侵入型ランサムウェアやサプライチェーンリスク……ゼロトラストは不可避
企業におけるクラウドシフトは進み、働き方も多様化。一方、サイバー攻撃はますます狡猾になっており、アタックサーフェスも拡大するなど、環境が多様化する分だけリスクも増大している。セキュリティの在り方を「ゼロトラスト」へとシフトしていく理由が数多くある状況だ。
最新のセキュリティ動向について、ソリトンシステムズ ITセキュリティ事業部 プロダクト&サービス統括本部 プロダクトマーケティング部の小川あさぎ氏は「侵入型ランサムウェア」と「サプライチェーンリスク」の2つを取り上げた。侵入型ランサムウェアは、2019年頃から目立つようになってきた攻撃手法。従来のランサムウェアのようにデータ暗号化だけでなく、組織のネットワークに侵入して機密情報を盗むことで多重に恐喝するなど悪質だ。侵入経路は、リモートアクセスの脆弱性や盗まれた認証情報を悪用するケースが大半だという。
他方、アタックサーフェスの広がりの一例として、サプライチェーンに起因したインシデントも増えている。2022年には大手製造業の子会社がリモート接続機器からランサムウェアに感染して業務停止となったり、映像制作業者が利用しているソフトウェアからマルウェアに感染して制作が中断に追い込まれたり、医療機関では取引先のVPN機器から侵入されて診療や治療に影響が出たりするなど、日本各地で被害が生じていることは記憶に新しい。これらはターゲットとなる企業の周辺にある“隙”を狙って攻撃を仕掛けているという。
小川氏は「企業規模に関係なく、セキュリティ対策をしっかりと行う必要があります。環境変化にともなうリスクに対しては、『ゼロトラストセキュリティ』が有効です。安全かつ自由度を高められるだけでなく、外部脅威への検証ができること、均一なセキュリティ対策を実装できるなどのメリットもあります」と話す。
ただし、「ゼロトラストを実現できる」と謡っているプロダクトやソリューションは多岐にわたり、どれをどこまで採用するか見極めが難しい。たとえば、認証認可には「IAM(Identity and Access Management)」や「IDaaS(Identity as a Service)」、デバイスには「EMM(Enterprise Mobility Management)」や「EDR(Endpoint Detection and Response)」が挙げられる。他にも、ネットワークやクラウド、可視化、自動化など各領域に多数のソリューションがあり、1つのプロダクトやソリューションで完結することがないだけに選定は余計に難しい。
もう1つ、ゼロトラストが難しい理由として「レガシーシステムとの兼ね合い」もある。もちろん、企業セキュリティを一度にすべて置き換えることは難しく、ゼロトラストの教科書とも言える『NIST SP800-207』にも「ZTA(ゼロトラストアーキテクチャ)はジャーニーであり、段階的に導入することを目指すべき」と記載されている。
ゼロトラストはシンプルに始めよう 着手すべきは「認証」から
従来のシステムを活かしつつ、ゼロトラストを段階的に導入していくにはどうしたら良いのか。小川氏は「できるだけシンプルに考えたほうがいい」と提唱する。まずは、ゼロトラストを適用する場所をデータにアクセスする「エッジ」とデータが格納されている「クラウド」の2つに分けた上で「①認証、②データ保護、③モニタリング」という3つの要素で考えていく。
①認証
ゼロトラストにおける本質であり、最も重要な要素が「認証」だ。なぜならゼロトラストの大前提が「すべてをトラスト(信頼)しないこと」であり、認証・認可することからすべてが始まるからだ。特にデータ保護における関所とも言える認証の重要性は言うまでもないが、“認証情報の漏えい”が侵害の端緒となるケースも多いだけに認証周辺の強化は欠かせない。
また、前述した医療機関におけるインシデント事例をはじめ、近年ではVPN機器の脆弱性を突いて侵入してくるケースも多い。そのため、どれだけ脆弱性に素早く対応できるかも焦点となる。さらに、脆弱性対策を講じたとしても盗まれた認証情報で侵入してくるケースもあるため、脆弱性対策とあわせて認証自体の強化も常に意識すべきだ。
少し前まで「多要素認証」さえ採用すれば有効だという風潮もあったが、近年では多要素認証を突破してくるケースも少なくない。たとえば「AiTM(Adversary in The Middle)」攻撃では、正規サイトによく似た偽サイトを作り、ユーザーにIDとパスワード入力をうながす。偽サイトに入力されたID/パスワード情報は正規サイトにも送信される。このとき、スマートフォンのAuthenticatorアプリのような簡易的な多要素認証だと、攻撃者が中間にいることを判断できず、いつもどおりアプリ上で承認要求が表示される。ユーザーが気づかず承認ボタンを押してしまうと、“正規のプロセス”だと誤認して認証が成功するが、このとき、中間でセッションcookieを傍受することで、攻撃者は正規ユーザーとしてログインできてしまうという寸法だ。
アメリカでは2021年に発布されたサイバーセキュリティ強化のための大統領令をきっかけとして米国政府機関では多要素認証の使用が求められてきたものの、AiTMのような多要素認証を突破する攻撃も増えてきたことから、AiTMに対抗できる「フィッシング耐性のある」多要素認証の採用が必須となっている。
なお、多要素認証とは異なる複数の認証要素を組み合わせるもので、認証要素は大きく分けて「知識」「所有」「生体」の3種類。知識はIDとパスワード、所有はUSBキーやデジタル証明書、生体は指紋や顔認証などが代表例だ。そして、強固な多要素認証を構築するために小川氏は「デジタル証明書」を推す。「通信確立時に認証するものはこれだけ」だからだという。
つまり、デジタル証明書を多要素認証に用いることで、先のAiTM攻撃のように中間に偽サイトを用意したとしても証明書がなければ正規サイトの認証をパスできない。フィッシング耐性がある有効な多要素認証となる。
また、万が一の紛失時にはセンター側で失効と再発行ができるだけでなく、VPNやWi-Fi、クラウドサービスなど様々な場面で利用できるというメリットもあるだろう。加えて、「PKI(公開鍵認証基盤)」は実績が豊富で信頼性が高いところも評価できる。ただし、CA(プライベート認証局)構築、デジタル証明書の発布・更新などの運用がハードルとなる面も否めない。
そこで、ソリトンシステムズではCA構築と運用、デジタル証明書の発布などをクラウドサービス「Soliton OneGate」で提供している。これにより、企業のVPNやWi-Fi、クラウドサービスにログインする際には、デジタル証明書による認証に何らかの認証(FIDO2、パスワード、スマホ認証、ICカードなど)を組み合わせることで強固な多要素認証を容易に実現できるという。
さらに小林氏は「国産IDaaSとしては、初めてリスクベース制御を搭載している」と強調する。通常とは異なるデバイスや地理情報など、異常を検知すると2ステップ認証を要求する仕様だ。実際に導入したJR東海はSoliton OneGateを「漏えいリスクの高いID/パスワードに依存しない多要素認証を実現し、私物端末からのアクセスを遮断しつつ協力会社で許可した端末を利用できる柔軟性もあり、管理画面やログが直感的で見やすく管理者の負担を減らせている」と評した。
