「EDR」「IDaaS」「SASE」を連携させて、ゼロトラストネットワークを実現する
依然として脅威が増しているサプライチェーン攻撃、その対策に多くの企業が迫られている。「サプライチェーン攻撃は組織間における“業務上のつながり”を悪用し、次なる攻撃の踏み台とするサイバー攻撃手法です」と説明するのは、マクニカ ネットワークス カンパニーの井上将太朗氏。サプライチェーン攻撃は大きく3つに分類でき、その1つが“ソフトウェアサプライチェーン攻撃”だ。これはソフトウェア開発事業者に侵入し、開発しているソフトウェアに悪質なコードを埋め込むというもの。そのソフトウェアが市場に展開された後でコードが実行され、顧客情報を抜き取るという仕組みだ。
2つ目が“サービスサプライチェーン攻撃”、マネージドサービスプロバイダーに侵入して足掛かりを作り、サービスを利用している顧客企業に侵入する。井上氏は「サービス事業者は顧客のネットワーク管理や運用を任されることがあり、サービス事業者に侵入さえすれば、その後の侵入も容易になります」と指摘した。また、3つ目の“ビジネスサプライチェーン攻撃”は、ターゲット企業の子会社や取引先、海外拠点などに侵入し、その関係者を装いマルウェアを添付したメールなどを送付するものだ。これは既に攻撃者の常套手段になっている。
このようにサプライチェーン攻撃は3つに大別できる一方、共通するのは「日頃業務で付き合いのある組織や人を通じて、攻撃者が侵入してくることです。何よりも侵入に気づき辛いことが厄介です」と井上氏。この問題に対処するために内部を含め、あらゆる通信を信頼しない“ゼロトラストネットワーク”をマクニカでは提案している。
従来のネットワーク構成は、いわゆる境界防御型だ。ファイアウォールを設けることで内部は安全、社内ネットワークよりも外側は危険とする考え方で運用されてきた。一方、ゼロトラストではすべての通信を信頼せず、必ず確認するような考え方だ。どこから通信が来ているかの情報だけを頼りに安全性を判断してきた境界防御とは異なり、通信に含まれるユーザー情報や接続先のアプリケーションなど、あらゆる情報を元にして安全性を判断する。
「マクニカでは『ユーザー』『デバイス』『データ』という3つの観点に基づき、EDRはCrowdStrike、IDaaSはOkta、SASEはNetskopeの3製品によるゼロトラストを提案しています」と井上氏。それぞれを単独で動かすだけでなく、連携させることでより強固なゼロトラストネットワークを構築できると説明する。
第2営業部 第2課 井上将太朗氏
Netskope(SASE)とOkta(IDaaS)の連携では、Oktaの持つユーザーやグループ情報をNetskopeに同期することで一貫性のあるポリシーの作成が可能だ。機密情報を扱うことが多い部署のポリシーを作成する際には、グループ情報の同期は欠かせない。また、特定のユーザーが機密性の高いデータにアクセスする際にNetskopeで検知し、Okta側で多要素認証を追加で科すなど、なりすましを防止する効果もある。
もし、Netskopeでユーザーの内部不正が疑われる“怪しい振る舞い”を検知した場合は、Oktaで該当ユーザーの分類を確認して、認証の強化や権限の制限などを実施可能だ。たとえば、一般グループに所属しているユーザーがクラウド上に機密情報をアップロードしようとした場合、Netskopeで検知後にOktaと連携し、ハイリスクグループに振り分けることで認証を隔離できる。
CrowdStrike(EDR)との連携では、CrowdStrikeで端末の健康状態を確認し、状態に応じたアクセスコントロールをNetskopeで設定可能だ。たとえば、EDRが導入されていないデバイスをNetskopeで検知したら閲覧のみを許可し、それ以外は許可しないよう制限する。また、社内の重要情報に対する通信をブロックできる。加えて、NetskopeとCrowdStrikeが持つ脅威情報を互いに共有することでマルウェアの検知範囲も広げられるため、既知のマルウェアがデバイスにたどり着く前に対処できるという。
とはいえ、単純に3製品を導入して連携させるだけで安全が確保できるわけではない。「それぞれの製品を正しく監視・運用することが重要です。しかし、IT管理部門で各製品のアラートを正しく分析して対処しようとすると、大きな負荷がかかるでしょう」と井上氏。万全な監視体制を敷くことは不可能に近いとも指摘する。
そこでマクニカでは専門のアナリストが分析し、対処する必要があると判断された場合に顧客に通知をするSOCサービスも提供しており、24時間365日にわたる監視が行われるという。なお、ゼロトラストネットワークへ移行中のハイブリッド環境であっても対応できるとのことだ。
