5回にわたり（月一回寄稿）、業界のバズワードにもなっている”ゼロトラスト“をこの分野の第一人者、株式会社ラックの仲上 竜太氏に解説してもらう”変化するコンピューティング環境とゼロトラスト“シリーズ。最終回の今回は「変化するコンピューティングと境界の現在地」をお届けします。

この連載では、デジタルビジネスやテクノロジーの進化によって変化するコンピューティング環境と、昨今注目を集めるゼロトラストについて考えてきました。最終回となる今回は、変化ともにその位置と形態が大きく変わった「境界」について考えます。

いまやデジタルは企業や組織にとって欠かせない重要項目です。従来、データやコンピュータネットワークなどの情報資産は物理的な企業オフィスやデータセンターの中に格納され、厳重に保護されてきました。信頼できないネットワークであるインターネットからの侵入を強固な防壁によって防御し、さらに多層防御により内部ネットワークへの侵入者のあぶり出しを行い防御する考え方は、内部ネットワーク侵害が課題となった現在でも有効なサイバーセキュリティ対策です。

しかし、デジタルテクノロジーの進化によるコンピュータ利用形態の変化により、企業や組織が取り扱うデジタル資産がネットワークの外側へと広がっています。デスクトップで実行されていたアプリケーションはSaaSとしてインターネット上でクラウドサービスとして提供され、そのデータはインターネットを介してクラウドサービス事業者の管理下にあります。テレワークの常態化によって、オフィスに出社して行われていた業務の大半が従業員の自宅で行われることも珍しくありません。インターネットと内部ネットワークの接続ポイントを境界として保護範囲を定める考え方は、クラウドやテレワークに活用が進んだ現代では、過去のものとなりました。

クラウドやテレワークによって企業が物理的に保有するネットワークは保護範囲を定める境界としては不適切なものとなりました。では、守るべき境界はどこにあるのでしょうか。

ネットワークによる信頼への依存からの脱却に端を発したゼロトラストにおいては、データにアクセスする主体（従業員やサービス利用者、自動化プログラムが使うサービスアカウントなど）のアイデンティティを新たな境界として考えることが可能です。保護すべきコンピュータリソースがどこに存在しても、そのデータにアクセスする主体が適切な権限を有しているかを厳密に判定できれば、ネットワークの信頼への依存から脱却できます。アクセスコントロールの徹底は論理的な境界としてのアイデンティティによる境界を実現します。インターネットを含むコンピュータ空間全体の中で、データに対するオーナーシップとコントロールが企業と組織の境界となります。インターネット上でアイデンティティを管理するIDaaSや、アイデンティティによってアクセスを制御するIAPといったセキュリティソリューションは、アイデンティティによる境界を実現します。

アイデンティティによる論理的境界とともに、考えるべきもう一つの境界がコンピュータデバイスそのものです。

サイバー攻撃の高度化や複雑化はサイバーセキュリティサービスの宣伝において繰り返される常套句ですが、デジタルテクノロジーの高度化と複雑化は新たな脆弱性を次々にサイバー攻撃者に提供し、相対的に攻撃の難易度を下げている現実があります。VPNアクセス装置をはじめとするネットワーク機器の脆弱性の悪用、メール、SMS、メッセージングツールやウェブ会議システムなどコミュニケーションツールで無差別に行われるフィッシング、信頼しているシステム管理ソフトウェアが突如サイバー攻撃者のバックドアとなるサプライチェーン攻撃など、攻撃手法そのものは従来から大きく変化していないものの、デジタルテクノロジー活用場面の拡大に伴う脆弱性の増大により、サイバー攻撃による被害は増え続けています。

従来、企業や組織は保護すべき箇所を限定的にネットワーク境界地点に定め境界型防御による保護を行ってきました。保護すべき領域の急速な拡大は、新たなサイバー攻撃者優位の状況を生み出しています。しかし、サイバー攻撃者が狙う情報は、世界のどこかに存在するコンピュータデバイスの中に格納されています。情報を保持するコンピュータデバイスそのもの、企業や組織が保有するエンドポイントに、企業や組織が防御すべき境界の最前線が存在します。

エンドポイントの保護には、従来アンチウイルスや端末ファイヤーウォール、インターネットフィルターなどが用いられてきました。既知のルールに基づく対策は、サイバー攻撃の大部分を占める無差別な攻撃に対しては効果を発揮するものの、未知のサイバー攻撃には通用しません。変化したコンピューティング環境に対応し、ゼロトラストに即したエンドポイントの保護には、次のようなアプローチが有効です。

EDR（Endpoint Detection and Response）は、「エンドポイントは常にサイバー攻撃による侵害を受けている」という前提により、サイバー攻撃の特徴的なふるまいを検知するとともに端末の隔離や遮断を行います。さらに、コンピュータの動作を常時記録し、調査に必要な証拠を収集する機能を有したEDRでは、企業や組織全体の使用する端末への侵害範囲を瞬時に特定できます。EDRによる保護の状態は、ゼロトラストにおける認証動作で端末の健全性を確認する属性として扱うことができます。従来のウイルス対策やファイヤーウォールによる対策だけでは不十分な現在の端末防御において必須といえるセキュリティ対策です。

さらに、端末でのプログラムの実行やウェブの閲覧そのものを、コンピュータ上で仮想的に隔離するサンドボックス化は、より本質的な対策といえます。NIST SP800-207でもデバイスアプリケーションのサンドボックス化として紹介されるこの方式は、コンピュータ上でプログラムを実行する際に、端末に影響を及ぼさない隔離環境（サンドボックス）を用意し、この環境内でのみ動作を許可します。メールプログラムが隔離実行されていれば、万が一メールに添付されたマルウェアを開いた場合でも端末内での感染を防御し、遮断することが可能です。隔離実行されているため、遮断のみで端末の健全度には影響を及ぼしません。URLリンクによるフィッシングやマルウェアのダウンロード、マルウェア感染ファイルの混入、USBメモリなどハードウェアデバイスからの実行など、実行時の隔離保護が適切に行われれば侵入経路によらず端末上での保護が可能となります。これらの隔離実行は理想的な端末保護であるものの、隔離環境に由来する操作性や仮想環境を実行する上でパフォーマンスの課題があり、現実的な対策としては活用が困難な場面も多く存在しました。昨今では、端末として使用されるコンピュータの処理能力やメモリの搭載容量も高くなっており、IntelやAMDのCPUには、仮想化を支援する機能が標準で搭載されているなど、従来課題とされていた部分が解消され、現実的な選択肢としてアメリカ国防総省などでも幅広く活用が進んでいます。

デジタルテクノジーの進歩と我々のライフスタイルの変化は、ビジネスでのコンピュータ利用形態に変革をもたらしました。今後もDXやSociety5.0の推進により、さらなる進化と発展が考えられます。ゼロトラストは、変化するコンピューティング環境に対応し続ける本質的なセキュリティモデルです。新たな境界に適切に対応し、安心してデジタルビジネスを発展させる土台として、今後もゼロトラストの活用を考えていきたいと思います。

Author : 

株式会社ラック

セキュリティプロフェッショナルサービス統括部デジタルペンテストサービス部長

兼サイバー・グリッド・ジャパン シニアリサーチャー

仲上 竜太氏