企業に対するサイバー攻撃の高度化、組織化が急速に進行する中、従来の「境界型防御」から「ゼロトラストセキュリティ」への移行が急がれている。一方で、ゼロトラストセキュリティは、ともすると管理者の負担が重くなり、利用者の利便性も損なうという指摘がある。セキュリティと投資コストや利用者の自由度など、相克する課題の解決策として注目されるのが「セキュリティ ファブリック」というアプローチだ。
セキュリティの
パラダイムシフト
編集部(以下青文字):企業へのサイバー攻撃が大きく変化しています。高度化、組織化が急速に進み、被害額や被害者の規模も拡大の一途をたどっています。セキュリティにパラダイムシフトが起きているともいえそうです。
米野宏明
HIROAKI KOMENOフォーティネットは、アメリカに本社を置くサイバーセキュリティのメーカーであり、次世代ファイアウォール/UTMの開発・製造では世界最大手。セキュリティ専用チップ(ASIC)の自社開発と、セキュリティ ファブリックという包括的なアーキテクチャーが強み。米野宏明氏は、国内大手証券会社を皮切りに、日本マイクロソフト、日本オラクル、セールスフォース・ジャパンのマーケティング職を経て、2021年、フォーティネットジャパンに入社して現職。
米野(以下略):たしかに、ここ数年で組織立った攻撃が明確に増えています。典型的な例が、2022年頃から存在感を増しているRaaS(ransomware as a service)です。これは、ランサムウェア(注1)を使った攻撃手段をサービスとして提供するブラックマーケットですが、最近はさらにサイバー犯罪に必要なものをワンパッケージにして提供するCaaS(crime as a service)へと進んでいます。ツールを選んで組み合わせる知識や手間が不要で、攻撃対象の情報やアクセス手法までセットになっているので、お金さえ払えば、素人でもすぐにサイバー攻撃ができます。
サイバー犯罪者が不正に取得した金銭をロンダリングする際、踏み台として最適な人的ターゲットを世界中から探すためAIを悪用する仕組みもあります。攻撃者はまず、個人の行動パターンをAI解析して、悪用しやすい人を自動的に割り出します。一般人がいきなりターゲットにされるわけです。
さらに今後、量子コンピュータが実用化されれば、暗号化や解読などに関する従来の常識が完全に覆されるでしょう。量子コンピュータは現時点で個人が買えるものではありませんが、犯罪組織や国家絡みであれば用意できるかもしれません。
犯罪者側はあっという間にクラウドを使いこなし、AIを導入し、量子コンピュータまで視野に入れるなど、最新技術への追随スピードがとにかく速い。ゼロデイ攻撃(注2)が出現した時にも指摘されましたが、既知の攻撃パターンを検知して対処する方式では、もはや対応できません。
ネットワークにつながるデバイスの多様化や分散化が進む中、攻撃の侵入口も増えています。サプライチェーン、工場の設備、監視用ネットワークカメラ、リモートワークをする家庭のWi‐Fi、IoT家電、電子制御化が格段に進んだ自動車など、ネットワークにつながるあらゆるものが潜在的な攻撃対象です。
思いもよらぬところから気づかないうちに情報が次々に引き出され、最後には大量の銀行口座番号がダークウェブで売買されるという事態も考えられます。これからのセキュリティ対策は、予期せぬ攻撃が次々に出現する事態にも対応できなければなりません。
注1)「Ransom(ランサム):身代金」と「Software」を組み合わせた造語。システムに侵入してデータを暗号化するなど利用不能にし、解除するための身代金を要求するマルウェア。
注2)ソフトウェアに脆弱性が発見され、開発元が修正プログラムやパッチを提供する前に行われる攻撃のこと。
ゼロトラストセキュリティは
考え方であり、解決策ではない
セキュリティ対策上の基本的な設計思想も、「境界」ですべてを防御するというスタンスから「ゼロトラスト」の考え方に基づいた設計に移行すべきと指摘されています。従来は、社内と社外でネットワークを分け、社内は安全と見なして、社外からのアクセスを厳しく監視する、いわゆる「水際作戦」だったわけですが、サーバーがクラウド上に移行し、社員のテレワークが進み、サイバー攻撃が多様化する現在、この「境界型防御」では防ぎ切れません。そこで、社内外にかかわらず、どのような端末やアプリケーションからのアクセスも信用せず、すべてのデバイスを監視し、アクセスのたびに認証を行うセキュリティ対策へ切り替えようというわけです。
その通りですが、注意しなければならないのは、ゼロトラストは、「社内アクセスなら何でも信用するのはやめましょう」という考え方であって、問題を解決するソリューションではないということです。ゼロトラストだから境界型防御ソリューションはもうやめるべきというのではなく、ゼロトラストを基本的な考え方に据えつつ、境界型防御も含めて、守るべき場所とその大きさ、影響範囲ごとに適した対策を組み合わせることが大事です。そのほうが変化に対して柔軟で効果的ですし、コスト低減にもつながります。
ゼロトラストの考え方に基づき、PC、サーバーやスマートフォンの挙動を監視し、不審な振る舞いを検知して対処するEDR(注3)を導入する企業も増えていますが、一方で、管理者の負担が増えたという声も聞かれます。
ネットワークシステムを構成するエンドポイントのデバイスからログを収集して分析するEDRでは、アラートが頻繁に上がるため、かえって重要なインシデントが起きても気づけないという問題が指摘されています。マルウェアによっては数秒間で大量のデータを暗号化してしまうため、解析結果を人間が見て、複数のアラートを比較検討したうえで対処していては間に合いません。
もちろんこうした問題を解決する方法もあります。当社では「第2世代EDR」と呼んでいますが、問題を検出してアラート発信するまでが第1世代EDRの機能とすれば、第2世代EDRは検出・アラートからリアルタイムブロックそして修復対処までを自動的に行います。人間が個別アラートに即応できなくても、リアルタイムの攻撃遮断などの防御態勢をスピーディに取ることができます。
この自律的な対応のアプローチをさらに広げたのが、当社が提唱する「セキュリティ ファブリック」です。
異常な振る舞いを検知したデバイスは、リスク程度を判断して最適な対処を自動的に実行すると同時に、隣接する他のデバイスへアラートを送ります。アラートを受け取ったデバイスがまた最適な対処を実行すると同時に、他のデバイスへアラートを送信して防御態勢を取ります。1万台のデバイスがつながるネットワークシステムで、たった1台が異常に気づけば、1万台のシステム全体で防御することが可能になるわけです。
中央司令塔でのログ収集、解析、判断、対応指示を待つことなく、フロントにいる隣接デバイス同士の双方向の連鎖で、1次対処まで自動実行してしまうということですね。
ファブリックは「布」の意味ですが、ここでは布そのものというよりは、「布の繊維」をイメージしています。メッシュ状の網目のつながりがファブリックです。
ゼロトラストセキュリティは、対症療法的な断片的アプローチでは、管理負荷だけが増え、セキュリティ効果は不十分になります。全体最適を考えたアプローチが重要です。セキュリティ ファブリックは、ゼロトラストセキュリティという考え方を、経済効果を踏まえつつ現実のものにするための包括的なアーキテクチャーということができます。
注3)Endpoint Detection and Responseの略。