シンジです。情報セキュリティの方針として参考にされることの多い「情報セキュリティ10大脅威2021」がIPAから発表されました。情報セキュリティの脅威や被害は時代背景をうつしたものが多く、パンデミックによる影響も見て取れます。そんな時代に最適解のゼロトラストアーキテクチャで、ランキングの大半がゼロトラストによってカバーできることを具体的に説明します。
ざっくり書くと、こうです。
その前にゼロトラストアーキテクチャを理解しよう
シンジ自体はパンデミックよりも前から会社まで作ってこのアーキテクチャを実践してきたので、最近では数少ないゼロトラスト警察のひとりとして、ネットニュースや各所のWebサイト、オンラインイベントで「ゼロトラスト」の単語が出るもののほぼ全てを確認してきましたが、基本的に「わかってない」ので、改めておさらいしておきましょう。
情報セキュリティを実践する=IT環境をシンプルにする
現代におけるITセキュリティの大原則は、IT環境をシンプルにせよということです。外からの攻撃に終わりはありません。中からも攻撃される始末です。これはもう皆さんの共通認識として、よく理解されていることだと思います。だからどうしてるかって、この攻撃面を削減したり、脆弱性を低減するっていうアプローチを取るはずです。
そして、社会環境の変化。パンデミックはもちろんですが、災害、環境の変化にITも追従しなければなりません。というわけで、みなさんは最近だとDXだとか言ったりして業務を変えていったり、改善したりしてると思います。このあたりも理解されているのではないかと思います。
これら2つの事象に対応するためには、見通しの良い環境を利用して、適切な判断をする、ということが出来なくてはなりません。この状態が、ガバナンスが効いている状態です。内部統制と言われることもありますが、ガバナンスと内部統制は別物です。
みなさんが仕事で利用するITというのは、その会社組織で、情報システム部あるいはセキュリティ部門において、歴史的な積み上げがあるわけです。あのとき攻撃があったので、こういう対策をしなければいけなかった。社会が変わったからその対策をやった。といった具合に、積み上げ積み上げで出来上がってきた。積み上げで稼働しているITは、とてもシンプルとは言えない環境になっていますよね。ところが、セキュリティの観点からみても、経営の観点から見ても、ITの環境がシンプルな状態だと言えるような環境でなければ、ガバナンスが効かず、正しい経営判断が行えず、セキュリティも穴だらけかもしれません。
脆弱性の無い環境を作りなさいという無茶振り
事故というのは「脅威」と「脆弱性」が合致したときに発生します。
どれだけ脆弱性を持っていても、脅威がなければ事故は起きません。その逆も然りです。しかし、脅威は制御できません。常に攻撃者が先手なのです。それらを事前に止めることは出来ません。ところが脆弱性は自身で制御できます。管理できます。掌握できます。極端な事を言っているかもしれませんが、事実として徹底的に脆弱性を潰してやるだけで事故は起きません。この脆弱性の範囲が広くて、ミドルウェアのアップデートに限らず、手順書、人間の対応そのものにも当てはまる部分が出てきます。
この脆弱性をコントロールすることそのものを、セキュリティと呼びます。つまり防止するということです。防いでいこうということなので、セキュリティの話となっていくわけです。
当たり前ですが、これには当然コストが発生します。
なので、どの点に対してどういった対応をしなければならないか。あるいはどこまでの対策をしなければならないか、ということは、費用対効果も含めて判断していかないといけないっていうのが皆様のお仕事だと思っています。
脆弱性の無い環境づくりをサイバーハイジーンとも言う
いつでもどこでもどんな状態でも、脆弱性が全くない状態を作っていこうという考え方をサイバーハイジーンと呼びます。
IT資産を全て管理して、その状態を把握して、期待される状態つまり、管理者あるいはそれに準ずる人たちが期待している資産の状態を維持するということ。そしてこれを目指してくアプローチのことをサイバーハイジーンといいます。
全ての脆弱性を潰していくっていうことは、当然その現場のすべてを理解しなければならない。つまり、どこにどんな脆弱性が発生しうるか、あるいは発生しているか、これから発生するであろうかということを掌握しなければならない。結果的に現場を知る必要があります。この資産の状態を把握しようとするアプローチをインベントリ管理といいます。
