「ゼロトラストは信頼しないから絶対安全」は誤解――「7つの脅威」とその防御策:働き方改革時代の「ゼロトラスト」セキュリティ(9)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストアーキテクチャにおける7つの脅威について。
コロナ禍において人と人とのディスタンスが求められたことで、テレワーク(リモートワーク)やオンライン会議、クラウドの活用、印鑑レス化など働く環境のデジタル化が急激に進んでいます。これらのデジタルな働き方は、過去に「働き方改革」として取り組まれてきた、働き方の多様性といった枠組みを超え、新しい生活様式=ニューノーマルとして定着しつつあります。
これまで組織が守ってきた「社内ネットワーク」や「プライベートネットワーク」といった境界を保護する考え方は、クラウドへのデータ蓄積やテレワークの常態化によって境界があいまいになり、徐々に通用しなくなってきています。ゼロトラストという考え方が生まれた背景でもある内部ネットワークの侵害に加え、ネットワーク境界があいまいになりつつある現状、ゼロトラストが注目を集めることは自然な流れであるといえます。
ゼロトラストについて学ぶ本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、これまでNIST(National Institute of Standards and Technology:米国立標準技術研究所)の「SP 800-207 Zero Trust Architecture」から、ゼロトラストの定義や、その実装の姿を紹介してきました。
今回は、ゼロトラストであっても考えなければならない、ゼロトラストアーキテクチャにおける脅威について見ていきます。
ゼロトラストによってネットワーク形態への依存は解消されるが、脅威は存在する
ゼロトラストは境界型防御によって保護されていると考えるネットワークへの暗黙的な信頼をやめ、リソース=データへのアクセスの際に常にポリシーに従って要求したデータによって検証する方法で、個々のアクセスを制御しています。
これまでの組織に対する標的型攻撃では、境界型防御に使用されているセキュリティ装置への侵害や、境界内に設置されたセキュリティ検知の仕組みをくぐり抜けて正規アカウントの不正な利用により境界内部に侵入し、データの持ち出し、コンピュータリソースが破壊されてきました。
ゼロトラストでは、個々のアクセスはネットワークの内側、外側といった「場所」の信頼に左右されないため、インターネットからのアクセスも、組織のプライベートネットワークからのアクセスも等価と見なします。そのため、ネットワークの境界を攻撃対象とした標的型攻撃に対し、ゼロトラストは高い効果を発揮できるといえます。
しかしながら、ゼロトラストアーキテクチャ(ZTA)においても脅威は存在し、対策を講じる必要があります。
NISTのSP 800-207では、ゼロトラストアーキテクチャにおける脅威を7つに分けて解説しています。
- ゼロトラストアーキテクチャの決定プロセス転覆、破壊
- サービス拒否、ネットワーク中断
- クレデンシャルの窃取、内部脅威
- ネットワークにおける可視性
- 保存されたネットワーク情報
- 独自のデータフォーマットへの依存(ベンダー依存)
- AIによるゼロトラストアーキテクチャの管理
ゼロトラスト独自に考えるべき課題もあれば、これまでと同様の課題が形を変えて脅威となっているケースもあります。
【1】ゼロトラストアーキテクチャの決定プロセス転覆、破壊
連載第7回のゼロトラストにおける基本コンポーネントで解説したように、全てのリソースへの通信はPE(ポリシーエンジン)やPA(ポリシーアドミニストレーター)によって、判定され、承認されます。ゼロトラストによってデータのセキュリティを保つためには、これらのコンポーネントが適切に設定されている必要があります。
PEへのルール設定の権限を持った管理者が誤った値を設定した場合や、PAが漏えいした場合、適切なアクセス制御ができなくなります。
これらのリスクを低減するためには、PEとPAを適切に監視し、構成変更の定期的な監査によって発見を促す必要があります。
【2】サービス拒否、ネットワーク中断
ゼロトラストアーキテクチャでは、PEP(ポリシー施行点)やPE、PAによってアクセスが制御されています。これらのコンポーネントはそれぞれのリソースから到達可能なネットワーク上に配置されているので、サービス拒否攻撃(DoS攻撃)やルートハイジャックといったアクセスの妨害が考えられます。
また、クラウド上にこれらのコンポーネントが配置されている場合、クラウドサービスの障害の影響を受ける恐れもあります。
【3】クレデンシャルの窃取、内部脅威
システムにログインするためのIDやパスワードといったクレデンシャル情報は、ゼロトラストアーキテクチャにおいても十分に守る必要があります。
ゼロトラストが適切に実装されている場合、アカウントごとにデータ参照範囲が限定されているので、攻撃者は対象とするリソースにアクセス可能なアカウントを個別に入手する必要があります。また、多要素認証の実装により漏えいしたアカウントの不正利用に対し、リスクをさらに低減できます。さらに、「コンテキストトラストアルゴリズム」では、従業員の挙動が通常の行動パターンから外れた場合にアクセスを遮断し、アカウントの不正利用による機密情報へのアクセスを未然に防ぎます。
