Zero Trustセキュリティ
Zero Trustとは
Zero Trustとは、組織は社内のネットワーク、マシン、IPアドレスなどにアクセスを試みるあらゆるものやあらゆるユーザを無条件に信頼してはならないということを意味します。むしろ、すべてのユーザおよびすべてのデバイスを脅威とみなし、実際にアクセス権を付与する前にアクセスレベルを検証する必要があります。
Zero Trustセキュリティの4つの中心原則
Zero Trustでは、企業のIT環境を保護するため4つの主要な原則に従っています。
1. 決して信用せず、常に検証を行う
「決して信用せず、常に検証を行う」という思想は、ユーザが本人であると決して信用しないということです。その代わり、常にユーザのIDとアクセスレベルを検証します。こうすることで、組織の機密情報にアクセスされたり、その他の被害を被る前に、サイバー犯罪や悪意のあるプログラムを止められる可能性が高まります。
2. 脅威は内部と外部の両方からやって来る
従来のITセキュリティでは、ネットワーク、アプリケーション、またはデバイスに対する外部の脅威から組織を保護することに注力していました。この場合、内部の関係者は「安全」であると想定しており、脅威とみなすことはほとんどありません。
近年の調査によれば、そのような想定は不適切であり、むしろ極めて危険ですらあることがわかっています。事実、2018年から2020年にかけて、内部の人間による事件発生数は47%増加しています。これは内部の脅威のリスクも重大であり、そのリスクが上昇していることを示しています。したがって、内部の脅威を認識し、対処する必要もあるのです。これがまさにZero Trustで実行することです。
3. マイクロセグメンテーションを使用する
マイクロセグメンテーションとは、特定アセットの周囲にネットワークセグメントまたは「マイクロ境界」を作成する手法です。こうすることで攻撃対象を減少させ、企業のITセキュリティチームがきめ細かいポリシー管理を実装できるようにします。この目的は、攻撃者のラテラルムーブメントを制限し、組織を侵害から保護することです。
4. 最小特権の原則(PoLP)
「最小特権の原則」またはPoLPの元では、あらゆるユーザ、デバイス、ワークロード、またはプロセスは、意図する機能を実行するために必要な最小限の特権のみが与えられます。これにより、内部と外部の両方の不正なユーザから企業の資産を保護します。
Zero Trustセキュリティが必要な理由
2021年の第1四半期から第2四半期の間で、データ漏洩の発生件数は38%まで増加しました。データ漏洩による平均コストは、2020年の386万ドルに対し、2021年は424万ドルになりました。さらに、サイバー犯罪による損害額は、2025年までに10兆5千億ドルを突破すると推測されています。このような脅威に対処するため、ITセキュリティへの投資が増加しています。それでも未だに、ITセキュリティリーダーの78%が、自分の組織はサイバー攻撃に対し十分保護されていないと考えています。この課題を解決するため、多くの企業がZero Trustセキュリティモデルを採用しています。
従来の信用モデルでは、組織内部のネットワークにあるものはすべて信用できると想定していました。Zero Trustセキュリティでは、その点が大きく異なります。「信用」を「脆弱性」と同じものとして認識するのです。組織のネットワークを攻撃者から保護するためには、この脆弱性を完全に排除する必要があります。それがZero Trustセキュリティが必要になる理由です。
Zero Trustアーキテクチャとは?
