。 単独でのアプローチでは、効率的で統合されたセキュリティー戦略が取れず、重要な分野横断的な側面を見落とす可能性があります。 理想的には、セキュリティーに関連する主要な分野全体のリスクを特定するための計画と評価を行うことが望まれます。 IBM PowerテクノロジーとIBM Power10のプロセッサー・ベースのシステムは、お客様の企業が安全でコンプライアンスを順守した体制の確保に向けたセキュリティー戦略を実現するために、包括的でゼロトラストの重層的なアプローチを提供します。 この重層的なアプローチには、以下の内容が含まれます。

  • ハードウェア
  • オペレーティング・システム
  • ファームウェア
  • IBM PowerSC 2.0テクノロジー
  • ハイパーバイザー

 

包括的なセキュリティー・アプローチを採用することで、セキュリティー環境に影響を及ぼす脅威に対処できます。

ハッカーの手口はますます巧妙になっています。

企業が従来のオンプレミス型データセンターの制約から外れ、ハイブリッドクラウドやマルチクラウド環境へ移行すればするほど、サイバー攻撃者は既成概念にとらわれない思考をする余地が増えることになります。 アクセス者の権限を最小化し、境界ベースの制御を強化することで、増加する脅威を管理しやすくなります。 ハッカーの手口はこれまでのようなネットワーク・レベルでは収まらなくなり、より広範囲で、より強力な攻撃が行われるようになっています。

データ・アクセスの増加に伴い、セキュリティー対策は極めて重要です。

現在、企業内のデータは、サーバー、ハイブリッドクラウド環境、多数のモバイル・デバイスやエッジ・デバイスにいたるまで、実質どこからでも従業員がアクセスして保管できます。 サーバーとデバイスが交差して切り離せないこの状況は、現在進行中のデジタル変革とモダナイゼーションの副産物です。 その結果、このアクセシビリティーの向上が攻撃ベクトルの大量に増加に繋がり、サイバー攻撃者に悪用される可能性が出てきました。

規制強化がリスク・プロファイルに影響を及ぼしています。

法規制順守を確実に行うことをサポートするプロセスが、意図せぬリスク・エクスポージャーにつながる可能性もあります。 このような傾向のひとつとして、最近では一般データ保護規則(GDPR)が挙げられます。 この規則の導入以降、監督機関は企業がどのようにデータを使用するかについて、これまで以上に注意を払っています。 同時にまた、この規則により日々の業務が複雑さを増しているのも事実です。

従業員はいつでも脆弱性となりうる存在です。

昨年発生したデータ漏洩の20%は、従業員による認証情報の漏洩が原因でした¹。 ログイン情報以外にも、フィッシングやメール詐欺など、従業員が無意識のうちに企業情報を危険にさらしていることがあります。 どのようなセキュリティー対策を実施しても、どのように上手に脆弱性に対処しても、常にある程度のリスクは従業員によってもたらされます。 サイバー犯罪の蔓延する現在においては、このような一般的なセキュリティーの脅威について従業員を教育し、報告システムを導入することが不可欠です。 エンドポイントを保護し、コンプライアンスに準拠するために懸命に取り組んでも、間違いや巧妙な悪意ある攻撃に対しては役に立たないこともありえます。

一方で、多くの企業は有能なサイバーセキュリティー・スタッフの発掘や雇用に苦労しており、常にスキル不足の状態に陥っています。 このようなスキル不足に対処するために、企業は、運用、コンプライアンス、パッチ適用、監視を自動化する簡素化されたセキュリティー管理を実装できます。 エンドツーエンドのセキュリティーでは、リソースを追加しなくてもエンドポイント検出機能を追加するだけで環境を保護するように設計されています。

現在のサイバー脅威の量、種類、速度は、ITアーキテクチャーが進化し、テクノロジー、仕事文化、コンプライアンスの潮流への適応を続けるにつれて、増殖する一方です。 つまり、セキュリティー戦略もネットワーク・レベルを超えて進化する必要があります。

