第27回 ゼロトラストセキュリティ
セキュリティ対策と聞いて何を思い浮かべるでしょうか。具体的に何への対策でしょうか。サイバー社会において、己自身あるいは組織、会社を守るためのセキュリティ対策ですが、何から守るかが近年大きく変化しているのです。
サイバーセキュリティ対策が大きく叫ばれたのは、20世紀の終わり、中央省庁のウェッブが何者かによって改ざんされた事件でした。その後の対策として、ファイヤーウォールの設置が推奨されました。今でいう、境界防御の典型的な方法だったのです。境界防御とは、守るべきものであるサーバやパソコン、それをまとめたネットワークとそれ以外、つまり己のネットワークの内と外の境界に着目し、その境界で主に外部からの攻撃を防ごうというものです。ファイヤーウォールはその基本形であり、直訳である「防火壁」のごとく、外部からの延焼、被害を防ごうとするものです。現実社会で言えば、会社の入り口に立つ守衛のような役目で不審者(脅威)を排除するのです。その後のIDS(侵入検知システム)やIPS(侵入遮断システム)のIntrusion(侵入)という言葉が付くように、主として外部からの攻撃を検知や遮断する目的であり、UTM(Unified Threat Management、統合脅威管理)も自ネットワークを守る目的で、様々な脅威を統合的に、やはり外部からの攻撃を阻止する境界防御の考え方に基づく対策システムです。
近年、以前の様にソフトウェア等の脆弱性を利用してシステムに侵入し、ファイルの改ざんを行うと言った単純な方法だけでなく、マルウェアも高度化し、クラウドの利用や守るべきネットワーク自体も物理的に肥大化、そして分散化したことで、境界防御での境界自体が霞み、サイバーセキュリティ対策として方針が揺らぐこととなりました。さらに脅威は外部からだけではなく、国内でのいくつかのサイバー犯罪の例のように内部犯罪が危惧され、IPA(情報処理推進機構)が調査している「情報セキュリティ10大脅威」でも、毎年、内部からの脅威は上位にランキングされています。そしてコロナ禍によるニューノーマルの時代です。リモートアクセスによるテレワークによって境界防御の限界が露呈してしまいました。もはや境界自体が曖昧な概念となり、以前のような組織や社内といった城郭に守られた信頼できるネットワークは存在しないのです。
何も信頼できないサイバー社会において、セキュリティ対策の要として登場した概念がゼロトラストセキュリティなのです。しかし、ゼロトラストセキュリティの基本は何も信頼しないのではなく、信頼を勝ち取るためのセキュリティ対策です。
ゼロトラストセキュリティとは米国の調査会社であるForrester Research社が2010年に提唱した考え方で、決して新しい革新的な対策方法ではありません。大雑把に言えば、信頼できるネットワーク、例えば従来の様に社内ネットワークの内と外に分け、社内ネットワークを信頼し、外部を厳しく監査してサイバー攻撃を防ぐのではなく、社内社外に関わらず、その通信やデバイス、そしてサーバまでもすべてを疑い、監査を厳格にしようという考え方です。
では、具体的にはどのようにしてサイバー攻撃に対処するのでしょうか。それはすべての人を含む個々のデバイス、通信一つ一つの認証を行い、認証に応じた認可を厳格に行うことです。もちろん、デバイスも通信も時間によっては別物となり、昨日に認められたデバイスや通信が、今日、認められるとは限りません。認証とは相手(対象)を確認することです。認可とは、認証に基づいて権限を制限することです。これらをネットワークの状況に応じて動的に決定するのです。方法論の原理としては難しいものではなく、より実際の社会での危機管理、警備、監査体制に近づいたと考えるべきでしょう。会社の入退出管理に相当する境界防御だけでなく、ゼロトラストセキュリティでは、社員入室後においても、その社員の権限管理だけでなく、社員の行動自体を監視し、コンプライアンスに基づく正しい業務遂行を求めることに相当するのです。
デバイスや通信を含めてすべてのアクセス主体に対して認証、認可を行うだけでなく、認可に基づいてアクセスを最小限に制限し、そのアクセス自体のログを取ることで、常に監視し、異常事態に対して即応することです。この実現に向けて有用なセキュリティシステム(製品)がEDR(Endpoint Detection and Response)と呼ばれるものです。EDRでは境界ではなく、それぞれのネットワークあるいはサーバを含むデバイス、つまりエンドポイント(Endpoint)の動作を監視して、異常や不審な挙動を検出し(Detection)、管理者に通知、その後の対応をEDRでの分析結果(Response)をもとに対策を講じるのです。
境界防御の基本原則はマルウェアの侵入を防ぎ、不正アクセスを起こさせないことに対して、ゼロトラストセキュリティでは、不正アクセスを未然に防ぐことはもちろんのこと、不正アクセスが行われたとしても被害を最小化するための方策なのです。サイバーセキュリティ対策の本質は危機管理です。この危機管理を前提としたサイバーセキュリティ対策は以前から提唱されていました。自然災害対策になぞってハザードトレラントシステムと呼ばれたり、少し前にはレジリエントシステムと称されました。危機管理の第一原則は起こるべき可能性のある最悪の事象を考え、それに至る原因を根本から一つ一つ対策をとることです。サイバーセキュリティ対策として、それを実現する現実的なシステムの構築は事実上不可能だったのですが、昨今になってEDRをはじめ、AI等の技術を借りて、ネットワーク監視や異常検出、それに脅威分析等も可能となり、ゼロトラストセキュリティという名のもとに実現されようとしているのです。