WEBINAR 事務局
2023年10月24日7 分
こんにちは、IIJA Webinar 事務局です。
2023年8月23日に開催したIIJAウェビナー『身近なゼロトラストに学ぶ、サイバーセキュリティ対策』の講演をキャッチアップしました。
みなさん、実はすでに身近なところでゼロトラストを利用しているんですよ!と言われたら、どう思いますか?ゼロトラストの基本的な思想はとてもシンプルです。シンプルながら、あの手この手で仕掛けられるサイバー脅威を遠ざけるため、さまざまな条件付け、都度確認を要するため、難しい技術と捉えられがちです。
本ブログでは、ゼロトラストの基本から応用まで、わかりやすく楽しく知ってほしい、という思いで開催したゼロトラストウェビナーをキャッチアップします!
決して信頼せず、必ず確認せよ
情報システムでは、社内は安全だけど社外は危険というネットワークの境界線を作り、境界線上でセキュリティ対策を施す『境界型防御』が主流でした。境界型防御は、Trust but Verify (信じてもいいけど、一応、確認しよう) という概念に基づきます。対して、ゼロトラストは内部と外部を区別せずにすべてを検証し、脅威を防ぐという考え方です。
ゼロトラストをわかりやすく実感できるよう、身近なゼロトラスト例を3つご紹介します。
1.オフィスへの入室
ゼロトラストの考え方が広がる以前、企業を訪問したときに、一度受付けを通ればその企業のオフィスのどこへでも行けました。しかし、今どきのオフィスでは、受付けを通ったあとも、指定された階の指定された居室へのアクセスしかできないようになっています。これは、ドアやエリアの「鍵」をもっているかどうかを都度都度確認するゼロトラストです。
2.重要な変更を実行する時の本人確認
グーグルやアマゾンで、自分のアカウントの電話番号や住所を変更しようとするとき、すでに自分のアカウントにログインしているにも関わらず「続行するには、まず本人確認を行ってください」と、都度都度の本人確認を求められます。これもゼロトラストです。
3.いつもと違うログインの確認
グーグルでもフェイスブックでも、いつもと違う場所、いつもと違うデバイスからログインしようとすると、登録メールアドレス宛てにログインの詳細が送られてきませんか?これもユーザの状況を都度都度確認するゼロトラストの一例といえます。
上記ではグーグル、アマゾン、フェースブックなどの例をご紹介しましたが、なぜ、私たちがいつも利用する身近なアプリやサービスで、ゼロトラストの概念や仕組みが必要になってきたのでしょうか?
それは、ID/Passwordが乗っ取られ(詐称され)、なりすましによるサイバー脅威が増大していて、ログインなどの最初の1回だけの確認では十分ではなくなってしまったからです。さらに、重要な変更が簡単に行われてしまうと、取り返しのつかない事態になることは容易に想像できるでしょう。
近年はパスワード情報がダークウェブで売買され、悪意のある第3者にとってパスワード情報はかなり手に入りやすい情報なので、ゼロトラストによる都度確認が不可欠です。
レガシーなVPNが破られて攻撃を受けたケース
米大手パイプライン社は、コロナ禍で社員にリモートワーク環境を提供するにあたり、レガシーVPNを使うことにした。しかし、ID/Passwordだけの簡単な認証しかなかったために、パスワードを破られ、悪意のある第3者の侵入を許してしまった。侵入後、悪いことにどんなシステムへもアクセスできるようになっていたため、ランサムウエアを仕掛けられてしまった。最終的に操業停止に追い込まれ、身代金も払うことになった。(2021年)
名古屋港のシステムでは、利用されていたレガシーVPNの既知の脆弱性の対策が講じられないままになっていたため、不正ログインのうえランサムウエアを仕掛けられ、最終的にシステム全面停止となった。(2023年)
レガシーというだけあり、VPN機器の型が古いために最新のセキュリティ対応ができない点にリスクがあります。レガシーではないVPN機器で、ID/Passwordだけでなく多要素認証に対応し、脆弱性への対応もできていれば、ここまでの被害にはならなかったはずです。
ログイン方式が甘かったり、権限管理が甘かったケース
Slackというチャットプラットフォームのソースコードが流出。幸い顧客データは無事だったが、この件では社員のログイントークンが盗まれ、悪意のある第3者が不正アクセスし機密データまでアクセスできてしまった。(2023年)
