検索
連載

社内のチャットやテレビ会議にサイバー攻撃者が存在し得る時代――従来のIT運用がゼロトラスト/クラウドと相性が最悪な理由ITmedia Security Week 2022夏

ITmedia Security Week 2022夏のDay6「クラウド&ゼロトラスト」ゾーンの基調講演で、川口設計 代表取締役 川口洋氏が「ゼロトラスト対応の前に皆さんのクラウド対応はどうですか?」と題して講演した。ともすると、バズワードというだけでゼロトラスト導入を検討しようとしている組織に対し、その前に必ずチェックしておきたいこと、そして真に検討しなければならないことに関して、@ITでの連載も大好評だった川口氏が斬り込むセッションだ。

Share
Tweet
LINE
Hatena

サイバー空間に依存した社会、「サイバー」はどう変化した?

 20年前ならば紙を前提としたワークフローが作られ、残業を駆使し、ビジネスは回っていた。しかし、いまや医療や金融、電気水道などのインフラを含め、ITの力なしには仕事が回らない。ITが活用される世界とは、セキュリティとは無縁ではいられない世界でもある。


川口氏が独自に調べた、国会会議録から「サイバー」を含むキーワードの出現回数(川口氏の講演資料から引用)

 川口氏はまず、国会会議録から「サイバー」というキーワードが何回登場したかを集計したグラフを提示した。これによると、「2000年の九州・沖縄サミットでサイバーという言葉が多用され、これが転換点の一つだった」と川口氏は述べる。しかし、意外なことに内閣サイバーセキュリティセンター(NISC)の設置や、続く洞爺湖サミット、大手重工業や衆参議院に対するサイバー攻撃が発生しても、その数値はほぼ横ばいのままだった。


川口設計 代表取締役 川口洋氏

 次なる転換点は2013年にある。これは国家安全保障戦略の決定のことで、川口氏は「情報セキュリティが、サイバーセキュリティに変わった」と述べる。「これは大きな転換点。サイバーセキュリティは、誰かがわれわれの情報を狙うのを防ぐもの。誰かが狙うことで、われわれの事業、情報が毀損(きそん)されるということ。これは国益に反するもので、だから国が口出しをするようになった。サイバーセキュリティの問題は国益の問題なのだ」(川口氏)

 そして、社会はいまだコロナ禍の影響を受けている。これによって、ITが活用されるシーンが増え、コミュニケーション、サービス、社内オペレーションのやり方は大きく変化してきた。あっという間にテレワークが普及し、それに伴いシステムや業務の在り方が変わる。「そこで注目されているのが“ゼロトラスト”だ」と川口氏は述べる。


みんな大好き(?)ゼロトラスト(川口氏の講演資料から引用)

 「そもそもゼロトラストという言葉に引かれる人は、いまはゼロトラスト環境ではない人」と川口氏は指摘する。スタートアップや先進ベンダーならば、われわれが想像するような“ゼロトラスト”を既に導入し、当たり前のように運営しているだろう。しかし、それはITそのものを本業とするような業種のみであり、世間の大多数の企業はこれまで投資してきたオンプレミスのシステムがあり、「ゼロトラストをこれからどうするか、検討中」というフェーズにいる。そのステージには、その人たちの課題が残っている。

 これまでのセキュリティは「境界」を作り、システム、ネットワークなどがあるオフィスの中に従業員が入り形成されていた。これは全ての資源がオフィスにあり、出社することが前提の仕組みだ。現在のIT環境は、そのオフィスだけでなく、自宅などにいる従業員、そして外部にあるクラウドサービスとつなげることとなる。


現在はオフィスという“箱”以外にも、リソースが点在している(川口氏の講演資料から引用)

 特に、コロナ禍では外部のサービスを活用することに拒否反応もなくなりつつある。

 「例えば自社でテレビ会議システムを一から作っている企業はほとんどない。機密性にこだわりがなければ、よく聞くWeb会議サービスでやっているはず。それをきっかけに『クラウドサービスを使ってもいいのではないか』となった。Excelファイルをメールに添付してやりとりするよりも、オンラインのスプレッドシートを共同編集することを選ぶ企業も増えている。コロナ渦の影響でリモート環境を前提で考えるようになり、この“箱”の中にだけこだわらない形態に変わっている」(川口氏)