そして次が構成管理です。管理されているIT資産は、他のどんなIT資産と組み合わせっているのか、どういう人たちに提供するために作られているのか、どれだけ使われているのか。
そして最後に管理の連鎖。IT資産というのは利用されますし、移動します、活用し、変化します。状態自体が変化していくその連鎖そのものを把握しましょうということです。
で、この3つをやろうと思ったらめちゃくちゃ大変な感じがしませんか?ITの全てっておいおい、みたいな頭になると思いますが、なにが一番難しいかって言うと、物理の管理がほぼ不可能。オンプレ機器とか回線とか紙とか。この物理をリアルタイムで把握するって無理じゃねってことです。
なので大人達は「クラウド化しましょう」とか、「デジタル化しましょう」とかって言っているわけです。このデジタル化を、デジタライゼーションと言います。DXじゃないですよ。
声を大にして、「クラウド化しましょう」とか「紙を無くしましょう」とか「デジタル化しましょう」というのは、感覚値で「きっとそうした方がいいんだろう」くらいのノリがきっかけになったりしてると思いますが、理屈的には、経営的にはインベントリ管理が必要で、それを構成管理しなきゃいけなくて、その状態の管理の連鎖を把握する必要があって、ようやくこれでデジタライゼーションが完成する。
これでようやく、IT資産の状態が、リアルタイムで見て、リアルタイムで判断できるようになる。このデータから呼び起こされるものこそがデジタルトランスフォーメーションです。
事業継続させる、ビジネスを飛躍させるデジタライゼーションは、ITセキュリティと密接な関係もあるんだよってことです。
設定ミスの事故とミスコンフィギュレーション
たまに設定ミスでクラウドサービスがダウンしたり、管理権限を使って間違った設定を投入して爆死したことってありますよね。俺は無いけど。たまによく聞く。
これって設定ミスなのではなくて、ミスコンフィギュレーションなのです。構成管理の観点でみたときに、期待される状態になっていないということです。
これは多くのIT資産で表現されます。保存されるべき場所にあるか、どんなロケーションからの通信なのか、OSのアップデートはどうだ、アプリのバージョンはどうだ、それらの設定が期待通りか、正しくポリシーが適用されているか、ということです。
で、その期待されている状態になっていないことを、ミスコンフィギュレーションと言います。
設定つまりセッティングをミスったわけではなくて、資産の構成が期待された状態にならなくなったから問題が起きた、だからミスコンフィギュレーションが起きたということです。
クラウド上のさまざまな機能が、期待された状態になっているかどうか確認するためには、構成管理を厳密に行わなければなりません。この話をセキュリティではCSPM(Cloud Security Posture Management)と呼びます。
全ての資産構成、つまりコンフィギュレーションをリアルタイムに把握するためには、とてもじゃないけど物理じゃ不可能、ということでデジタライゼーションが必要になると。結果としてクラウドの利用ということが前提となるわけです。
その為にセキュリティツールを利用する
例えばこれはMicrosoft Security Scoreの画面です。自組織の状態を知って、その目標値を立てる。AWSや他の製品にも同じような機能がありますよね。こういったものを使うことで、成熟度自体を管理していくことができます。
セキュリティスコアを一定に保つには運用が不可欠です。社会や情勢の変化で、項目のスコアや危険度が変化したり増減したりするからです。あのときはこの設定でよかったけど、いまはこの設定は危険ですみたいなこともあります。より良い設定値が出てきた、あるいは新しい機能によってそれに乗り換えてほしいみたいな状態が発生した時、このセキュリティスコアが連動して、ここをアップデートしなきゃいけない、いつまでにやったほうがいいですよ、みたいなことを知ることができます。
現時点では現実的に考えて、全てのIT資産をひとつのポータルで管理することは難しいと思いますが、ポータルが割れてでもこういった道具を使ってスコアリングして運用することが、セキュリティ運用に多大な貢献をもたらすことはいうまでもありません。
例えばAzure Security Score
こういったものをベースラインにして準拠し、例えば我々はPCI DSSに準拠するぞってことなら、そのテンプレートを適用して、どこの章の、どの項目がどのようにして適応されていないのかを具体的に知る必要があるわけで、それを可視化して状態を知って修復していきましょうと言うことです。こうして資産は期待される状態になります。