アメリカ国立標準技術研究所(NIST)によれば、Zero Trustアーキテクチャ(ZTA)とは、Zero Trustの原則に基づいた企業のサイバーセキュリティアーキテクチャで、データ漏洩を防止し、内部のラテラルムーブメントを制限するよう設計されているものです。
Zero Trustアーキテクチャ(ZTA)では、組織のサイバーセキュリティを強化し、脅威から資産を保護することを目指しています。このアーキテクチャでは、脅威は従来のネットワーク境界の内部と外部の両方に存在すると認識しており、セキュリティ侵害は避けられないものと想定しています。さらに重要なのが、ユーザには業務の実行に必要とされるアクセス権のみを与えるという点です。最終的に、異常なアクティビティや不正行為の可能性があるアクティビティを特定し、サイバー攻撃がネットワーク全体に拡大することを防止します。
バイデン大統領の大統領令における国家のサイバーセキュリティとZTA
2021年5月、ジョー・バイデン大統領は、国家のサイバーセキュリティ向上に関する大統領令に署名しました。この大統領令(EO)では、すべての政府機関が、計画および調整の元ZTAを採用することを命じていました。悪意のあるサイバー活動が、米国の公的部門および民間部門の両方に脅威を与えています。EOはこの状況に鑑み、政府機関と連邦の事業請負業者がZTAを採用し、そのような脅威を特定、検出、阻止、および防止することを奨励しています。
連邦政府は、連邦情報システムの日常業務のいくつかを実行するため、情報技術(IT)および運用技術(OT)サービスプロバイダと契約を結んでいます。このEO以降、政府と連邦の請負業者(市販の商用ソフトウェアプロバイダを含む)間の契約には、ZTAなどの新たに組み込まれるサイバーセキュリティ項目が含まれる可能性が高くなります。EOに基づき、NISTはソフトウェア供給チェーンのセキュリティガイドラインを発表する予定です。このような構想は、連邦の請負業者のみに適用されます。ただし、民間部門も、将来的にZTAやその他のセキュリティ対策を実装することを求められる可能性があります。したがって、すべての企業はこれらのガイドラインに注意し、またサイバーセキュリティの態勢を改善するために活用する必要があります。
Zero Trustとリモートワーク
リモートワークは、ポストコロナの世界において、何千社もの企業の新しい標準となりました。ただし、この新しいモデルは、サイバーセキュリティにおける大きな課題をも生み出しました。業務を家で行う場合、安全性の劣る家庭用デバイス、リモートチャンネル、およびコラボレーションツールを使用することがよくあります。サイバー犯罪者は、このような弱点を利用して組織を攻撃し、データを盗み出します。2020年の2月から5月の間に、ハッカーは50万人を超えるビデオ会議ユーザの個人データを盗み、ダークウェブに売り渡しました。パンデミックが始まって以降、ランサムウェア攻撃は約500%増加しました。COVID関連のフィッシング攻撃も増加しています。このような攻撃は、2020年のパンデミックがピークを迎える中、一時220%も増加しました。
多くの組織では、仮想プライベートネットワーク(VPN)を実装しています。VPNは、リモートワーカーが業務に必要とするネットワークアセットやデータにアクセスできるようにします。ただし、VPNは企業のサイバーセキュリティを侵害する可能性があります。
VPNは、企業のネットワークやデータを完全に保護できるわけではありません。また、従業員をマルウェア、ハッカー、またはセキュリティ侵害から保護できるとは限りません。
VPNは、パスワードなどの資格情報を保護するポリシーの作成や施行もできません。サードパーティのベンダーが組織のネットワークやデータにアクセス可能になると、悪意のあるハッカーが脆弱なVPNプロトコルを悪用し、データ漏洩を引き起こす可能性があります。
VPNを使用するリモートワーカー1人のセキュリティが破られただけで、サイバー攻撃の扉が開いてしまうこともあります。
VPNを使用するリモートワーカーが増えると、サイバー攻撃のリスクも高まります。このリスクを最小化するためには、Zero Trustアーキテクチャが不可欠となります。
VPNを使用することでユーザは、企業のインフラストラクチャの主要部分に通常アクセス可能になります。しかしZTAでは、アクセスできるのは業務を実行するために必要なアセットとアプリケーションのみとなります。ZTAでは、デバイスも継続的に監視されるため、企業のネットワークにアクセスできるのは認証されたデバイスのみとなります。追加のセキュリティ対策として、ユーザおよびデバイスによるアクセス試行はすべて追跡されます。このようにして、ZTAはVPNよりも強固かつ信頼性の高いセキュリティを提供します。
Zero Trustはハッキングを防御できるか?
