SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

EnterpriseZine Day 2024 Summer

2024年6月25日(火)オンライン開催

予期せぬ事態に備えよ! クラウドで実現するIT-BCP対策 powered by EnterpriseZine

2024年7月10日(水)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

Security Online Day 2023 秋の陣 レポート(AD)

“失敗しない”ゼロトラストは「3つの基本要素」からシンプルに JR東海や西松建設の実装例を交えて解説

「認証」「データ保護」「モニタリング」から着手すべき理由とは

 ビジネス環境の多様化が急速に進むなか、組織は機密データを保護するべくセキュリティを「ゼロトラスト」へと移行していかなくてはならない。しかし、従来のセキュリティ対策とは考え方が大きく異なり、構成要素も多岐にわたるため、どのように進めていけばいいか戸惑う企業は少なくない。そうした疑問を解消すべく、ソリトンシステムズ 小川あさぎ氏がゼロトラストをシンプルに進めていくための「3つの基本要素と実装例」を解説する。

侵入型ランサムウェアやサプライチェーンリスク……ゼロトラストは不可避

 企業におけるクラウドシフトは進み、働き方も多様化。一方、サイバー攻撃はますます狡猾になっており、アタックサーフェスも拡大するなど、環境が多様化する分だけリスクも増大している。セキュリティの在り方を「ゼロトラスト」へとシフトしていく理由が数多くある状況だ。

 最新のセキュリティ動向について、ソリトンシステムズ ITセキュリティ事業部 プロダクト&サービス統括本部 プロダクトマーケティング部の小川あさぎ氏は「侵入型ランサムウェア」と「サプライチェーンリスク」の2つを取り上げた。侵入型ランサムウェアは、2019年頃から目立つようになってきた攻撃手法。従来のランサムウェアのようにデータ暗号化だけでなく、組織のネットワークに侵入して機密情報を盗むことで多重に恐喝するなど悪質だ。侵入経路は、リモートアクセスの脆弱性や盗まれた認証情報を悪用するケースが大半だという。

 他方、アタックサーフェスの広がりの一例として、サプライチェーンに起因したインシデントも増えている。2022年には大手製造業の子会社がリモート接続機器からランサムウェアに感染して業務停止となったり、映像制作業者が利用しているソフトウェアからマルウェアに感染して制作が中断に追い込まれたり、医療機関では取引先のVPN機器から侵入されて診療や治療に影響が出たりするなど、日本各地で被害が生じていることは記憶に新しい。これらはターゲットとなる企業の周辺にある“隙”を狙って攻撃を仕掛けているという。

 小川氏は「企業規模に関係なく、セキュリティ対策をしっかりと行う必要があります。環境変化にともなうリスクに対しては、『ゼロトラストセキュリティ』が有効です。安全かつ自由度を高められるだけでなく、外部脅威への検証ができること、均一なセキュリティ対策を実装できるなどのメリットもあります」と話す。

 ただし、「ゼロトラストを実現できる」と謡っているプロダクトやソリューションは多岐にわたり、どれをどこまで採用するか見極めが難しい。たとえば、認証認可には「IAM(Identity and Access Management)」や「IDaaS(Identity as a Service)」、デバイスには「EMM(Enterprise Mobility Management)」や「EDR(Endpoint Detection and Response)」が挙げられる。他にも、ネットワークやクラウド、可視化、自動化など各領域に多数のソリューションがあり、1つのプロダクトやソリューションで完結することがないだけに選定は余計に難しい。

 もう1つ、ゼロトラストが難しい理由として「レガシーシステムとの兼ね合い」もある。もちろん、企業セキュリティを一度にすべて置き換えることは難しく、ゼロトラストの教科書とも言える『NIST SP800-207』にも「ZTA(ゼロトラストアーキテクチャ)はジャーニーであり、段階的に導入することを目指すべき」と記載されている。

ゼロトラストはシンプルに始めよう 着手すべきは「認証」から

 従来のシステムを活かしつつ、ゼロトラストを段階的に導入していくにはどうしたら良いのか。小川氏は「できるだけシンプルに考えたほうがいい」と提唱する。まずは、ゼロトラストを適用する場所をデータにアクセスする「エッジ」とデータが格納されている「クラウド」の2つに分けた上で「①認証、②データ保護、③モニタリング」という3つの要素で考えていく。

