拡大するランサムウェア対策の要にもなる、ゼロトラストにおけるデバイス防御：働き方改革時代の「ゼロトラスト」セキュリティ（14）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストにおけるデバイス防御について解説する。

[仲上竜太，株式会社ラック]

　コロナ禍によるテレワークの常態化をきっかけとして、コンピュータの中のデータを暗号化することで利用できなくしてしまい、データを人質に回復キーの購入を持ち掛けるランサムウェアによる攻撃の脅威が拡大しています。

　従来のランサムウェアによる攻撃は、メールの添付ファイルや悪性サイトでのマルウェア感染といった無差別型、ばらまき型が主流でした。昨今は、セキュリティが脆弱（ぜいじゃく）な企業を探して標的を把握した状態で、情報を盗み出した上でデータを暗号化し、回復キーの購入に応じない場合は盗み出したデータを公表する「二重脅迫」手法の脅威が増大しています。

　今回は、ランサムウェア対策の要にもなるゼロトラストにおけるデバイス防御について解説します。

変化するコンピュータ環境とゼロトラスト

　テレワークの常態化やクラウドの利用など、目に見える範囲でもビジネスにおけるコンピュータの利用方法が大きく変わっています。これまでサイバーセキュリティ対策として考えられてきた、物理拠点に敷設されたネットワークに対してインターネットの入り口と出口を保護する従来の境界型防御の考え方だけでは、分散したデータや利用者、端末を保護し切れない現状が明らかになってきました。

　ゼロトラストは、ネットワークの内側／外側といった区別に依存した認証ではなく、ゼロから信頼を積み上げて認証や認可を行い、システムやデータを保護する考え方です。Forrester Researchが定義した「拡張ゼロトラスト」（ZTX：Zero Trust eXtended）では、保護すべきデータを中心として人、デバイス、システム（ワークロード）、ネットワークといったセキュリティ要素に対して、可視化と分析、自動化と連携のサイクルによってつなぐことで、全体のセキュリティを高める取り組みとされています。

　コンピュータ環境やサイバー攻撃の脅威に大きな変化が生じる中、ゼロトラストを目指す取り組みをどこから始めればよいのかは、大きな悩みどころといえます。

　本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、第11回から「どこから始める？　ゼロトラストの第一歩」というテーマで、自社の持つ情報システムの課題に対して「どこからゼロトラストにつながる取り組みを始めればよいのか」について解説しています。今回は、その中で端末防御から始める考え方についてです。

端末防御の考え方

　ゼロトラストにおいても端末防御は重要な役割を果たします。

　物理的なネットワークによる境界の外側にデバイスが分散している現在の情報システムでは、従来、境界型防御でサイバー攻撃に対する防壁となっていた防御機能を端末ごとに保持する必要があります。

　これまで、端末防御は「境界型防御における多層防御の一部」として考えられてきましたが、「どのような環境で使用されるか」を組織が保証できない現在では、業務に使用する端末それぞれに防御機能が求められます。

　ゼロトラストの重要な仕組み“動的な認証”でも、端末の防御状態は重要な認証属性の一つとして取り扱われます。動的な認証における端末の観点では、登録されている端末かどうか、適切にアップデートされているかどうか、許可していないソフトウェアが含まれていないかどうか、端末がサイバー攻撃の被害にさらされていないかどうかなどを確認し、認証時に積み重ねる信頼度スコアに反映します。

端末防御の対象と範囲

　コンピュータ端末の防御では、従来のアンチウイルスソフトウェアの導入をはじめ、主流となりつつある「EDR」（Endpoint Detection And Response：端末での検知と対処）などの方法があります。

　企業や組織における業務では、モバイルデバイスや仮想コンピュータも含めた多種多様なデバイス＝端末を取り扱いますが、ここではテレワークで利用を見据えた業務用PC端末を想定して対策を考えてみます。

可視化とコンプライアンスの統一、デバイスの統合資産管理

　企業や組織の情報システムの管理者にとって、「自社の情報システムに、どのような資産がどこにどれぐらいあるか」を把握することが困難な時代になりました。高機能化により、モバイル端末は単なる電話による通信手段を超え、クラウドと連携し、いつでもどこでも機密情報を扱えるデバイスとなっています。従業員が物理的に目に見えない在宅で就業する環境では、デバイスが適切に使用されているかどうか、勝手にデータの持ち出しがされていないかどうかの確認が非常に困難です。

　ゼロトラストで行われる“動的な認証”においては、アクセスに使われるデバイスが組織によって管理されたデバイスかどうかは重要な属性です。機密データの含まれるシステムに対して管理されていないデバイスからアクセスが行われた場合、たとえ正規のユーザーでもアカウントの乗っ取りを疑うべき危険な兆候かもしれません。

　組織が保有するデバイスを統合的に管理するには、MDM（Mobile Device Management：モバイル端末管理）やEMM（Enterprise Mobility Management：エンタープライズモバイルデバイス管理）を使用します。

