ゼロトラスト・セキュリティの重要性を考察します
ゼロトラスト・セキュリティとは、今までのセキュリティを一から考え直し、攻撃を前提とした対応策を講じる事を指します。
これまでのVPNアクセスはキャパシティに限界があり、認証さえ通ればどんなデバイスも受け入れ、管理するにはコストが掛かるものでした。
組織ネットワーク内外の垣根を取り払い、毎回ユーザーを新参者として認証に掛け、常に状態を監視する事が必要です。
高まるゼロトラスト・セキュリティへの期待
ゼロトラストとは、厳しいユーザー認証プロセスに基づくネットワーク・セキュリティ・モデルの事を指します。
認証されたユーザーやデバイスのみがアプリケーションやデータにアクセスできるフレームワークです。
同時にインターネット上の高度な脅威からユーザーやデバイスを保護する事にも利用されます。
これまでのセキュリティを信頼しない理論
今までの従来セキュリティを全く信頼せず、新しいセキュリティモデルを構築しようとする動きを「ゼロトラスト・セキュリティ」と呼びます。
ゼロトラストは以前から存在する理論で、それ程新しい考え方ではありません。
しかし現代の環境変革に伴いその重要度が注目され、企業のネットワーク・セキュリティとして大きな期待が高まっています。
ゼロトラストセキュリティが必要な理由
昨今のテレワーク導入の流れにより、外出先など企業ネットワーク境界の外からアプリケーションにアクセスする事が多くなりましたよね。
組織内ネットワークは基本的に「ユーザーを確認してから信頼する」モデルを採用しています。
つまり正しい認証情報を持つユーザーであれば、サイトやアプリケーション、デバイスなど要求した全てのリソースに対し常にアクセスを許可します。
PCが乗っ取りに遭う可能性
例えば自宅から感染したPCでユーザー認証をしても、ネットワーク側は喜んで許可します。
それは過去に許可したPCだからです。
悪意あるユーザーの操作PCも許可してしまう
悪意あるユーザーならば、他人のPCを乗っ取ってユーザー認証する事も考えられますよね。
この悪意あるユーザーによって、現在は多くの組織がデータ漏えい、マルウェア、ランサムウェア攻撃の危険にさらされているのです。
となればネットワーク内外を問わず、アクセスを試みるあらゆるデバイスを疑ってかかる必要がある訳ですね。
ネットワークの安全な接続確保と脅威のブロック
インターネットは基本、ユーザーやデバイスがどこから接続しても安全な接続を確保できるようにするべきです。
同時にユーザーに対する以下の脅威を特定してブロック・緩和する事も必要です。
標準型脅威の例
・マルウェア
・ランサムウェア
・フィッシング
・DNS
・データ窃盗
・高度なゼロデイ攻撃
つまり社外アクセスが多くなる事で、この脅威から身を守れなくなってきている訳ですね。
テレワークで露呈したVPNの課題
今回の新型コロナウイルス感染症の影響によって広がったテレワークの結果、VPNにおける従来型セキュリティの限界が露呈されました。
組織ネットワーク内でのみ公開されているWEBサービスは、通常インターネットから接続できません。
外部ネットワークから境界内のネットワークへ接続するためには、VPN(仮想プライベートネットワーク)などのリモートネットワークを利用しなければならないのです。
キャパシティの限界
社外アクセス手段として広く使われているこのVPNですが、大多数の社員が外から同時に使う様なケースは想定されていません。
しかしテレワーク人口が増えた事で、同時多数接続を余儀なくされているのが現状です。
セキュリティ上の課題
VPNは一度認証されれば、正規ユーザーとして組織内のネットワークにアクセス可能になります。
これがサイバー攻撃者にとっての「狙い目」となるのです。
去年から今年に掛けてテレワークのためにPCを自宅に持ち込んでいる人はたくさんいます。
脆弱性を悪用してPCを乗っ取り、VPNから組織内への侵入されてしまう可能性があるのです。
莫大な管理コスト
世界中のどこからでもネットワークにアクセスできるVPNは、こういった悪意あるユーザーの利用をブロックする事が命題です。
そのためには接続可能デバイスの登録、アカウントの管理、操作レベルの制限、利用状況のモニタリング、脆弱性チェック、ドライバ機器の更新などは必須です。
リモートアクセスを安全に提供するには、多くの手間と莫大なコストが掛かるのです。
ゼロトラスト・セキュリティの要件