03

ゼロトラスト・セキュリティー戦略が不可欠

読了時間:5分

ゼロトラストの概念を導入することで、企業は複雑化しがちなIT環境におけるセキュリティーに対応できます。 IT担当者は、ハイブリッドクラウド環境とマルチクラウド環境における可視化と制御の問題に苦労しています。 ゼロトラストは、パフォーマンスやユーザー体験に影響を与えずにアクセス管理を制限する、より包括的な戦略に移行することによって、リスクを管理します。 さまざまなサード・パーティー・ベンダーのセキュリティー・ソリューションを実装することで、あらゆるレベルのスタックを保護できます。 しかし、そのようなアプローチでは、現在ご使用の複雑なシステム環境をさらに悪化させ、ネットワーク上の脆弱性と露出部分が増えるだけです。 最適な手段は、重層的なゼロトラスト・アプローチを取ることです。 このアプローチでは、企業の全てのデータとシステムを保護すると同時に、複雑さを最小限に抑えます。 これを念頭に置いて、IBM Information Security Frameworkは、ビジネス主導のセキュリティーに対する包括的なアプローチを採用する際に、あらゆるITセキュリティーの課題に適切に対処できるよう支援します。

IBM Information Security Frameworkは、以下の内容に重点を置いています。

  1. インフラストラクチャー — ユーザー、コンテンツ、アプリケーションに対する洞察によって巧妙な攻撃から保護する。
  2. 高度なセキュリティーと脅威リサーチ — 脆弱性と攻撃の手口に関する知識を取得し、その洞察を保護テクノロジーに適用する。
  3. 人材 — 包括的なアイデンティティー・インテリジェンスにより、セキュリティー・ドメイン全体にわたるエンタープライズ・アイデンティティーの管理と拡張を図る。
  4. データ — 企業の最も信頼性の高い資産のプライバシーと整合性を確保する。
  5. アプリケーション — より安全なアプリケーションを開発するためのコストを削減する。
  6. セキュリティー・インテリジェンスと分析 — コンテキストの追加、自動化、統合を進めることでセキュリティーを最適化する。
  7. ゼロトラスト哲学 — 企業を保護しながら、適切なユーザーと適切なデータをつなぐことで双方を保護する。 

詳細については、IBM Security Framework (PDF, 25.2MB)をご覧ください。

04

IBM Powerテクノロジーによるスタックの保護方法

読了時間:6分

ハードウェア、ファームウェア、ハイパーバイザー

オンチップ・アクセラレーター

IBM Power10プロセッサー・チップは、サイド・チャネル攻撃緩和のパフォーマンスを強化するように設計されており、サービス・プロセッサーから分離され、改善されたCPUを備えています。 この7nmのプロセッサーは、容量を最大3倍まで増やせるように設計されており、パフォーマンスが向上します²。 

エンドツーエンドの暗号化

IBM Powerソリューションの透過的なメモリー暗号化は、企業が今日直面しているセキュリティー標準の厳格化に対応する、エンドツーエンドのセキュリティーを実現するために設計されています。 また、今後起こりうる脅威から保護するために、アクセラレーション暗号化、耐量子暗号、完全準同型暗号をサポートするよう設計されています。 最新のIBM Powerシステム・モデルの暗号化速度の高速化により、IBM Power E980テクノロジー³よりもコア当たり2.5倍速い、高速暗号化標準(AES)の暗号パフォーマンスを実現しています。 企業は管理設定を追加しなくても、透過的なメモリー暗号化のメリットを得られます。

EDRソフトウェア

外部の脅威の増大により、エンドポイント・セキュリティーは、顧客データとデジタル資産を保護する上で不可欠になっています。 エンドポイントで潜在的脅威を検知することにより、企業は事業継続を中断することなくインシデントに迅速に対応し、解決できます。 統合アプローチでは、複雑さを取り除き、企業を最も危険な攻撃からも保護します。

ゼロトラストの原則

企業は増大する脅威を管理できるように、ゼロトラストの原則を導入するための進化を続けています。 多要素認証や最小権限などの原則を導入することで、API、エンドポイント、データ、ハイブリッドクラウド・リソース全ての安全性が確保され、保護機能が強化されます。