 そのような状況となると、もはや攻撃者が狙うのは従業員の端末だけではなく、クラウドサービスだ。もしこれまでのセキュリティ投資のままオフィスだけを守っていると、クラウドが攻撃されている状況をモニタリングできないままとなる。川口氏はこの環境の変化に「セキュリティは追従できているか?」と問い掛ける。

ゼロトラスト、クラウドをシステムに導入するモチベーションのギャップ

 テレワークをきっかけにVPNやクラウドの導入を検討する企業が増えている。しかし、多くの企業は苦悩しているのが現状ではないだろうか。そこには、「ユーザーとITベンダーとの間でギャップが発生しているのではないか」と川口氏は述べる。

 「ユーザーもクラウドを入れ、一通り運用できた。しかし目指している姿を見失っているようにも見える。これはSlackをはじめ新しいツールを入れていても、社内の文化を変えないままの場合が多い。ITベンダーにしても、クラウドで最新のソリューションを提供すると掲げつつも、これまでのシステムが導入され、運用は別の担当者と下請けの別企業がマニュアルに沿うのみ。ベンダーに対しても不満が発生している」(川口氏)


ユーザーとITベンダーには考え方にギャップが生まれている(川口氏の講演資料から引用)

 クラウドサービスといえば、特にSaaSでは気が付いたらアップデートされ、画面構成や機能そのものが大きく変わることも多い。それは日本におけるITシステムの考え方と、相性が最悪だ。「クラウドサービスは変わることが特徴の一つだが、日本における“業務が変わらないこと”を重要視する人や組織と相性がとにかく悪い。これまでの運用チームのように厳格な手順書を要求し、それと1文字でも違うと作業ができないという“責任回避”や“丸投げ体質”の文化とは相いれないものだ」と川口氏は述べる。これが、クラウドの導入を阻害し、そのメリットを最大化できないポイントでもある。

 「何かあると、すぐ『報告書を出せ』『やれ原因は何なのだ』という組織は改めた方がいい。報告書で責任回避を狙うような組織は、自分たちが『クラウドに合ってない』と気が付いていない場合も多いのではないか。これは発注側と受注側が離れていることが問題だと考えている。責任を回避できるモデルにはなっているが、デジタルトランスフォーメーション(DX)、業務改善、新規サービス開発には手間やお金や時間がかかってしまう。皆さんの組織はどうだろうか」(川口氏)


クラウド活用の本当の課題は組織にあるのではないか(川口氏の講演資料から引用)

ペネトレーションテスターから見たゼロトラストは「おいしい」

 川口氏は先日、GMOが主催したイベントでの話を紹介する。この中で、GMOサイバーセキュリティのオフェンシブセキュリティ部部長であり、ペネトレーションテスターのルスラン・サイフィエス氏は、“ゼロトラスト”の環境に対するペネトレーションテストについて語っている。「既に認証されている端末が存在していれば、そのセッション情報を奪えばアクセスができる」とし、「むしろ侵入が楽になっている」とも述べる(参考)。


ペネトレーションテスターから見た“ゼロトラスト”(川口氏の講演資料から引用)

 「世の中で想像しているような“ゼロトラスト”とは、認証方式を変えた、アクセス方式を変えただけだと、1つでもほころびを見つけることができれば、攻撃の目的が遂行できる。これはゼロトラストそのものの問題というより、その移行期における課題だと考えている」(川口氏)

 川口氏は、あるインシデントレスポンスの例を紹介する。端末の挙動がおかしいため、セキュリティベンダーとも協業し、端末を再構築した。しかし30分後、同じ端末がまた侵害を受けたという。その原因は驚くべきものだった。