そこでVPNに代表される従来のアクセステクノロジーモデルを再考し、全てのユーザーが安全でシンプルにアクセスできる方法が模索されました。
決して複雑にならず、かつ堅牢なセキュリティによりサポートされていなければなりません。
ゼロトラスト・セキュリティは、セキュリティリスクを軽減しながらセキュリティ対策を改善する理論として脚光を浴びたのです。
必要なソリューション
ゼロトラスト・セキュリティには以下のようなアクセスソリューションが必要とされています。
・ユーザーを企業ネットワークから切り離す
・全ての企業アプリケーションを使用できる単体認証権限を作る
・配信にインターネットを利用し、アプリケーションは秘匿する
・多要素認証を追加できるようにする
・組み込みのアプリケーション高速化
・アプリケーションセキュリティの向上
・クライアント側のソフトウェアを排除し、プロセスをシンプル化する
・完全なレポートを提供する
ゼロトラストにおけるセキュリティチェック要件
・アクセスしてきたデバイスが社内承認済みのものかどうか
・デバイスに最新のセキュリティ対策ソフトウェアがインストールされているか
・デバイスがマルウェアに感染していないか
・ID/パスワードは正規のユーザーが利用しているか
・デバイスが通常と違うロケーションからアクセスしていないか
・利用しているクラウドサービスに脆弱性がないか
・不審な振る舞いが発生していないか
Akamaiのゼロトラストサービス
大企業の脱VPN例
とある日本の大企業が、コロナ禍が始まる1年ほど前から「脱VPN」に取り組んでおりました。
その改変により、それまで1,500人分と想定されていたキャパシティが大きく増大し、数万人におよぶ社員のリモートワーク環境を問題なく運用できています。
もし脱VPNに取り組んでいなければ、コロナ禍の中で大きなシステムトラブルに見舞われていた可能性がありますね。
では具体的にどのような形でゼロトラストを実現するセキュリティ体制を実現したのでしょうか。
Akamai Enterprise Application Access(EAA)の採用
この企業は、Akamaiのクラウドサービス(EAA)を採用しました。
アイデンティティー認識型プロキシ(IAP)という新たなリモートアクセス手法です。
EAAは組織内ネットワークのソフトウェアを外から使えるように、プロキシサーバー機能を導入しています。
EAAプロキシサーバーでのクラウド認証
まず最初にインターネット経由でEAAの専用ページに入り、そこで多要素型の認証プロセスを踏みます。
それにより社内に置いてある連携サーバーを中継して目的のソフトウェアに暗号化アクセスし、利用できるようになります。
キャパシティが自在に変動
VPNでは装置自体が社内にあるため、急激なトラフィックの増加に対応しキャパシティを増やす事が難しい面があります。
それに対しEAAはクラウド型であるため、キャパシティを調整できる訳ですね。
あくまでゼロトラストアーキテクチャの利点を示す製品の一例ですが、有効な手段だと思われます。
EAAを使う4つのメリット
・VPNを使わない通信
・信頼できない端末の拒否
・端末の統合
・導入・拡張のしやすさ
このようなシステムを採用した場合、基本的にユーザーを信頼する事はありません。
ユーザーを新参者と判定し、多要素認証などによってその身元を毎回動的に確認します。
いつでもどこでも、常にその場で安全を担保する訳ですね。
社内と社外の違いがなくなるため、VPNで社内のネットワークに入る必要が無くなる分、ユーザーの利便性が高まると言えるでしょう。
その他のゼロトラスト・セキュリティ対策
将来的には社内の全システムがクラウドに移行する可能性はありますよね。
しかしいきなり全ては難しいでしょうから、しばらくは一部のシステムをクラウドに移した環境が主流になると思います。
一部がクラウドへ移行した環境の場合、既存のセキュリティ対策を活用しつつ新たなクラウド環境へのセキュリティ対策が必要です。
攻撃される事を前提に考える
ネットワーク、デバイスへの攻撃手法は日々新しいものが生まれ続けています。
あらゆるネットワーク・デバイス・ユーザー・アプリケーションは安全ではない可能性があり、攻撃されることを前提に考えなければなりません。
「境界」を考えるのではなく、クラウド環境からPCやモバイルデバイスなどの「エンドポイント」まで、多層防御による「総合的なセキュリティ力」が必要なのです。
ゼロトラストモデルを実現するための代表的なセキュリティソリューションを紹介しておきましょう。
EPP(Endpoint Protection Platform)
「EPP」とは、ネットワークの末端(エンドポイント)にあるデバイスを脅威から保護するソリューションの総称です。
なかでも注目したいのが「次世代マルウェア対策」に対応した製品群です。
従来のマルウェア対策は、随時更新されるパターンファイルに一致する既知のマルウェアしか検知できません。
未知や亜種のマルウェアに対しては無力なのですね。
AI学習で未知のマルウェアを検知
これに対して次世代マルウェア対策に対応した製品は、マルウェア検知エンジンにAI技術(機械学習)を取り入れています。
未知や亜種のマルウェアも高精度に検出可能で、ゼロトラストモデル実現のカギを握るソリューションの一つとされています。
EDR(Endpoint Detection and Response)
日々新たな脅威が生まれる中、上記のEPPだけでさまざまな攻撃からデバイスを保護できるとは言い切れません。
例え次世代マルウェア対策製品を導入したとしても、セキュリティに100%はあり得ないためです。
「EDR」の主な機能は、「マルウェア攻撃の検知・隔離」「ログ監視による攻撃経路の特定・影響範囲の調査」「検知したマルウェアの駆除・端末の復旧」です。
回避目的ではなく感染後対応に重点を置く
EPPの目的が「マルウェア感染の回避」とするならば、EDRはウイルス感染してしまった時の対応を迅速に行い、被害を低減する事が目的といえます。
ゼロトラストモデルを実現するためには、EPPとあわせてEDRを導入し、攻撃に対する迅速な対処が行える人材の確保、復旧が可能な体制を整える必要があります。
IAM(Identity and Access Management)
ゼロトラスト・セキュリティの実現のためには「IAM」ソリューションの導入も必須事項といえるでしょう。
従来のネットワークやシステムへのアクセス制御は、IDとパスワードで行われるのが一般的でした。
しかしパスワードの安全性は個人に依存するので、第三者へ漏洩してしまう危険性もありますよね。
パスワード以外の状態認証
そのため、ユーザー認証だけではなくデバイスのセキュリティ状態やロケーション、使用しているアプリケーションの正当性などを識別した上でアクセス制御を行う必要があります。
社外のユーザー・デバイス・アプリケーションも確実な本人認証の基で利用を許可しなければいけません。
CWPP(Cloud Workload Protection Platform)
クラウドサービスを採用する際に課題になるのが、用途や担当部門によって複数のクラウドサービスを使い分ける「マルチクラウド」に対するセキュリティ対策です。
複数のクラウドサービスを利用しつつその担当部門が多様化する事で、セキュリティ管理が複雑化しがちなのですね。
例えば、Amazon Web ServicesやMicrosoft Azureといったクラウドサービスは、利用する会社の情報システム部門が知らないまま使われている事さえあるといいます。
これではゼロトラストモデルの実現ははるか遠くのものといえるでしょう。
CWPP:複数クラウドの横断による一元管理
クラウドサービスに対するセキュリティを効率的に向上させるためには、「CWPP」の導入が有効です。
CWPPとは「システムの完全性の監視・管理」「ネットワークのセグメンテーション・可視化」「構成・脆弱性管理」などを、複数のクラウドサービスを横断して一元管理するためのソリューション・コンセプトの総称です。
未承認のクラウドサービスを検知することもでき、情報システム部門による企業のセキュリティ統制を高めることが可能になります。
SOAR(Security Orchestration, Automation and Response)
「SOAR」は、セキュリティ対策の自動化を支援するソリューションの総称です。
「インシデント対応の自動化」「インシデントの管理」「脅威情報の収集と活用」といった機能で構成されています。
これによりセキュリティ運用の自動化・効率化を実現します。
自動化により人員を抑える
ゼロトラストセキュリティを実現するということは、セキュリティリスクの管理が増大する事とも言えます。
従来の人員では対応しきれないケースが想定される訳です。
SOARによりインシデントの監視・分析から対応まで自動化し、人に頼らないセキュリティ運用プロセスを標準化することもゼロトラストモデル実現の要件となりつつあります。