パスワード管理サービスのLastPass。パスワードの管理が適切に行われておらず、ハッキングされた事例。同社の上級エンジニアが攻撃されてパスワード情報を窃取された。このエンジニアはなんと、マスターパスワードを持っていたので、あらゆるシステムにアクセスできてしまい、ハッカーにとっては機密情報が取り放題の状態だった。(2023年)
パスワードでログインを破られても、ログインした後の「アクセス先」を適切に権限設定して最小限のアクセスに絞っていれば、被害は最小限にできたはずです。
委託先・請負業者のデバイスがマルウェア感染し被害を受けたケース
米配車サービスのウーバーは、外部の契約業者の個人端末がマルウエア感染していたため、そこからパスワードが流出。攻撃者はこのパスワードをダークウェブで購入し、ウーバーアカウントへのログインを繰り返す攻撃をした。(2022年)
東京都杉並区が事業を委託していた事業者のサーバーがランサムウエアの被害に遭い、杉並区の他のシステムに感染が広がった。(2022年)
社員のPC端末はマルウエア感染対策や脆弱性対策もしっかり管理しているけれど、自社のシステムにアクセスさせる委託先・外部業者の端末は持込み端末であることもあり、社員端末と同レベルの管理ができていないのに、社員と同じアクセス権限を与えるのはリスクが高いといえます。
これらの事件に共通する要素をまとめると、以下となります。
ID/パスワードだけや共通パスワードのゆるい本人認証
アクセスし放題の甘い権限管理
信用度が低い環境(外部の人/管理外のデバイス)からのアクセス
これらは、一つ一つの要素が掛け合わさると、甚大な被害を受ける可能性のあるハイリスクなアクセスです。
もう一度、繰り返します!ゼロトラストは、
決して信頼せず、必ず確認せよ
で解決します。具体的には3つあります。
強固な本人確認(認証)
人やデバイスに応じた必要最低限な権限(認可)
都度の確認(継続的な認証)
IIJ Americaでは、Safousゼロトラストアクセス/ZTAというゼロトラストソリューションを提供しています。ゼロトラストの考え方を活用した、ハイリスクアクセスを管理するサービスです。もちろん、VPNやリモートアクセスの替わりとして、あるいは他の利用用途もあります。
ハイリスクアクセスの管理に特に強い、Safousゼロトラストアクセス/ZTAサービスの活用例を5つ挙げます。
委託先・外部業者のアクセス管理
管理外のデバイスからのアクセス管理
共通アカウントや共通PWのアクセス管理
システム変更権などの特権アクセス管理
工場システムのリモートメンテナンス
上記以外で、Safousゼロトラストアクセス/ZTAサービスが利用されるケースとして、セキュリティレベルの違うグループ会社間でのアクセス管理、VPN/WANのリプレース、ITシステム監査対応、BYOD・Chrome Book等どんな端末でも統一的にセキュリティ対応する、といったことがあげられます。
機能の詳細を知りたい方、デモを見たい方は、いつでもお気軽にWebフォームからお問合せください。
菊池 隆吾 (Ryugo Kikuchi)
IIJ America Inc.
Safous Product Manager
2008年株式会社インターネットイニシアティブ(IIJ)入社。国内外のITインフラ案件、特に米国/アジア/欧州のグローバルクラウド事業立ち上げをリード。IIJ Europe(ロンドン)での勤務を経て、アフリカ諸国での国際協力案件、ラオス初のデータセンタ建設、タイのエビ養殖IoT等の新規事業を牽引。IIJ独自ゼロトラスト製品開発に携わり、2022年からIIJ America(サンノゼ)で米国市場開拓を担当。IEビジネススクールMBA修了。ラオス象使いライセンス取得。
いかがでしたでしょうか? 今後「もしかして、これってゼロトラストかな?」と、身の回りに使われているゼロトラストの仕組みに気づいたり、ITシステムの運用でも「ゼロトラスト的に見ると、今どうなっているかな?」と、ゼロトラストに自然と意識が向くようになり、セキュリティ対策の検討に役立てていただけると嬉しいです。
IIJAのゼロトラストサービス、Safousゼロとトラストアクセス/ZTAの詳細はこちら。
IIJ Americaでは、毎月様々なトピックを取り上げてウェビナーを開催しています。IIJ America ニュースレターへご登録いただくと、ウェビナー開催のお知らせをお届けします。ニュースレターご登録はこちらから!
ゼロトラストサービスのデモ、導入や運用に関するご質問やご相談は、いつでもご気軽にWebフォームからお問合せください。お待ちしております。
最後までお読みいただきまして、ありがとうございました!