[画像クリックで拡大]

①認証

 ゼロトラストにおける本質であり、最も重要な要素が「認証」だ。なぜならゼロトラストの大前提が「すべてをトラスト(信頼)しないこと」であり、認証・認可することからすべてが始まるからだ。特にデータ保護における関所とも言える認証の重要性は言うまでもないが、“認証情報の漏えい”が侵害の端緒となるケースも多いだけに認証周辺の強化は欠かせない。

 また、前述した医療機関におけるインシデント事例をはじめ、近年ではVPN機器の脆弱性を突いて侵入してくるケースも多い。そのため、どれだけ脆弱性に素早く対応できるかも焦点となる。さらに、脆弱性対策を講じたとしても盗まれた認証情報で侵入してくるケースもあるため、脆弱性対策とあわせて認証自体の強化も常に意識すべきだ。

 少し前まで「多要素認証」さえ採用すれば有効だという風潮もあったが、近年では多要素認証を突破してくるケースも少なくない。たとえば「AiTM(Adversary in The Middle)」攻撃では、正規サイトによく似た偽サイトを作り、ユーザーにIDとパスワード入力をうながす。偽サイトに入力されたID/パスワード情報は正規サイトにも送信される。このとき、スマートフォンのAuthenticatorアプリのような簡易的な多要素認証だと、攻撃者が中間にいることを判断できず、いつもどおりアプリ上で承認要求が表示される。ユーザーが気づかず承認ボタンを押してしまうと、“正規のプロセス”だと誤認して認証が成功するが、このとき、中間でセッションcookieを傍受することで、攻撃者は正規ユーザーとしてログインできてしまうという寸法だ。

 アメリカでは2021年に発布されたサイバーセキュリティ強化のための大統領令をきっかけとして米国政府機関では多要素認証の使用が求められてきたものの、AiTMのような多要素認証を突破する攻撃も増えてきたことから、AiTMに対抗できる「フィッシング耐性のある」多要素認証の採用が必須となっている。

 なお、多要素認証とは異なる複数の認証要素を組み合わせるもので、認証要素は大きく分けて「知識」「所有」「生体」の3種類。知識はIDとパスワード、所有はUSBキーやデジタル証明書、生体は指紋や顔認証などが代表例だ。そして、強固な多要素認証を構築するために小川氏は「デジタル証明書」を推す。「通信確立時に認証するものはこれだけ」だからだという。

 つまり、デジタル証明書を多要素認証に用いることで、先のAiTM攻撃のように中間に偽サイトを用意したとしても証明書がなければ正規サイトの認証をパスできない。フィッシング耐性がある有効な多要素認証となる。

 また、万が一の紛失時にはセンター側で失効と再発行ができるだけでなく、VPNやWi-Fi、クラウドサービスなど様々な場面で利用できるというメリットもあるだろう。加えて、「PKI(公開鍵認証基盤)」は実績が豊富で信頼性が高いところも評価できる。ただし、CA(プライベート認証局)構築、デジタル証明書の発布・更新などの運用がハードルとなる面も否めない。

 そこで、ソリトンシステムズではCA構築と運用、デジタル証明書の発布などをクラウドサービス「Soliton OneGate」で提供している。これにより、企業のVPNやWi-Fi、クラウドサービスにログインする際には、デジタル証明書による認証に何らかの認証(FIDO2、パスワード、スマホ認証、ICカードなど)を組み合わせることで強固な多要素認証を容易に実現できるという。

[画像クリックで拡大]

 さらに小林氏は「国産IDaaSとしては、初めてリスクベース制御を搭載している」と強調する。通常とは異なるデバイスや地理情報など、異常を検知すると2ステップ認証を要求する仕様だ。実際に導入したJR東海はSoliton OneGateを「漏えいリスクの高いID/パスワードに依存しない多要素認証を実現し、私物端末からのアクセスを遮断しつつ協力会社で許可した端末を利用できる柔軟性もあり、管理画面やログが直感的で見やすく管理者の負担を減らせている」と評した。

次のページ
データ保護とモニタリング 段階的にセキュリティレベルを強化

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Day 2023 秋の陣 レポート連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

提供:株式会社ソリトンシステムズ

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/18571 2023/11/06 10:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング