みなさん、こんにちわ。Think Your Security Talkroomです。これまでロイさんにはゼロトラストについて隅から隅までお聞きしてきたように思いますが、本エピソードでは改めてサイバー攻撃とゼロトラストをテーマにお話しを聞きました!
Eps 9
視聴時間 14分07秒
出演 ロイ
ナビゲータ 大導寺
テーマ ゼロトラスト
Talkroomの内容を読みたい方は、以下をご覧ください!
Eps 9 のまとめ:
ナビゲータ:サイバー攻撃の中でランサムウエア以上に増えている攻撃手法とは?
ロイ:ランサムウエアがここ数年のトレンドナンバーワンであることは間違いないですが、最近はサプライチェーン攻撃と呼ばれる手法による攻撃が増えています。
サプライチェーン攻撃は、どんなマルウエアを投げ込むかではなく、その爆弾(マルウエア)をどう届けるか、HOWの話しです。
ナビゲータ:最近のサプライチェーン攻撃としての事例は?
ロイ:有名どころとしては、アメリカのソフトウエア会社がありますが、その前にサプライチェーン攻撃そのものについて説明します。
サプライチェーン攻撃は、ターゲットとする大企業はセキュリティ対策もしっかりしていて攻撃しづらいため、関連会社や取引先企業といった入り込みやすい企業を攻撃し、企業内ネットワークを通じて、あるいは関連会社を装うことで、もともとターゲットした企業を攻撃する手法です。
ナビゲータ:被害にあった会社としては、SolarWinds、Kaseyaですね。サプライチェーン攻撃は、信頼していた身内が実は信頼できなかった・・という点が原因となりますが、どうやって防御することが大事ですか?
ロイ:企業体が異なるとセキュリティレベルも違うはずなのに、社内と同じように信用してしまうことがよくないです。社内でも信用しないことがが大事ですが、セキュリティレベルが違う企業間におけるアクセスは、毎度検証することが大事です。ゼロトラストを使ったアクセスに対する考え方が、会社や組織が違う時の防御の有効な手段になります。
ナビゲータ:(以前のエピソードで)お城のたとえ話しでロイさんに説明して頂きましたが、一度、お城の中に入ったあと、どこでも行けるのは危険です。お城に入ってくる人が正しい人かを認証した後、どこに行けるのかが設定されて、ある条件のもとに動的に随時チェックされることで、ずぶずぶにならない状態にすることが、ゼロトラストでできることですか?
ロイ:はい、お城のたとえ話だと、隣り合った街から来る人を無条件に入城させるとか、商品補充の業者はOKにしてしまうなど、信頼しすぎな上にお城に入った後にどこへでも行けてしまうということがサプライチェーン攻撃を加速するので、ちゃんと身元を確認して、必要最低限に絞ったアクセス権を与えて、不必要に大きな権限を与えないことが極めて重要です。
ナビゲータ:関連会社同士、アクセスを許しましょうということは、それだけ密な情報のやりとりが必要な状況がある、とすると、そういう状況を許容しながら、セキュリティを守るためにはどうしたらいいでしょうか?
ロイ:全面的にアクセスをシャットアウトしたり、物理的に情報をやりとりするよりも、セキュリティの考え方として「多層防御」 (1つの網だとすり抜けられてしまうけど、複数の網を使って強化する) という考え方を採用したり、認証と認可をしっかり毎度実施することや、さらにやるなら、認可のところで、見せるだけにしてデータのダウンロードをさせないようにすると情報漏えいもなくなります。ネットワークへの接続ではなくて、アプリケーションへアクセスさせるゼロトラストネットワークアクセスだけでなく、EDR (Endpoint Detection and Response) も必要になりますね。
本エピソードでは、ランサムウエアに次いでセキュリティ脅威として大きな存在となってきているサプライチェーン攻撃と、それに対するゼロトラストの考え方がどのように防御に役立つのかを聞きました!
(ロイさんのもっと言いたい!)
追加すると、関連会社の弱いところを突いて入ってくる、話しなんですが、その他によくあるのは、メールシステムを乗っ取り、関連会社の社員のフリをしてフィッシンングメールを送ってくることがあります。正しいメールアドレスから送信されていることになりますが、迷惑メールフィルタなどでの防御が必要になります。
最後までお読みいただきまして、ありがとうございます!
ゼロトラストのアプローチでセキュアなアクセスを実現したい方へ、Safous ゼロトラストアクセス/ZTAサービスの紹介サイトはこちらから!
本編で言及されている、EDRのマネージドサービスもIIJ Americaで提供しています。詳しくはこちらの紹介サイトをご覧ください。
SoundCloudで一気にエピソードを聞きたい方はこちらから!
Think Your Security Talkroomで取り上げてほしいテーマがありましたら、こちらへお寄せください。