IBMのゼロトラスト・フレームワークは、この概念を実現します。

洞察の収集 – ユーザー、データ、およびリソースを把握し、完全な保護を確保するために必要なセキュリティー・ポリシーを作成します。

保護 – コンテキストを迅速かつ一貫して認証し、ポリシーを実行することで企業を保護します。

検知と応答 – 業務オペレーションへの影響を最小限に抑えながら、セキュリティー違反の問題を解決します。

分析と改善 – より多くの情報に基づいた意思決定をできるよう、ポリシーとプラクティスを調整することにより、セキュリティー体制を継続的に改善します。

ゼロトラストの原則を導入することで、安全にビジネスの革新と拡張を行えます。

IBM Power10ソリューションのセキュア・ブート

セキュア・ブートは、デジタル署名で全てのファームウェア・コンポーネントを検証することにより、システムの保全性を保護するように設計されています。 IBMがリリースした全てのファームウェアは、デジタル署名が行われ、ブート・プロセスの一部として検証が行われます。 全てのIBM Powerシステムには、信頼できるプラットフォーム・モジュールが付属しています。このモジュールには、サーバーにロードされた全てのファームウェア・コンポーネントの測定基準が蓄積されており、検査とリモート検証に利用できます。

IBM PowerVMエンタープライズ・ハイパーバイザー

IBM PowerVM®エンタープライズ・ハイパーバイザーは、主要な競合製品と比較して優れたセキュリティー追跡記録機能を備えているため、仮想マシン(VM)とクラウド環境を確実に保護できます。

 

オペレーティング・システム

IBM Powerシステムは、IBM AIX®IBM iLinux®などの幅広いオペレーティング・システムに対して優れたセキュリティー機能を提供します。 IBM PowerのテクノロジーのEDRは、VMワークロードのセキュリティーを強化し、ネットワーク内の全てのエンドポイントでの完全な保護を可能にします。 パスワードによるセキュリティー管理を行うシステムの場合、AIXとLinuxのオペレーティング・システムでは、全てのユーザーに対して追加レベルの認証を必要とするIBM PowerSC多要素認証(MFA)が使用され、パスワード・クラック・マルウェアから保護します。 利用できる機能はOSによって異なりますが、例として以下のような機能があります。

  • セキュリティーを損なわずに、通常はrootユーザーに予約されている管理機能を割り当てる
  • 個々の鍵ストアを通じてファイル・レベルでデータを暗号化する
  • ユーザーがアクセスできるオブジェクトを制御するとともに、使用できるコマンドと機能に対する制御を強化する
  • システム値とユーザーおよびオブジェクトのオブジェクト監査値を使用して、セキュリティー監査ジャーナル内にオブジェクトへのアクセスを記録する
  • ドライブ全体にわたって暗号化を行い、最初にオブジェクトを暗号化してから暗号化形式で書き出す
  • 全てのファイルに対して、要求元のユーザーがファイルを開く前に測定し、検査する

ワークロード、VM、コンテナ

ワークロードは、もはやオンプレミス・データセンターに限定されるものではなく、仮想化ハイブリッドクラウド環境や仮想化マルチクラウド環境へ次々に移行しています。 例として、多くの企業ではハイブリッド・インフラストラクチャーに新しいアプリケーションと既存のアプリケーションを導入するためのコンテナを採用しています。

こうした柔軟さを増す環境とワークロードには、同じように汎用的なセキュリティー機能が必要です。 IBM Powerソリューションでは、ワークロード・プライバシーを保持してセキュリティーのニーズに対応する際に、暗号アルゴリズムのアクセラレーション、セキュアな鍵ストレージ、 ポスト量子暗号と完全準同型暗号(FHE)の暗号アルゴリズムのためのCPUサポートを使用します。

 コンテナ化されたデプロイメントの固有のセキュリティー要件に対応するために、IBMはAqua Security社などの独立系ソフトウェア・ベンダー(ISV)とも提携しています。同社は、IBM PowerテクノロジーとRed Hat® OpenShift® Container Platformを使用した構築により、コンテナのライフサイクル全体にわたる保護を強化しています。

IBM Powerサーバーは、エンドツーエンドのメモリー暗号化と高速な暗号パフォーマンスにより、オンプレミスからクラウドまでデータを保護するように設計されています。 VM、コンテナ、サーバーレス機能などのクラウドネイティブ・ワークロードに組み込まれているポリシーは、アプリケーション・モダナイゼーションのセキュリティーとコンプライアンスの要件を統合する際に、Red Hat OpenShiftを利用するお客様とIBM Powerを利用するお客様に対応できるように構築されています。

ライブ・パーティション・モビリティー(LPM)