　これらのサービスは、組織が従業員に利用させるPCやスマートフォンなどのモバイルデバイスを一元的に管理し、どのような設定が行われているか、アップデートが最新化されているかどうかといった端末の健全性の監視を可能にします。これらのログをSIEM（Security Information and Event Management）などのログ基盤と連携させて管理することで、デバイスのセキュリティ状態の統合的な把握を可能にします。

　MDMやEMMの導入により、紛失時のデータ消去や導入可能なアプリケーションの管理など、企業や組織が求めるコンプライアンスに準じたデバイスの制御も可能になります。

プログラムの不正な振る舞いを検知し遮断するEDR

　EDRは、その名の通りエンドポイント（端末）で生じた不正な振る舞いを検知し、対処する機能を有したセキュリティ製品です。

　端末そのものの保護では、従来、アンチウイルスソフトウェアがその代表格として利用されていましたが、変化し続けるマルウェアや標的となる企業に向けて特注されたマルウェア、そもそもファイルとして存在しないファイルレスマルウェアへの有効性が薄れているのが現状です。

　EDRは、端末上でのプログラムの振る舞いを全て記録し、ファイルの暗号化や不正なデータ送信、横展開と思われる挙動など、正規ユーザーが行わないであろう不正な動作を検知し、プログラムの動作を停止、記録を保存するといった対処と封じ込めを実施します。

　昨今大きな脅威となっているランサムウェアによるサイバー攻撃にもEDRは対処可能です。端末上でデータの不正送信やファイルの不適切な暗号化の実行を検知し、即座にそのプログラムを遮断し、前後の動作記録から「どのような経路でそのプログラムが不正に侵入し、実行されたのか」を確認して対策に反映します。

　ファイルレスマルウェアの中にはOSの標準機能を悪用してファイルやデバイスを暗号化するものもあり、従来のアンチウイルスソフトウェアでの検出はほぼ不可能です。振る舞いによる検知の精度も常にアップデートされており、水際で被害を防止するEDRは、狙われやすいテレワーク環境に対して有効なセキュリティ製品といえます。

実行アプリを封じ込めるサンドボックス実行環境

　電子メールの添付ファイルによるデータ送付は、今なお標準的な手段として企業や組織の間で活用されています。

　特にパスワード付きZIP圧縮ファイルによるファイルの添付とパスワードのメールによる送付は、情報セキュリティの観点から全く無意味なだけではなく、メール検疫システムを無効化するなど副作用が大きく、政府機関をはじめ、企業や組織で見直しが進められています。

　2020年に猛威を振るった情報窃取マルウェア「Emotet」（エモテット）も、マルウェア付き添付ファイルを送付します。巧妙に作られた文章や信頼できる差出人からの返信メールとともに、パスワード付きZIPファイルの悪用が被害を生む要因となりました。

　これらの添付ファイルの開封や実行時に、仮想的に隔離されたコンピュータ空間をデバイス上に作り出し、危険な振る舞いを実質的に無効化するのがサンドボックスなどの技術を応用した「無害化ソリューション」です。

　無害化ソリューションにはOSと連携したプログラム実行時の無害化や、Webブラウザベースでの無害化といったアプローチが存在します。これらは、プログラムを隔離環境で実行し、その振る舞いを見極めて不正動作を検知して直ちに遮断する機能を持っていることから、EDRと近い考え方のソリューションといえます。

　EDRよりも隔離された仮想環境で実行される分、封じ込めた後の対処範囲が狭められるので、迅速な復旧が可能です。

　高度な機密情報を取り扱う業務や、外部からのメールの添付ファイルを日常的に取り扱う人事などの業務では、PCがダイレクトにダメージを負ってしまう前に、こうした無害化ソリューションの導入によって、安心してファイルの閲覧が可能になります。

　これらのソリューションも、ゼロトラストにおいては、ログや実行状態が連携され、デバイスの健全性の一つとして機能します。

水際でのサイバー攻撃対策としてのデバイスセキュリティ

　ゼロトラスト注目のきっかけともなったコロナ禍対策としての一斉テレワークの実施は、DX（デジタルトランスフォーメーション）や働き方改革の取り組みを超えて急激なコンピュータ利用形態の変化をもたらしました。

　一時的と思われたテレワークも、相次ぐオフィスの縮小や撤退など、新たな生活様式「ニューノーマル」として定着しつつある企業も見られます。

　境界型防御の外に広がったデバイスは、企業や組織が保護すべき新たな境界です。論理的な境界である“アイデンティティー”と物理的な境界である“デバイスの保護”は、ゼロトラストにおける重要な両軸といえます。

筆者紹介

仲上竜太

株式会社ラック

セキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長

兼 サイバー・グリッド・ジャパン シニアリサーチャー

進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラストナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。