侵入型ランサムウェアやサプライチェーンリスク……ゼロトラストは不可避
企業におけるクラウドシフトは進み、働き方も多様化。一方、サイバー攻撃はますます狡猾になっており、アタックサーフェスも拡大するなど、環境が多様化する分だけリスクも増大している。セキュリティの在り方を「ゼロトラスト」へとシフトしていく理由が数多くある状況だ。
最新のセキュリティ動向について、ソリトンシステムズ ITセキュリティ事業部 プロダクト&サービス統括本部 プロダクトマーケティング部の小川あさぎ氏は「侵入型ランサムウェア」と「サプライチェーンリスク」の2つを取り上げた。侵入型ランサムウェアは、2019年頃から目立つようになってきた攻撃手法。従来のランサムウェアのようにデータ暗号化だけでなく、組織のネットワークに侵入して機密情報を盗むことで多重に恐喝するなど悪質だ。侵入経路は、リモートアクセスの脆弱性や盗まれた認証情報を悪用するケースが大半だという。
他方、アタックサーフェスの広がりの一例として、サプライチェーンに起因したインシデントも増えている。2022年には大手製造業の子会社がリモート接続機器からランサムウェアに感染して業務停止となったり、映像制作業者が利用しているソフトウェアからマルウェアに感染して制作が中断に追い込まれたり、医療機関では取引先のVPN機器から侵入されて診療や治療に影響が出たりするなど、日本各地で被害が生じていることは記憶に新しい。これらはターゲットとなる企業の周辺にある“隙”を狙って攻撃を仕掛けているという。
小川氏は「企業規模に関係なく、セキュリティ対策をしっかりと行う必要があります。環境変化にともなうリスクに対しては、『ゼロトラストセキュリティ』が有効です。安全かつ自由度を高められるだけでなく、外部脅威への検証ができること、均一なセキュリティ対策を実装できるなどのメリットもあります」と話す。
ただし、「ゼロトラストを実現できる」と謡っているプロダクトやソリューションは多岐にわたり、どれをどこまで採用するか見極めが難しい。たとえば、認証認可には「IAM(Identity and Access Management)」や「IDaaS(Identity as a Service)」、デバイスには「EMM(Enterprise Mobility Management)」や「EDR(Endpoint Detection and Response)」が挙げられる。他にも、ネットワークやクラウド、可視化、自動化など各領域に多数のソリューションがあり、1つのプロダクトやソリューションで完結することがないだけに選定は余計に難しい。
もう1つ、ゼロトラストが難しい理由として「レガシーシステムとの兼ね合い」もある。もちろん、企業セキュリティを一度にすべて置き換えることは難しく、ゼロトラストの教科書とも言える『NIST SP800-207』にも「ZTA(ゼロトラストアーキテクチャ)はジャーニーであり、段階的に導入することを目指すべき」と記載されている。
ゼロトラストはシンプルに始めよう 着手すべきは「認証」から
従来のシステムを活かしつつ、ゼロトラストを段階的に導入していくにはどうしたら良いのか。小川氏は「できるだけシンプルに考えたほうがいい」と提唱する。まずは、ゼロトラストを適用する場所をデータにアクセスする「エッジ」とデータが格納されている「クラウド」の2つに分けた上で「①認証、②データ保護、③モニタリング」という3つの要素で考えていく。
①認証
ゼロトラストにおける本質であり、最も重要な要素が「認証」だ。なぜならゼロトラストの大前提が「すべてをトラスト(信頼)しないこと」であり、認証・認可することからすべてが始まるからだ。特にデータ保護における関所とも言える認証の重要性は言うまでもないが、“認証情報の漏えい”が侵害の端緒となるケースも多いだけに認証周辺の強化は欠かせない。
また、前述した医療機関におけるインシデント事例をはじめ、近年ではVPN機器の脆弱性を突いて侵入してくるケースも多い。そのため、どれだけ脆弱性に素早く対応できるかも焦点となる。さらに、脆弱性対策を講じたとしても盗まれた認証情報で侵入してくるケースもあるため、脆弱性対策とあわせて認証自体の強化も常に意識すべきだ。
少し前まで「多要素認証」さえ採用すれば有効だという風潮もあったが、近年では多要素認証を突破してくるケースも少なくない。たとえば「AiTM(Adversary in The Middle)」攻撃では、正規サイトによく似た偽サイトを作り、ユーザーにIDとパスワード入力をうながす。偽サイトに入力されたID/パスワード情報は正規サイトにも送信される。このとき、スマートフォンのAuthenticatorアプリのような簡易的な多要素認証だと、攻撃者が中間にいることを判断できず、いつもどおりアプリ上で承認要求が表示される。ユーザーが気づかず承認ボタンを押してしまうと、“正規のプロセス”だと誤認して認証が成功するが、このとき、中間でセッションcookieを傍受することで、攻撃者は正規ユーザーとしてログインできてしまうという寸法だ。
アメリカでは2021年に発布されたサイバーセキュリティ強化のための大統領令をきっかけとして米国政府機関では多要素認証の使用が求められてきたものの、AiTMのような多要素認証を突破する攻撃も増えてきたことから、AiTMに対抗できる「フィッシング耐性のある」多要素認証の採用が必須となっている。