ZTAでは、信用という要素を排除します。ここではユーザのIDを毎回確認し、ユーザおよびデバイスがアクセスできる企業のリソースを制限することで、ネットワーク全体の中により小さな領域を作成します。侵害が発生した場合にも攻撃対象を最小化することができるため、これらの原則は極めて重要です。また、ネットワーク内のラテラルムーブメントを制限することもできます。これにより、マルウェアがネットワーク全体に拡散することを防ぎ、データ漏洩の影響を食い止めることができます。
全面的にセキュリティを固めるためには、以下の内容を実装します。
Zero Trustネットワークアクセス
Zero Trustアプリケーションアクセス
Zero Trustデータアクセス
石油・ガス、公共事業、およびエネルギーなどの業界では、サイバーセキュリティインフラストラクチャの更新が遅れがちです。このような業界では、従来の設備と新型の設備が混在する傾向があり、セキュリティ確保が困難になっています。さらに、パスワードやVPNなどを保護する最新の強固なセキュリティ管理機能を持たないことが多く、サイバー攻撃の効果的な特定、切り離し、および対応に苦労しています。産業の運営におけるこのような欠陥を示す良い例が、Colonial Pipeline社に対するランサムウェア攻撃です。2021年5月、ハッカーは、VPNと信用された内部関係者から盗まれた資格情報の単一セットを使用して、Colonial Pipeline社のITネットワークを侵害しました。ただし、ZTAを導入していればこの攻撃は防止できていた可能性があります。そのため、このような業界ではZero Trustが特に重要とされるのです。
ZTAでは、各マシン、アプリケーション、およびユーザのIDを、独立した境界として扱います。これにより、組織は資産を保護し、サイバー攻撃の拡散を防ぐことができます。
包括的Zero Trustアーキテクチャの実装方法
ZTAの実装をシンプル化するには、以下のツールが必須です。
シングルサインオン
シングルサインオン(SSO)は、ユーザが1つの資格情報セットですべてのアカウントやアプリにアクセスできるようにするものです。SSOは、パスワードを廃することでセキュリティを改善し、同時に操作性と従業員の満足度を向上させます。
多要素認証
多要素認証(MFA)は、すべての組織が重要なITアセットを保護するために使用するべき、IDおよびアクセス管理(IAM)の必須ツールです。パスワードベースのシステムとは異なり、MFAは、アカウントやアプリにアクセスするための追加の要素を使用するようユーザに要求します。例えば、ユーザ名とパスワードに加え、PINや生体認証の提供を求める場合があります。これにより、適切なユーザのみが適切なアプリケーションやアカウントにアクセスできるようになります。
可能であれば、MFAとSSOを組み合わせるのが理想です。そうしなければ、ユーザはシステムへのログインのために余計な手順を踏むことになります。これは、特にユーザが日に何回もログインが必要になると、面倒で不満を感じさせる環境となります。
迅速なプロビジョニングシステム
Zero Trustに移行する場合、迅速にユーザのプロビジョニングとプロビジョニング解除を行う方法が必要になります。最小限の特権アクセスを実装することで、定期的に例外を設定する必要があります。したがって、現在のプロビジョニングシステムの使用に時間を要する場合、Zero Trustに移行すると、作業がより複雑化してしまいます。ZTAを手間のかからないものにするには、迅速なプロビジョニングシステムを必ず実装するようにします。
デバイス保護
あらゆるユーザデバイスや「エンドポイント」は、いずれも攻撃のターゲットになるため、防衛の最前線でもあります。したがって、大元の危険を回避できるよう、デバイスを保護および監視するデバイス保護ツールを常に用意しておきましょう。
適応型アクセス制御
適応型アクセス制御では、ユーザの行動を継続的に監視し、リアルタイムでアクセス特権を更新します。また、ユーザおよびエンティティ行動分析も実装し、行動に基づきユーザのリスクを評価します。適応型アクセス制御は、継続的に信用度を評価し、ユーザの信用レベルを修正してアクセス権を調整し、リスクを低減します。
セキュリティ評価プラットフォーム
セキュリティ評価プラットフォームを使用すると、新しいリスクに対して環境を継続的にスキャンすることができます。このプラットフォームと評価システムにより、すべてのアクセスポイントを可視化し、より完全なリスク状況を確認できます。また、優先的な警告を発し、推奨される修正方法を提示することで、セキュリティチームが直ちにアクションに移り、組織のセキュリティ状態を強化することができます。
セキュリティ情報およびイベント管理
セキュリティ情報およびイベント管理(SIEM)は、Zero Trust戦略の重要な部分です。SIEMプラットフォームは、複数のデータソースと、企業のITインフラストラクチャ全体からの警告を集計します。このアクティビティを分析し、疑わしい行動を特定して、セキュリティイベントの自動通知も生成します。
セキュリティのオーケストレーション、自動化、および応答
SIEM同様、セキュリティのオーケストレーション、自動化、および応答(SOAR)も、セキュリティの脅威に関するデータ収集を可能にします。さらに、脅威を調査し、事件への対応と修正作業を自動化します。その自動化機能によりSOARでは、脅威の特定と調査に要する時間を短縮し、平均修復時間(MTTR)を削減します。MTTRとは障害の指標で、障害が検知されてから修復を行い、システムが機能を回復するまでの平均時間を示すものです。
まとめ
組織に対するサイバー攻撃が一般的になるにつれて、従来の「信用するが検証する」というネットワークセキュリティの考え方は適切ではなくなっています。セキュリティチームは、ユーザとエンドポイントを暗黙のうちに信用してしまうと、組織は悪意ある攻撃者、不正ユーザ、不注意な内部関係者、および不正アカウントのリスクに晒すことになると考えるべきです。
組織を保護するためには、Zero Trustモデルが必須です。このモデルの「決して信用せず、常に検証を行う」手法と、最小特権の原則により、拡大を続けるサイバー攻撃に対する防御を固めることができます。Zero Trustにより、組織はアクセス制御を改善し、資産を保護して、侵害を防ぎ、潜在的な損害の最小化を実現することができます。