CASBでサプライチェーン攻撃を防御、Netskopeによる提案
Netskopeは脅威分析を行うラボを有しており、脅威分析の結果から『2024年の注目すべき5つの脅威』を発表[1]している。そこには、“サプライチェーンを悪用した攻撃”が重要項目として含まれており、「今後も『サプライチェーンを悪用した攻撃には注意すべき』とされています」と警鐘を鳴らすのは、Netskope Japanの加田友広氏だ。
実際にNetskopeを用いてサプライチェーン攻撃に対処するとき、個人のクラウドサービスの利用を制限する方法があるという。これはNetskopeに包含されるCASBによるアクセス制御機能を利用するものだ。同手法の有効性について、Oktaが開示した不正アクセスによるインシデントを例に挙げて説明した。
2023年10月、Oktaのサポートサイトへの不正ログインが発生した。この不正アクセスを足がかりとして同社のユーザ企業への不正アクセスを試みた、サプライチェーンの悪用だ。注目すべきは、Oktaの従業員が利用している個人用クラウドサービスが原因となった可能性があることだと加田氏は指摘する。攻撃者はOktaのサポートサイトへ不正ログインし、ユーザ企業がサポート目的でアップロードしたHARファイルの中からセッショントークンを窃取して不正利用した。
この不正ログインについて、「社用PCのChromeブラウザで個人のGoogleプロフィルにサインインしていたことで、Oktaのサポートサイトのクレデンシャル情報も個人プロファイルに保存されていたようです」と加田氏。個人用のGoogleのIDとパスワードがフィッシングなどで盗まれた、もしくは何らかの不正な方法でデバイスが侵害され、個人アカウントに不正にアクセスされたことで保存されていたOktaのサポートサイトのクレデンシャル情報にもアクセスできたようだと説明する。
このようなインシデントを防ぐためには、個人用のクラウドサービスに会社で契約しているアプリケーションのクレデンシャル情報を保存させないことが欠かせない。つまり、社用PCから個人利用しているクラウドサービスにログインさせないことが重要だ。そして、もう1つの防止策として、個人利用のクラウドサービスを利用している個人端末からは、会社で契約しているアプリケーションにログインさせないことも大切だという。
これらの防止策はNetskopeによって実現可能だという。前者であれば、CASBによるクラウドアクセス制御機能でインスタンスを識別することで対策できる。たとえば、会社契約のGoogleは許可し、個人向けはブロックするといったポリシーを設定することで、Netskopeでアクセスを識別・制御が可能だ。URLやカテゴリー単位、サービス名、サービスインスタンス、サービス上での操作単位(ログイン、ダウンロード、アップロードや共有など)でもアクセスコントロールできる。
また、個人用端末のアクセスを制御したいときには、(利用サービスがソースIPアドレス制限機能を提供している場合)SASE基盤のNetskopeを経由したソースIPアドレスからしかアクセスできないように制御することが可能だ。利用サービスがソースIPアドレス制限機能を提供していないケースでは、IDaaSからのログインのみを許可させる前提とし、IDaaS側でNetskopeのIPアドレスからのアクセスに限定することで制御できる。
「場所によらない働き方を実現するには、NetskopeのようなSASE基盤での制御が基本となるでしょう」(加田氏)
なお、ソースIPアドレス制限は、セッションハイジャックのようなケースにも有効だとも言及。万が一、クラウドサービスのログインのセッション情報が盗まれても、ソースIPアドレス制御をすることでログインを制限できるからだ。Oktaには指定されたソースIPアドレスでしかアプリケーションの認証をさせない機能もある。ここにNetskopeを組み合わせることで、仮にIDaaSのセッションを窃取し、IDaaSへアクセスしようとしてもNetskopeからのアクセスではないため、攻撃者をブロックすることも可能だ。Netskopeではお客様テナントに対して有償で固有のIPアドレスを割り振るサービスを提供しているため、アクセス元の場所に依らず、クラウドサービスのソースIPアドレス制限機能を活用できる。
もちろん、NetskopeのSASE基盤へのアクセス制御も活用できる。Netskopeクライアントを利用したアクセスの場合、基本的に登録されたクライアントからしかアクセスができない。加えて、会社支給のデバイスかどうかを判断する機能もあるので安心だ。
不正アクセスでは、弱い箇所を狙うことが常套手段だ。個人利用のクラウドサービスは、企業利用しているクラウドサービスと比較してセキュリティ設定が弱いことが多い。
一度でも個人利用のクラウドサービスへのアクセスを許してしまうとセキュリティが甘くなり、その隙を突かれてしまう。また、個人利用のクラウドストレージサービスへ企業の機密情報をアップロードされるような問題も発生しかねない。「社員の個人利用のクラウドサービスにも注意を払った対策が必要です」と加田氏。今回説明した内容は、Netskopeのコミュニティサイトにも掲載されており、詳細を知りたい方はそちらも参照[2]して欲しいと言うのだった。
[1] Netskope「Five Threats Predictions To Note For 2024」(Nov 21 2023)
[2] Netskope Community「A Multi-phased Approach to Securing Okta Using Netskope」