IBM Powerのテクノロジーは、移動中のデータを安全に保護します LPMは、あるシステムから別のシステムに移行する必要がある場合に、暗号化によってVMを保護します。 オンプレミス・データセンター、ハイブリッドクラウド環境、またはその両方を仮想化している場合、この機能は非常に重要です。

 

05

IBM Powerソリューションの統合セキュリティー製品

読了時間:9分

IBM PowerSC 2.0テクノロジーは、クラウド環境と仮想環境でエンタープライズ・セキュリティーとコンプライアンスを実現する統合ポートフォリオ・オファリングです。 これはスタックの最上部で動作し、最も低いレベルからソリューションまでに存在する、IBM Powerテクノロジーのセキュリティー機能を管理するためのWebベースのUIを提供します。 

IBM PowerSC 2.0 Standard Editionの機能

多要素認証(MFA)テクノロジー

MFAは現在IBM PowerSC 2.0ソリューションに統合されています。 これにより、「決して信用せずに常に検証する」というゼロトラストの原則に従って、MFAメカニズムの導入を簡素化できます。 このアプローチは、共通アクセス・カード(CAC)と個人ID検証(PIV)のカードを含む、RSA SecurIDベースの認証オプションおよび証明書認証オプションを使用して、ユーザーがログインするための代替要素をサポートします。 IBM PowerSC MFAは、ユーザーに追加の認証要素を要求することで、システムの保証レベルを上げています。

EDR機能

IBM PowerSC 2.0ソリューションは、Linux on IBM Powerのワークロード向けにEDRを導入しています。最新の業界標準機能を提供し、侵入の検知と防止、ログの検査と分析、異常検出やインシデント対応などのエンドポイント・セキュリティーを管理します。

コンプライアンスの自動化

IBM Powerファミリーには、多数の業界標準をサポートする事前作成されたプロファイルが付属しています。 このプロファイルは、Extensible Markup Language(XML)を直接操作せずにカスタマイズして、企業のルールに統合できます。

リアルタイムのコンプライアンス

誰かがセキュリティー重要度の高いファイルを開いたりファイル操作を行うと、それを検知してアラートを出します。

トラステッド・ネットワーク接続

VMが指定されたパッチ・レベルにない場合にアラートを出します。 また、修正が可能になったときにも通知します。

トラステッド・ブート

AIXの論理区画で実行中の全てのソフトウェア・コンポーネントの保全性検査とリモート検証を可能にします。

トラステッド・ファイアウォール

AIX、IBM i、Linuxオペレーティング・システム間の内部ネットワーク・トラフィックを保護し、経路を指定します。

トラステッド・ロギング

一元化された監査ログを作成します。これにより、バックアップ、アーカイブ、管理が容易になります。

事前構成レポートと対話式タイムライン

IBM PowerSC Standard Editionは、5つの事前構成済みレポートにより監査をサポートします。 VMの稼働状況とイベントを表示する対話式タイムラインもあります。

ITのセキュリティーとコンプライアンスの管理を クラウド環境と仮想環境でIBM PowerSCを使用して簡素化する方法についてはこちら

をご覧ください。

06

シームレスな統合はセキュリティーへの最強アプローチ

読了時間:2分

サイバー犯罪者が次々とその手口を巧妙化し、テクノロジーの進化が今日のビジネスに新たな脆弱性をもたらすようになると、企業の複雑性を増大させることのない重層的なゼロトラスト・セキュリティー・ソリューションを統合することが重要になります。 IBM Powerソリューションは、単一ベンダーによる強固に統合された綿密なソリューションにより、エッジからクラウド、コアに至るまであらゆるレベルのスタックを保護します。 複数のベンダーと連携していると、複雑さを招くだけでなく、最終的にはさまざまな面でコストがかかることになります。 IBM Powerのテクノロジーは、パフォーマンスに影響を与えることなく、プロセッサー・レベルでのエンドツーエンドの暗号化をサポートします。 インフラストラクチャーを統合することで、スタックの全ての層が明確になります。 

単一ベンダーによるセキュリティー対策には本来的な優位性があり、セキュリティー戦略を簡素化して強化できます。 セキュリティー業界における30年間にわたるリーダーシップと、その技術と経験に基づいて構築されるIBM Powerのテクノロジーにより、IBM内外の組織との広範なパートナーシップ関係が築かれ、セキュリティーの専門知識をさらに深化し、拡張しています。 このパートナーシップにより、IBM Powerのテクノロジーはセキュリティー専門家の大規模なコミュニティーを活用して、問題を迅速に特定し、確実に対処できるようになります。 また、IBM Security®とIBM Research®の事業部の支援、およびPowerSC 2.0のポートフォリオを活用して、Power10サーバーは、内部攻撃を含め、あらゆるところで多様な脅威を防ぎます。