オフラインのIT資産をどうやって管理するか
画像ではコンテナイメージの脆弱性の検査の話を持ち上げていますが、ITの構成管理においてはオンラインであるもの、つまり電源が入っていてネットワークで疎通しているものでなければ、中身を見るのは難しい。電源が入っていない端末と、電源が入り続けている端末、どっちの方が信頼性が高いかと言うと、電源が入っている端末。ネットワークに疎通していて、常に状態を本部側と通信していて、構成管理できている状態っていうのが正しい状態であって、電源が入り続けていないものを対象にすることは難しい。
これはクラウドインフラ側にも当然そう言ったものがあって、例えば、停止中のインスタンスやコンテナ、コンテナレジストリーの中ももちろんそうだし、あるいはAWS Lambdaのように発火タイミングでしか起動しないものであったりとか、実行前のcodeもそう。使われない状態のものをどうやって検査するかって言うのは各所に最適化されてて、サービスが分割されてて一元的に見るのは結構難しい。
こういったものをどうやって検査していくかというアプローチは、各クラウドベンダーやセキュリティベンダーが色々なアプローチで進めています。これ良いじゃんと思ってみてみたら値段がやばすぎて無理ですーみたいなのもありました。オフラインのIT資産をどうやって見ていこうか、ということを忘れずに。
絶対に覚えなさい責任共有モデル
クラウド利用の基本の基本です。これ理解してないならクラウド使うの辞めてくれって言いたいくらい大事なことです。クラウドサービスの提供者はお客様の全ての責任を負うわけじゃない。明確にそれぞれの責任範囲が存在していて、それを理解しなければならない。
これがIaaSなのかPaaSなのかSaaSなのかによってだいぶ変わってくる。ユーザーがベンダーに対して、代理店に対して、どのような支援を受けられるのか、どのようなことを期待していいのか、信頼していいのか、というところを明確にしなければならない。つまりSaaSであってもPaaSであってもIaaSであってもオンプレであってもなんでもいんだけど、そこって全部自分たちで作って全部自分たちでやっているものなんてないでしょってこと。買っているところがあるし、提供している会社があるし、代理店もあるかもしれないし、SaaSの場合はその先にSaaS業者が使うオンプレやIaaSがあるわけですよね。それを意識させないのがSaaSの良いところでもあります。なので、どこまでの責任が自分たちにあるか、あるいはコミュニケーションを取らなければならないフロントの人たちが、どういったサービスを提供してくれることを支援してくれるのか、みたいなところ理解しない限りは、クラウドサービスプロバイダにどんな要求をしていいのかさえも分からない。
その結果、利用するサービスが信頼できるのかという話にもなる。
境界防御の限界はとっくに超えてる
ファイアーウォールという壁がネットワークにあって、その内側はローカルエリアネットワークとしてトラストできる。つまりローカルエリアネットワークはトラストネットワークでした。トラステッドネットワークともいいます。
ところが、2008年ごろから、そのファイアーウォールの壁を平気で超えてくる攻撃が増えてきます。これがAPT攻撃です。アプリケーション層からの攻撃がファイアーウォールではフィルタリングできなくて、それを対策しなければとなったのが2008年ごろの話。
検討した結果何ができたかというと、多層防御による侵入対策。
多層防御はファイアーウォールの上側に、UTMやIPS/IDS、WAFなどを設置することで、攻撃をブロックしてやろうというアプローチ。壁を沢山おいていけば、もし壁が1つ破られてもまだあるし、攻撃に対するログを見ることで、攻撃者のプロファイルがわかるだろうと。これをサイバーキルチェーンと呼びます。これが現代的に進化して誕生したものがSASE(サッシー)です。
いやいやまて、ネットワークが信頼できないんだと思うわけ。壁超えて内側からやられてんだから、外も内も関係ないじゃんって言い出したのが、ゼロトラストネットワークスアーキテクチャ。境界はエンドポイントだろーというところが、今よく言われてるゼロトラスト。SASEとゼロトラストは別物です。
トラストネットワークが信頼できないからゼロトラスト
トラストネットワークが、ゼロですよって言うこと。今までトラストネットワークだったのに、そこが信頼できなくなったよねー。というのがゼロトラストネットワーク。
全てを信用しない、何もかも信用しない、性悪説なんです!というのは間違いです。間違いです!