【4】ネットワークにおける可視性
ゼロトラストでは、全てのトラフィックは検査されてログに記録され、攻撃の兆候を特定するための分析に使用されます。しかし、さまざまなネットワーク上にリソースが配置されている状態を想定したゼロトラストアーキテクチャでは、その経路上で暗号化された場合に詳細に分析できない場合があります。
機械学習によってトラフィックの判定は可能なものの、より安全な状態を目指してどのようにネットワークの可視性を保つかは実装における課題といえます。
【5】保存されたネットワーク情報
ゼロトラストによるセキュリティはネットワークそのもののアーキテクチャと密接に結び付いています。ログやトラフィックデータ、分析データなどゼロトラストの運営上発生するさまざまなネットワーク情報へのアクセスは、企業の情報ネットワークを推察される恐れがあるので、十分に保護される必要があります。
さらに、ゼロトラストのアクセスポリシーを管理する管理ツールへの不正アクセスを防ぐ必要があります。ゼロトラストによって保護されている企業の情報資産全てのアクセス制限を制御可能な管理ツールは、最も制限の厳しいアクセスポリシーによって管理する必要があります。
【6】独自のデータフォーマットへの依存(ベンダー依存)
これは直接的な脅威とは異なりますが、ゼロトラストアーキテクチャを構成するコンポーネントや情報モジュールの間のデータフォーマット/プロトコルは現在のところ統制の取れた状態にありません。
導入したプロバイダーのアセットにセキュリティ上の問題が発生した場合でも、別のプロバイダーのサービスへの移行は一般的にコストと時間がかかります。いわゆる「ベンダーロックイン」の状態になりがちなため、企業は、パフォーマンス、安定性といった、より一般的な要因に加えて、ベンダーのセキュリティ管理、企業のスイッチングコスト、サプライチェーンのリスク管理などの要因を考慮して、サービスプロバイダーを総合的に評価する必要があります。
【7】AIによるゼロトラストアーキテクチャの自動管理
近年活用の範囲が広がっているAIや機械学習によるソフトウェアベースのエージェントは、セキュリティの分野における分析だけではなく、人間の管理者に代わって、さまざまな機器への設定も自動化します。情報リソースが多岐にわたる企業のデータ環境において、AIによるポリシーの自動チューニングの実装はスケーラビリティに大きく影響します。
しかし、ポリシーを設定するコンポーネントに対して、AIが人間の代わりに対話する場合に、高い権限をAIに対して与える必要があります。攻撃者がこのAIと対話や操作が可能な場合、セキュリティ上必要なポリシーを解除するようにAIを誘導できる恐れがあります。
自動化の機能を持ったエージェント自身が自分自身をどのように認証するかは、これからの課題といえます。また、誤判定を引き起こすような外部からの意図的なデータの混入に対しても対策が必要です。
ゼロトラストは従来の境界型防御における解決策ではあるが、完璧なセキュリティモデルではない
近年、ゼロトラストはその言葉から「信頼しない」ことがフォーカスされ、「信頼しないから絶対安全」という誤解が生まれています。
ネットワークを通して異なる場所に存在するデータへアクセスする行為には、その主体となる人に対する「信頼」は絶対に必要であり、その際に「過去の時点の評価を暗黙的に信頼しない」のがゼロトラストの本質的な姿です。
今回解説した脅威の大部分は、現在も課題として対策する必要のある内容です。ゼロトラストアーキテクチャにおいても、セキュリティ運用における適切な監視、検証そして監査は、継続的な取り組みとして続けていく必要があります。
筆者紹介
仲上竜太
株式会社ラック
セキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長
兼 サイバー・グリッド・ジャパン シニアリサーチャー
進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラストナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
当社のゼロトラストはどこまで進んでいる? Microsoftが「ゼロトラストアセスメントツール」をリリース
Microsoftは2020年4月2日(米国時間)、ゼロトラストセキュリティ対策状況の評価を支援する「ゼロトラストアセスメントツール」を開発したと発表した。ゼロトラストセキュリティフレームワークに基づくセキュリティ対策の取り組みが、どのような段階にあるかを、企業が判断するのに役立つという。
コンテナ、サーバレスなどクラウドネイティブに求められる「開発者に優しいセキュリティ」がゼロトラストな理由
コンテナ、マイクロサービス、サーバレス、そしてアジャイル/DevOpsといった、デジタルトランスフォーメーション(DX)時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。
「人とパケットは違う」――セキュリティの一線で活躍するエンジニアが語る「本当の信頼」とは
「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか。