拡大するランサムウェア対策の要にもなる、ゼロトラストにおけるデバイス防御：働き方改革時代の「ゼロトラスト」セキュリティ（14）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストにおけるデバイス防御について解説する。

[仲上竜太，株式会社ラック]

　コロナ禍によるテレワークの常態化をきっかけとして、コンピュータの中のデータを暗号化することで利用できなくしてしまい、データを人質に回復キーの購入を持ち掛けるランサムウェアによる攻撃の脅威が拡大しています。

　従来のランサムウェアによる攻撃は、メールの添付ファイルや悪性サイトでのマルウェア感染といった無差別型、ばらまき型が主流でした。昨今は、セキュリティが脆弱（ぜいじゃく）な企業を探して標的を把握した状態で、情報を盗み出した上でデータを暗号化し、回復キーの購入に応じない場合は盗み出したデータを公表する「二重脅迫」手法の脅威が増大しています。

　今回は、ランサムウェア対策の要にもなるゼロトラストにおけるデバイス防御について解説します。

変化するコンピュータ環境とゼロトラスト

　テレワークの常態化やクラウドの利用など、目に見える範囲でもビジネスにおけるコンピュータの利用方法が大きく変わっています。これまでサイバーセキュリティ対策として考えられてきた、物理拠点に敷設されたネットワークに対してインターネットの入り口と出口を保護する従来の境界型防御の考え方だけでは、分散したデータや利用者、端末を保護し切れない現状が明らかになってきました。

　ゼロトラストは、ネットワークの内側／外側といった区別に依存した認証ではなく、ゼロから信頼を積み上げて認証や認可を行い、システムやデータを保護する考え方です。Forrester Researchが定義した「拡張ゼロトラスト」（ZTX：Zero Trust eXtended）では、保護すべきデータを中心として人、デバイス、システム（ワークロード）、ネットワークといったセキュリティ要素に対して、可視化と分析、自動化と連携のサイクルによってつなぐことで、全体のセキュリティを高める取り組みとされています。

　コンピュータ環境やサイバー攻撃の脅威に大きな変化が生じる中、ゼロトラストを目指す取り組みをどこから始めればよいのかは、大きな悩みどころといえます。

　本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、第11回から「どこから始める？　ゼロトラストの第一歩」というテーマで、自社の持つ情報システムの課題に対して「どこからゼロトラストにつながる取り組みを始めればよいのか」について解説しています。今回は、その中で端末防御から始める考え方についてです。

端末防御の考え方

　ゼロトラストにおいても端末防御は重要な役割を果たします。

　物理的なネットワークによる境界の外側にデバイスが分散している現在の情報システムでは、従来、境界型防御でサイバー攻撃に対する防壁となっていた防御機能を端末ごとに保持する必要があります。

　これまで、端末防御は「境界型防御における多層防御の一部」として考えられてきましたが、「どのような環境で使用されるか」を組織が保証できない現在では、業務に使用する端末それぞれに防御機能が求められます。

　ゼロトラストの重要な仕組み“動的な認証”でも、端末の防御状態は重要な認証属性の一つとして取り扱われます。動的な認証における端末の観点では、登録されている端末かどうか、適切にアップデートされているかどうか、許可していないソフトウェアが含まれていないかどうか、端末がサイバー攻撃の被害にさらされていないかどうかなどを確認し、認証時に積み重ねる信頼度スコアに反映します。

端末防御の対象と範囲

　コンピュータ端末の防御では、従来のアンチウイルスソフトウェアの導入をはじめ、主流となりつつある「EDR」（Endpoint Detection And Response：端末での検知と対処）などの方法があります。

　企業や組織における業務では、モバイルデバイスや仮想コンピュータも含めた多種多様なデバイス＝端末を取り扱いますが、ここではテレワークで利用を見据えた業務用PC端末を想定して対策を考えてみます。

可視化とコンプライアンスの統一、デバイスの統合資産管理