¹ 「2021年版データ侵害のコストに関する調査レポート」、IBM Security、2021年7月(PDF, 3.6MB)

² 3倍のパフォーマンスとは、2×30コア・モジュールを搭載したPOWER10デュアル・ソケット・サーバー・オファリングと、2×12コア・モジュールを搭載したPOWER9デュアル・ソケット・サーバー・オファリングのプレシリコン・エンジニアリング分析(整数、エンタープライズ、浮動小数点の環境)に基づいています。両モジュールは同じエネルギー・レベルです。 2つの10-20X AI推論の改善は、2×30コア・モジュールを搭載したPOWER10デュアル・ソケット・サーバー・オファリングと2×12コア・モジュールを搭載したPOWER9デュアル・ソケット・サーバー・オファリングの さまざまなワークロード(LinpackのResnet-50 FP32、Resnet-50 BFloat16、Resnet-50 INT8)のプレシリコン・エンジニアリング分析に基づいています。

³ RHEL Linux 8.4とOpenSSL 1.1.1gライブラリーで取得された予備測定に従ってIBM Power10 E1080(15コア・モジュール)とIBM POWER9 E980(12 コア・モジュール)を比較した場合、GCMとXTSの両モードでは、AES-256はコアあたり約2.5倍の速さで稼働します。

© Copyright IBM Corporation 2022

IBM Cloud
日本アイ・ビー・エム株式会社
〒103-8510
東京都中央区日本橋箱崎町19番21号

米国で制作
2022年6月

IBM、IBMロゴ、IBM Cloud、IBM Research、IBM Security、Power、Power10は、米国やその他の国と地域におけるInternational Business Machines Corporationの商標または登録商標です。 他の製品名およびサービス名等は、それぞれIBMまたは各社の商標である場合があります。 現時点でのIBMの商標リストについては、 www.ibm.com/legal/copytrade.shtmlをご覧ください。

Red HatおよびOpenShiftは、米国やその他の国と地域におけるRed Hat社またはその関連会社の商標または登録商標です。本資料は最初の発行日の時点で得られるものであり、随時、IBMによって変更される場合があります。 全ての製品が、IBMが営業を行っている全ての国と地域において利用可能なのではありません。本書に掲載されている情報は特定物として現存するままの状態で提供され、第三者の権利の不侵害の保証、商品性の保証、特定目的適合性の保証および法律上の瑕疵担保責任を含む全ての明示もしくは黙示の保証責任なしで提供されています。 IBM製品は、IBM所定の契約書の条項に基づき保証されます。

登録商標「Linux®」は、世界範囲における商標権者 Linus Torvalds 氏の独占的ライセンシーである Linux Foundation から提供されたサブライセンスに基づき使用されています。

Statement of Good Security Practices(適切なセキュリティーの実践に関するステートメント): ITシステム・セキュリティーには、企業内外からの不適切なアクセスに対する予防、検出および対応などにより、システムと情報を保護することが含まれます。 不適切なアクセスは、情報の改ざん、破壊、悪用、誤用、または他者への攻撃への使用を含む、システムの損傷または誤用につながるおそれがあります。 ITシステムや製品は絶対にセキュアであると捉えるべきではなく、不適切な使用やアクセスを防止する上で絶対に効果のある、製品、サービス、セキュリティー対策は1つもありません。 IBMのシステム、製品およびサービスは、合法的で包括的なセキュリティー・アプローチの一部として設計されているため、必然的に運用手順が追加されることになります。また、他のシステム、製品、またはサービスが最も効果的である場合もあります。 IBMでは、いずれの当事者による不正行為または違法行為により、いかなるシステム、製品もしくはサービス、またはお客様の企業に対して影響が及ぶことはないことを保証するものではありません。お客様は自己の責任で関連法規を順守しなければならないものとします。 IBMは法律上の助言を提供することはなく、また、IBMのサービスまたは製品が、お客様による法の順守の裏付けとして表明または保証するものでもありません。