なお、多要素認証とは異なる複数の認証要素を組み合わせるもので、認証要素は大きく分けて「知識」「所有」「生体」の3種類。知識はIDとパスワード、所有はUSBキーやデジタル証明書、生体は指紋や顔認証などが代表例だ。そして、強固な多要素認証を構築するために小川氏は「デジタル証明書」を推す。「通信確立時に認証するものはこれだけ」だからだという。
つまり、デジタル証明書を多要素認証に用いることで、先のAiTM攻撃のように中間に偽サイトを用意したとしても証明書がなければ正規サイトの認証をパスできない。フィッシング耐性がある有効な多要素認証となる。
また、万が一の紛失時にはセンター側で失効と再発行ができるだけでなく、VPNやWi-Fi、クラウドサービスなど様々な場面で利用できるというメリットもあるだろう。加えて、「PKI(公開鍵認証基盤)」は実績が豊富で信頼性が高いところも評価できる。ただし、CA(プライベート認証局)構築、デジタル証明書の発布・更新などの運用がハードルとなる面も否めない。
そこで、ソリトンシステムズではCA構築と運用、デジタル証明書の発布などをクラウドサービス「Soliton OneGate」で提供している。これにより、企業のVPNやWi-Fi、クラウドサービスにログインする際には、デジタル証明書による認証に何らかの認証(FIDO2、パスワード、スマホ認証、ICカードなど)を組み合わせることで強固な多要素認証を容易に実現できるという。
さらに小林氏は「国産IDaaSとしては、初めてリスクベース制御を搭載している」と強調する。通常とは異なるデバイスや地理情報など、異常を検知すると2ステップ認証を要求する仕様だ。実際に導入したJR東海はSoliton OneGateを「漏えいリスクの高いID/パスワードに依存しない多要素認証を実現し、私物端末からのアクセスを遮断しつつ協力会社で許可した端末を利用できる柔軟性もあり、管理画面やログが直感的で見やすく管理者の負担を減らせている」と評した。
データ保護とモニタリング 段階的にセキュリティレベルを強化
②データ保護
認証を強化したら、次に行うのは情報資産の漏えい対策だ。データ保護といえば「DLP(Data Loss Prevention)」を想起する方も少なくないだろう。小川氏は「DLPの効果を最大限発揮させるためには、導入や運用段階で考慮しなくてはいけないことが多いのも事実です」とくぎを刺す。たとえば、導入段階なら機密情報の分類やデータの保管ポリシー、運用時には流出経路の監視やデータスキャンなどだ。加えて、昨今ではデバイスが多岐にわたるため、暗号化が課題となるケースも見受けられる。
一方、DLPとは異なる発想でデータを保護するアプローチもある。小川氏は「シンプルに、クラウドからデータを出さなければいい」と指摘した。
プロダクトマーケティング部 小川あさぎ氏
たとえば、画面転送においては仮想デスクトップ(VDI)方式やリモートデスクトップ方式、端末内分離ではセキュアコンテナ方式とセキュアブラウザ方式が該当する。画面転送(VDI方式)だと端末管理を一元化できるメリットがあるものの、最近では「やりたいことはブラウザで完結できる」ということから、よりコストを抑えられる端末内分離の人気が高まっているという。
端末内分離では端末にデータを残さないだけでなく、端末リソースをそのまま活用できるため、セキュリティを保ちつつコストも抑えることができる。Web閲覧以外にも使うならセキュアコンテナ方式、Web閲覧のみであればセキュアブラウザ方式といった選び方だ。小川氏によると、ソリトンシステムズ製品ではセキュアブラウザ方式やセキュアコンテナ方式があり、認証ソリューションと組みあわせてセキュリティ強化を図るケースも増えているそうだ。
③モニタリング
モニタリングの必要性はさまざまあるものの、見過ごしてはならないのが「シャドークラウド」のリスクだ。かつての「シャドーIT」と似ていて、組織のセキュリティ担当者が把握していない、個人や部署が独自に利用しているクラウドサービスを指す。IPA(情報処理推進機構)による調査では、シャドークラウド対策をしていない企業は約94%と示されており、大部分が実施していないことになる。
小川氏は「正規ユーザーによる、故意というよりは“過失に近い形”での情報漏えいを把握する手段として可視化やモニタリングは必要です」と指摘。モニタリングを検討するならばシャドークラウドの監視だけではなく、従来のような印刷やUSBストレージ経由の漏えいにも対応する方式を選ぶと良いだろう。
モニタリングにおける先進的な取り組み例には、西松建設の「働き方の可視化」が挙げられる。同社では国内外の拠点に4,700台もの端末があり、業務実態や退職者の情報持ち出しの把握に苦労していた。さらに建設業や運輸業では2024年から時間外労働の上限が厳格化する「2024年問題」へと対応するためにもモニタリングを強化する必要があった。
そこで西松建設では、ソリトンシステムズの「InfoTrace 360」を採用した。これはPC操作ログを取得し、分析や可視化ができるクラウドサービスだ。管理者はダッシュボードからPCのオン・オフはもちろん、利用が多いアプリやファイルをグラフで確認したり、誰がどの端末でどんなファイルをクラウドストレージにアップロードしたのか詳細を管理したりできる。これにより、同社では勤務状況が把握できるようになり、業務改善にもつなげられているという。
これら3つのポイントを押さえた上で、最後に小川氏は次のようにまとめた。「他にも考慮すべきことはありますが、これからのITインフラで不可欠となるゼロトラスト導入で何をすべきかわからないならば『認証』『データ保護』『モニタリング』から始めて、少しずつアップデートしていくべきでしょう」。