 「どこから侵入したのか見当も付かなかったが、原因はある社員のアカウントが奪われており、チャットサービスに入られていた。攻撃者はわれわれがインシデントレスポンスのためにチャットで共有していた設定情報やパスワード、認証鍵を盗んでいた」(川口氏)

 従来は、インシデントレスポンスは会議室で、対面で行っていたかもしれない。しかし、テレワークをせざるを得ない状況になると、このようなことが起き得る。「オンラインのインシデント対応では、皆さん、ビデオをオンにして、文字を打つ画面の向こうに本当の仲間がいるのかどうか確認した方がよい。コミュニケーションチャンネルも侵害される。それはとても恐ろしいことだ」(川口氏)


ゼロトラスト導入過渡期には課題も発生する(川口氏の講演資料から引用)

 皆が思う“ゼロトラスト”において、足りないのは「本当のゼロトラストの定義にあるものだ」と川口氏は述べる。ゼロトラストアーキテクチャの教本ともいえる「NIST Special Publication 800-207」では、下記のような文言がある。

The enterprise collects as much information as possible about the current state of assets, network infrastructure and communications and uses it to improve its security posture.

企業は、資産、ネットワークインフラストラクチャ、通信の現状について、可能な限り多くの情報を収集し、セキュリティ体制の改善に活用します。

 川口氏は「可能な限り多くの情報を収集し、それを使用してセキュリティ体制を改善する」という部分について、「これまで私が見てきた、多くの企業における“ゼロトラスト”は、アクセス経路を確保するためのゼロトラストになっていたように見える。まだまだ過渡期にある課題として、アクセス経路だけが確保される。それは、攻撃者にとってもアクセス経路になっている。だからこそ、セキュリティの“継続的な改善”が必要だ」と述べる。


本来の意味でのゼロトラストで重要なのは“改善”(川口氏の講演資料から引用)

求められるものは果たして“ゼロトラストの導入”なのか

 理想とする“ゼロトラスト”の向かう先にあるものは何か。そこで求められているものについて、川口氏はもう一度振り返る。

 「そもそも、IT部門、業務の見直しが求められているのではないか。これまでのように、何かあったら『報告書を出せ』というような、お堅い運用ではもう間に合わない。リスクを自分で判断しなくてはならない。オンプレミスだけならば必要がなかったが、クラウドを使う場合、変化に対応できる組織にならねばならない。誰かのお墨付きを待っていては、クラウド、ゼロトラスト、そして新しいITのメリットを受けられなくなる」(川口氏)

 そのような組織を作るには、「もはやITの内製化が必要ではないか」と川口氏は提言する。とはいえ、全ての企業がそのように変わる必要があるわけでもなく、「オンプレミスのシステムを中心とした方がよい」と判断する組織もあるだろう。DX推進も同様で、組織、サービス、ビジネスをITの力で変えるなら、組織の中でIT変革の力を持っていた方がよいだろう。


いま、組織に求められるもの(川口氏の講演資料から引用)

 「テクノロジーだけの“ゼロトラスト”ならば、どこかのサービスを入れれば片付く問題だ。しかし、本当にやりたいビジネスのIT活用を進めるならば、できる限りITが手の内にある方がよいだろう。ITを丸投げする時代は終わった。課題も多いが、私もその課題を解決するために川口設計を作っている。ハードニングプロジェクトマイクロハードニングなどを通じ、ビジネスとセキュリティのバランスを考える取り組みも続けている。ぜひ、皆さんも、“ビジネスを進めるためにITを手の内に入れる”ことを考えてみてほしい」(川口氏)

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 1年前と比べて1Tbpsを超えるDDoS攻撃が1885%増加、今すぐできる対策は? Cloudflare
  2. 米ホワイトハウス、“懸念国”への半導体輸出、AI規制を発表 日本含む18カ国は規制対象外
  3. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  4. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  5. 「Appleの暗号化アルゴリズム」を盗用し、2カ月以上検出されなかったステルス型マルウェアの正体とは
  6. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  7. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  8. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  9. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  10. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
ページトップに戻る