NISTコンプライアンスに役立つサイバーセキュリティフレームワークとMacデバイス管理ソリューション

撮影：Kindel Media

企業におけるセキュリティコンプライアンスの重要性

ビジネスを運営するうえで、徹底的なサイバーセキュリティ対策は欠かせません。組織が従業員のデータやネットワークを保護する場合、ハッカーにとっては攻撃の起点や利益性の高い情報が存在することになるからです。

最近のニュースはいつも、セキュリティ侵害やランサムウェア攻撃によって様々な組織が直接的かつ長期にわたる損害を受けたという話題で溢れています。こうした損害は、経営面に留まりません。顧客や患者の個人データの漏洩を防げないと、組織の評判や運営費に悪影響が及んでしまいます。

米国では、商務省配下の国立標準技術研究所（NIST）が、組織のセキュリティと円滑な運営の支援に熱心に取り組んでいます。そしてこの目標のため、組織のセキュリティ強化に役立つサイバーセキュリティフレームワークを公開し、継続的に更新を行っています。このフレームワークは組織にとって、ソフトウェアだけでなく、ポリシーおよび計画においても遵守すべきガイドです。

NISTサイバーセキュリティフレームワークの概要

NISTサイバーセキュリティフレームワークは、組織のネットワークやデータの保護、およびリスクの管理と軽減を支援するガイドラインです。利用は無償であり、ベストプラクティスの概要がまとめられています。IT責任者はこのフレームワークに従うことで、サイバーセキュリティ対策で時間と資金をかけるべきポイントを見極められます。

セキュリティ基準および規制を遵守するのであれば、このフレームワークへの準拠は必須と言えます。

異種デバイスが混在する環境でNISTコンプライアンスを達成するための課題

コンプライアンスは重要ですが、特に複数のプラットフォームにわたり多様なセキュリティ機能を管理している場合、いくつかの課題が生じます。また、Appleプラットフォームに不慣れな場合には、ビジネス環境におけるMacの安全神話を信じ込んでしまうこともあるでしょう。

今やMacもマルウェアの標的

現在でもAppleよりPCのセキュリティが攻撃の標的となっていることは変わりません。しかし、ネットワークやデバイス管理ソリューション（Jamfなど）の登場で企業におけるMacの導入が進んだことを受け、攻撃者は開発の手間を増やしてでもMacを狙うようになっています。もはや、何もしなくてもMacはウイルスの影響を受けないと考えるべきではありません。

アドウェアは不快などころか、まぎれもなく危険な存在

Malwarebytes社による2023年度マルウェア調査によれば、現在ではアドウェアがMacへの攻撃に頻繁に利用されており、データに不正アクセスするための常套手段となっています。Macに入ったアドウェアは、バックグラウンドで他のソフトウェアやサーバと通信できます。攻撃は一般にWebブラウザ経由で行われるため、どのプラットフォームも標的になり得ます。

macOS内蔵のセキュリティだけでは不十分

Appleはセキュリティ機能の強固さで知られており、またそうあるべきです。しかし、サイバー攻撃が急速に進化した結果、被害の心配がないシステムは存在しなくなってしまいました。もちろん、Appleも例外ではありません。

サイバーセキュリティに役立つmacOSの主要機能

macOSのセキュリティ機能とベストプラクティスは、企業がNISTガイドラインへの準拠を図るうえで役立ちます。以下のmacOS内蔵のセキュリティ機能を利用すれば、規制コンプライアンスを確保し、組織全体のセキュリティ状態を強化できます。

• FileVault 2：データを暗号化
• ランタイム保護：XD（Execute Disable）、ASLR（アドレス空間配置のランダム化）、SIP（システム整合性保護）などによりマルウェアの被害を抑制
• Gatekeeper：インターネット経由で入手したすべてのアプリについて、Appleにより既知の悪意あるコードがないことを検証済みであるか確認

AppleのプラットフォームであるmacOSには、構造そのものがセキュリティとコンプライアンス体制の整ったインフラとなるよう最善の手段が講じられています。また、企業レベルのセキュリティツールや管理ツール（Jamf製品など）との互換性も確保されています。

Mac内蔵ツールだけでNISTコンプライアンスを実現できる？

残念ながら、答えは「いいえ」です。Appleは攻撃を受けにくいようにOSを構築していますが、その壁を乗り越えようとする攻撃者は数多く存在します。また、Appleは既知のマルウェアについてはスキャンしているものの、毎日のように新しいマルウェアや悪意あるアドウェアが開発されています。

さらに、NISTの対象範囲はコンプライアンス設定だけではありません。このフレームワークでは、組織内のあらゆるリソースや人物を保護するために組織全体が対象となっています。

MacでNISTコンプライアンスを実現するための手順

NISTでは、組織がNISTセキュリティフレームワークに準拠するうえで取るべき手順を定めています。

ステップ1：特定

使用している機器、ソフトウェア、データをすべてリストアップします。ノートパソコンやスマートフォン、タブレット、POS端末なども対象です。この作業には、Jamfのインベントリ管理機能を使うことをお勧めします。

次に、すべての意思決定者が連携して、従業員やベンダーなど、機密データにアクセス可能なすべての人の役割と責任をまとめた社内サイバーセキュリティポリシーを策定し、共有します。このサイバーセキュリティポリシーには、攻撃の発生時に取るべき対応手順と損害を抑制する方法も明記します。

ステップ2：保護

ネットワークにログオンしコンピュータなどのデバイスを使用できるユーザを制御します。これには、Jamf Connectのゼロトラストネットワークアクセス（ZTNA）や認証、アイデンティティ管理などを使用します。

NISTでは、以下の制御手段が推奨されています。

• セキュリティソフトウェア（機械学習や挙動解析を使用し攻撃を未然に防ぐJamf Protectなど）および頻繁な自動アップデート
• 機密データの暗号化（Jamf Connectの機能など）
• 定期的なデータバックアップ（Jamf Proのスマートグループおよび自動化機能で自動化可能）
• 電子ファイルおよびデバイスの廃棄に関する明確な手順の策定
• 組織全員に対するサイバーセキュリティのトレーニング（組織のセキュリティの強さは、一番脆弱な部分に左右される）

ステップ3：検出

• Macデバイスのユーザアクセス、デバイス（USBドライブなど）、ソフトウェアについて不正がないか監視します。この作業はJamf Proのテレメトリレポートで自動化でき、さらにJamf Protectも組み合わせればリアルタイムに監視、脅威検出、レポートを行えます。
• ネットワークや職員に不審な行動が見られた場合、調査します。Jamf Protectの挙動解析および機械学習なら、手作業での調査よりも素早く異常なパターンを特定できます。
• ネットワークのユーザおよび接続について不正なものがないか調査します。この調査は、Jamf ConnectのZTNA認証機能で自動化できます。

ステップ4＆5：攻撃への対応計画を策定し復旧

リスクにさらされている可能性のあるデータの所有者への通知、関係機関への報告、攻撃の調査および封じ込めの各手順をまとめた計画を策定します。その後、影響を受けたデバイスやネットワーク要素を交換および修復して復旧させます。

MacのNISTコンプライアンスにJamfを活用するメリット

Jamf Proは堅牢なデバイス管理機能やコンプライアンスベンチマーク、ブループリントを備えているため、NIST準拠のサイバーセキュリティフレームワークにMacデバイスの管理をシンプルに組み込むことができます。

ブループリントとコンプライアンスベンチマークは、広く利用されているコンプライアンスベンチマークに対応したmacOS向け構成とポリシーを提供しており、そのラインナップは定期的に拡充されています。

動的に更新されるスマートグループを使用すると、デバイスやユーザのような属性に基づいてアクセスおよびアクションを詳細に制御できます。さらにJamfのApp インストーラでは数千種のサードパーティアプリが調査およびパッケージ化されており、パッチ適用や自動更新にも対応しています。

頼りになるフレームワーク

最適なツールを活用してNISTのフレームワークへの準拠を進めれば、柔軟性を保ちながら組織の資産、データ、従業員を常時保護できるようになります。さらに、現代では多くのベンダーが、取引先に対して有名な基準（NISTなど）への適合を求めるようになっています。こうした取引関係を継続するとともに、新たな関係を開拓するには、準備を整えることが最善の手段です。

もちろん、お客様が複雑な課題に悩まされた場合には、シンプルに解決できるようJamfが支援いたします。