ゼロトラストは、トラストネットワークが、ゼロですよって言うこと。
どうやったらトラストできるんじゃいってことで、エンティティ(要素)の動的な検証と、リスクに応じた動的ポリシー適用をやりましょう。その為にアクセス制御を徹底的にやっていきましょうというのがゼロトラストのアプローチです。
ゼロトラストがトラストするもの
サブジェクトとオブジェクトがやりとりをするときに、なんらかのポリシーを必ず反映する強制アクセス制御を用います。そして常に取得されるログによって、管理の連鎖を実現します。ポリシー自体が期待された状態になっているかも重要です。
これらが順繰りに機能することで、ポリシーが期待された状態になり続けられる、つまり動的ポリシーということです。この動的ポリシーを用いた強制アクセス制御によってエンティティの動的な検証が実現します。
境界防御とゼロトラストでの完全仲介の違い
境界防御の場合は、ネットワークを集約すること、出口と入り口を集約することで、その部分にあるネットワーク機器が完全仲介の仕組みを提供することになります。ファイヤーウォールの設定だったり、ネットワークを中心にした設定の適用を行います。
ゼロトラストの場合は、ID管理サービスつまりIDaaSとかIdPがユーザーおよびエンティティを管理して、強制アクセス認証として全てのアクセスを完全仲介します。これによってアクセス制御ポリシーを全てのユーザーに適用します。
マイクロセグメンテーションの先にあるゼロトラスト
境界型防御では、ファイヤーウォールによって配下のデバイスやサーバーにたいして共通のセキュリティポリシーが適用されます。結果として一番厳しい、強いポリシーが全てに適用されますが、それ以上がないので結果として全てが甘い、一部に穴を空けるポリシーとなることも。その穴も全ての境界内に適用されます。
個別の穴は、機器レベルで個別にしたい、全体は全体でポリシーを持ちたいということで、マイクロセグメンテーションが行われます。端末単位でファイアーウォールを設置し、ポリシーマネージャから個別のポリシーを配信します。物理での管理が煩雑になり、運用負荷が高まるので、SDNを使うことで効率化したりします。
ゼロトラストでは端末の中にファイアーウォールが存在するので、端末がインターネットにたいして直接接続できる状態になります。これをインターネットブレイクアウトと呼びます。インターネットに接続しても問題のない状態、期待された状態を作れるため、SDNよりも圧倒的に効率化できます。
これらを実現するために、真っ先にみなさんがやること・やらなければいけないこと、あるいはやってきたことは、IDaaSの導入です。IDの統合管理が必要になってきます。
なりすましを防止したいとか、デバイスの状態を証明したいとか、MDMあるかとか、接続元ロケーションであったりMFAであったり、普段アクセスしないのに急になんだおいみたいな、いろんな属性があると思います。その会社ごとによって、いろんな属性を持たせたいと言うこともあると思います。
属性ベースのアクセス制御のことをABACといいます。Attribute Based Access Control。エーバック。ちなみにロールベースのアクセス制御をRBACといいます。ゼロトラストで使うのはABACです。属性をベースとしたアクセス制御をIdPでやりましょう。AzureやOktaやOneloginだとか色々あってどれでもいいけど、属性ベースでやっているかっていうのをちゃんと見てほしいわけです。
アクセスしている時間とか、場所、履歴というこのログも活用して、その状態を把握していきましょうと言うことです。事前に定義した単一の静的なポリシーで許されたから認証OKというのはやめましょうってことです。パスワードだけでログインできるとかね。
認証が通ると、認可トークンのチケットを受け取ります。この認可トークンを持って、接続先のクラウドサービスに、あたし繋いでもいい?って聞きに行くわけです。
では、オンプレどうしたらいいの?という時は、オンプレ向けのアプリケーションプロキシサーバを立てるとか、SDN使うとか、色々なやり方があります。
