侵入者にとってクラウドはメリットだらけ? 上野宣氏が語る「ゼロトラストの狙い方」:ITmedia Security Week 2022夏
ITmedia Security Week 2022夏のDay3「クラウド&ゼロトラスト」基調講演で、トライコーダの上野宣氏が「侵入者は信用される! 攻撃者が狙う『ゼロトラストの穴』」と題して登壇した。
ゼロトラストといえば、混沌(こんとん)としたサイバー空間における「救世主」ともいわれる存在であり、多くの企業が新たなセキュリティ対策として取り入れようとしている。しかしそこには、意外な穴があるのではないか――。自身もペネトレーションテスターとして活動し、セキュリティ教育にも携わるトライコーダ 代表取締役の上野宣氏の視点で語るセッションをレポートする。
そもそも、ペネトレーションテストはなぜ必要なのか?
ファイアウォールを入れる、アンチウイルスを入れる、EDR(Endpoint Detection and Response)を導入する――。セキュリティ対策をしていない企業はもはやないだろう。では、そのセキュリティ対策は果たして“機能”しているのだろうか?
複数のセキュリティ機能を導入していた場合でも、それがどのように総合的に機能しているのかについて、全て把握している企業は少ないかもしれない。
「皆さんが想定している脅威よりも、現実の脅威の方が複雑、かつレベルが高い。だからこそ、個別の対策が総合的に機能しているかどうかを知りたいはず。本来必要な対策が見逃されていないかどうかを判定するものがペネトレーションテスト。いわば“組織やシステムのセキュリティ総合力を確かめる”ものだ」(上野氏)
ペネトレーションテストについては、いわゆる「脆弱(ぜいじゃく)性診断」とは、「少々異なる」と上野氏は述べる。脆弱性診断には、Webアプリケーションやプラットフォーム、OS、デバイスなどの問題点を網羅的に探し、侵入できてしまう部分を探す性質がある。ペネトレーションテストはそれらだけでなく、物理的なセキュリティや、従業員が守るルールの穴なども含めテストする。顧客との契約の後、例えば「本番データベースの内容を盗む」といったゴールを設定する。その後、システムへの侵入のために、人をだますようなフィッシングや物理侵入を含め、ゴールをクリアするためにサイバー攻撃者と同じ立場で疑似的に攻撃するのがペネトレーションテストだ。
上野氏本人も、最近、物理侵入のために鍵師の資格を取得したという。多角的な疑似攻撃を行うペネトレーションテストは、脆弱性診断とともに「セキュリティレベルがある程度成熟した組織には重要なもの」と上野氏は述べる。
いまのサイバー攻撃のかたち
次に上野氏は「セキュリティにおける領域」について話した。サイバー犯罪、サイバー攻撃だけでなく、データガバナンスや情報保全、管理などを総合的に考えなくてはならない。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ゼロトラストは今どうなっているのか? セキュリティとネットワークの最前線
2020年の春、コロナ禍の始まりとともに「ゼロトラスト」がバズワードとなり、注目を集めた。それから2年たった2022年の今、ゼロトラストとそれに関連する企業のネットワークはどう変わったのか。現状と今後について述べたい。 - シャドーITや設定ミスによる情報漏えいなどを防ぐ「クラウドセキュリティ」は統合されてゼロトラストの一部となる
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。 - 日本の「ゼロトラストに向けた取り組み」は後れを取っている NRIセキュアテクノロジーズがセキュリティ実態調査の結果を発表
NRIセキュアテクノロジーズが実施した「情報セキュリティ実態調査」によると、日本は米国やオーストラリアに比べて、ゼロトラストセキュリティに向けたソリューションの導入で後れを取っていることが分かった。