Jul 01, 2021

CDMとは?

By タニウム合同会社, パートナーアライアンス営業本部 シニアソリューションアーキテクト, 中本 滋之

皆様こんにちは。梅雨入りして雨が多くなってきましたね。体調などお変わりありませんか?
 
 

さて、大型連休前の4月30日、内閣サイバーセキュリティセンター(NISC)から重要インフラ事業者等に向けて「ランサムウエアによるサイバー攻撃に関する注意喚起」が行われました。この注意喚起は重要インフラ事業者等に向けたものですが、広く一般にも活用できるものとして公開されています。

https://www.nisc.go.jp/active/infra/pdf/ransomware20210430.pdf

この注意喚起の「(3) 【検知】不正アクセスを迅速に検知するための対応策」のチェックポイントに、「振る舞い検知、 EDR(Endpoint Detection and Response) 、 CDM(Continuous Diagnostics and Mitigation)等を活用する。」とあります。

「振る舞い検知、EDRは知っているけど、CDMを活用???うち(自社)はCDMってどうなっているの?そもそもCDMってなに?」という方が多いかもしれません。

CDMは、Continuous Diagnostics and Mitigation の略で、日本語では「継続的な診断と緩和」または「継続的な診断と対応」です。サイバーセキュリティへの造詣が深い方であれば、アメリカ合衆国国土安全保障省(DHS)で進行中のCDMプログラムをご存知だとは思います。これをそのまま実装すれば、CDMに対応するのですが、そもそもCDMがなんなのかおおまかなイメージを掴むために、日本語にしてもよくわからないCDMという言葉そのものの意味を人に例えて考えてみたいと思います。

「Continuous(継続的な)」はちょっとあとまわしにして、まずは「Diagnostics(診断)」からいきましょう。人で例えると診断は健康診断が該当するでしょうか。健康診断では、身長体重に始まり、血圧や血糖値、コレステロール値など人の状態を表す様々な値を測り記録します。また超音波やレントゲン等を使って内部の見えないものを映し出します。このような数値化や映像化を行い、いわば人の健康状態を可視化しています。健康診断の結果、何か病気(インシデント)が見つかれば、即座に治療開始できます。健康診断で病気のプロアクティブな早期発見(迅速な検知)ができるといえるでしょう。

ちなみに、何らかの理由で健康診断を受けない、または逃れる人も少なからず存在します。そのような人を見つけだして受診できるようにすることも大事です。

一方、診断によって病気は見つからなくとも、放置しておくと危険なもの、つまりリスクが見つかることもあり、より詳細な診断が必要な場合があります。例えばコレステロール値が高い場合、心筋梗塞という病気のリスクが高いことになりますし、尿酸値が高ければ痛風のリスクがあります。ここで「Mitigation(緩和 /対策)」が必要です。コレステロール値が高いのであれば、食事療法や運動療法、場合によっては投薬などが必要になります。つまり緩和/対策をとり、健康状態のコントロールをする必要がでてきます。

人であれば定期的に健康診断を行います。もし高血圧のようにリスクを抱えているならば経過観察として継続的に行う場合もありますが、年に1回が一般的でしょう。しかし、日々刻々と変化するIT環境は常にリスクを抱えているといえ、年に1回では不十分であり、「Continuous(継続的な)」診断と緩和/対策が必要です。継続的とは「絶え間なく」であり、しかも「今」の状態、リアルタイムであることが求められます。

つまり、CDMとは、継続的に絶え間なく「今」の状態を可視化し診断し、必要に応じて緩和/対策を施しコントロールすることと言えるでしょう。具体的には、端末のハードウェアやOS、アプリケーションの情報、レジストリ値、IPアドレスや動いているプロセスなどなど、静的動的問わず端末のあらゆる「今」の状態を収集し可視化します。そして、診断結果に応じてOSのパッチを確実に適用し、脆弱性を抱えたアプリケーションが見つかったならばアップデートまたはアンインストールを行い、ポリシーに準拠していない設定があるなら修正といった各種コントロールをします。これらを絶え間なく行うことがCDMです。お気づきかもしれませんが、「サイバー衛生」または「サイバーハイジーン」と言われているものと同じです。

CDMとはどんなものか朧げながらご理解いただけましたでしょうか。
健全な企業活動のために全従業員の健康診断は企業にとって義務です。ITの重要性がますまる高まる今日、同様にIT環境にある全端末の診断そして必要に応じた対策は企業にとって必須なものであるはずです。貴社はいかがでしょうか?

また別の機会に、最近なにかと話題のゼロトラストとCDMについて触れたいと思います。


ブログ記事に関してご質問やご要望がございましたらこちらからお問い合わせください。