こうなると、もはやVPNが脆弱性の要素になる場合があることがよく分かると思います。大きな組織にとっては、VPN機器がなくなることはインパクトのあることなので、ゼロトラスト=VPNを捨てる、のように解釈されることがありますが、間違ってもいないし正しくもない。
どうしてもオンプレミスやめられない場合は、セキュアネットワークプロバイダーと呼ばれるようなZScalarとかAkamai EAAとかNetskope Private Accessなどを使って、オンプレにアクセス制御をしていこうというアプローチもよく取られますが、これはSASEのはなし。
まぁ基本的に、やっぱ全部がクラウドにありますよってのが前提で、個別のサービスごとのID管理をやらない。ネットワークを信用しない。認可トークンだけでアクセスを制御するので結果的にパスワードレスになるってのがゼロトラストの形。
セキュリティは組み込まれているものに
ゲートウェイソリューションからの脱却というのは、時代の背景であるとか、歴史的な変化であるとか、攻撃の進化であるとか、あるいは世間の注目によるセキュリティ対策をするためにお金を払うとか、この事件を解決するためにお金を払うとか、対策や施策そのものを積み重ねていくわけですね。
今どうなっているかというと、OSそのものにファイアーウォールあるし、ブラウザでURLフィルターできるし、今時のOSは、セキュアOSを持っている。サンドボックスがOSに組み込まれている。
これまでネットワーク上作り上げてきたセキュリティ機能を、エンドポイントに持っていきましょうというアプローチは、だいぶ昔から始まっていて、我々はその恩恵を実際に受けているわけです。
これを組織において活用するために、脅威インテリジェンスとしてデータ収集したり、ポリシーとして反映していこうということです。
EDRとは脅威インテリジェンスを活用したもの
例えばWindows 10でのイベントログ収集とシグナルについては、画像のように機能しています。エンティティが、ポリシーによって強制アクセス制御を受けると、そのイベントログからEDRがシグナルを抽出します。
EDRは、抽出したシグナルをアラートとしてあげる。アラートの傾向を脅威インテリジェンスが学習する。ついでにEDRのベンダーが持ってるシグナルを脅威インテリジェンスに注入する。そうして新たなポリシーが動的に作成されて、エンティティに適用される。
これがEDRのあるべき姿。
サイバーセキュリティの変化
情報資産を守るためには、それを検知しなければいけない、そして迅速に対応しなければいけない。なるべく早く。24/365でなるべく早く。境界型防御でパスワードはエクセルで。それが過去の話。
最近は、攻撃面を減らそう。アンチウイルスをインストールしよう。資産管理ソフトを入れよう。USBを無効化できるやつを入れよう。パスワードだけだと危険だから、多要素認証を入れよう。これが最近。
現在は、脆弱性をなくそう、ポリシーは動的に制御していこう、パスワードレスの方が安全で利便性高いよね、ってことでここがゼロトラストコンセプトの部分。
ゼロトラストとDX
ガバナンスの話は一番最初にしたと思います。そのデータをリアルタイムで取れる状態だとどのようにポートフォリオが作られるか。これはデジタルトランスフォーメーションにもかかってくるし、セキュリティの話にもかかってくる。
ユーザーやエンティティ、サービスから、トラストどうやって確保していくか。自社だけではなく協業している会社であるとか合同会社でとか子会社であるとか。サプライチェーンのトラストどうすんねんってこと。ID連携でどのように協業作業ができているかとか、それらをリアルタイムに集約して、常にあるべき形であるということが証明できる状態にしたいというのがガバナンスの目的です。
リソース・共通ソースの利用による一貫した経営戦略と運用へのフィードバックって書いてますけど、ゼロトラストで考えていくと、セキュリティはもちろんそうだけど、コンプラインス順守に関しても当然それが確保されるし、働き方、ネットワークに縛られない、あるいはそういったデータのフィードバックがまたここにあって、それがまた帰ってくるっていうのが期待される動き。
ゼロトラストわかりましたか?
ここまでがゼロトラストの説明ですが、この資料は某マイクロソフトの某CSOの某河野さんが使った資料を盛大にまるまるパクっただけなので(本人の資料は公開されてなかった気がするが)フィードバック頂けたら河野さんに送りつけます。どおりでAzureの説明が多いわけだな。ありがとう河野さん。
で、IPAのやつ実際どうやってゼロトラで解決すんの?
ここまでのゼロトラストなんぞやを踏まえて、このアーキテクチャが脅威に対してどのように効果的なのかを、IPAの10大脅威を例に当てはめてみます。
1位: ランサムウェアによる被害
攻撃手口
ランサムウェアの代表的な攻撃手口としては、以下が挙げられます。
- メールからの感染
- 添付ファイルや本文中のリンクを開かせることでランサムウェアに感染させる手法
- ウェブサイトからの感染
- 改ざんされたウェブサイトや巧妙に模倣したウェブサイトからランサムウェアをダウンロードさせることで感染させる手法
- ネットワーク経由からの感染
- OSやソフトウェアの脆弱性が未対策のまま、ローカルネットワークやインターネットに接続しているデバイスに対して、その脆弱性を悪用してネットワーク経由でランサムウェアに感染させる手法
- 公開サーバーに対する不正アクセスによる感染
- 外部公開しているサーバーに不正ログインし、ランサムウェアに感染させる手法
入り口対策
- メールについては、添付ファイルのサンドボックス実行やリンクの接続先を評価を実施し、利用者が添付ファイルやリンクを開く前に、これらを検証する機構を有する製品を利用することで対応することができます。また、SPFやDKIM認証、DMARCなどの送信ドメイン検証を行うことで、不審な送信元からのメールを遮断することも一定の効果があります。 これらの機能を包括して提供するWebメールサービスもありますが、個別に提供するソリューションもありますので、自組織のメール環境を鑑みて構成するといいでしょう。脅威インテリジェンスと連動できると最高です。
- ウェブサイトについては、登録済みの悪性サイトや、作成から間もないまたは、所有者が変更されたばかりの信頼性が低いドメインなどへのアクセスの遮断、ダウンロードされるファイルのサンドボックス実行および、通信に含まれる脆弱性の利用を試みる通信の検出と遮断を行うことで対処できます。これらの機能は、Secure Web Gateway(以下、SWG)にカテゴライズされる製品で提供されますが、製品を導入するだけでは機能しない場合がありますので、というか全然機能しないので、適切なポリシー構成とガチガチの運用体制構築の前提を確認することをお勧めします。
- ネットワークについては、ホスト型ファイアウォールを用いて、デバイス側の受信から始まるトラフィックを必要なもの以外(可能であれば全て)を遮断することで対処できます。ホスト型ファイアウォールは、ゼロトラストの文脈においてマイクロセグメンテーションにカテゴライズされます。
- 公開サーバーについては、ログインに使用するポートへのアクセスを必要な時に・必要な期間・必要なIPアドレスだけ許可することが効果的です。これはJust In Time(JITと書いてジットと読む)と呼ばれる手法で、認証と認可を組み合わせて行うことで、不正なログインを抑止することができます。また、ファイアウォール設定にて、必要なサービスポートのみをインターネットに公開するのはもちろんのこと、サーバーで稼働しているソフトウェアやミドルウェアの脆弱性を可視化し、タイムリーにパッチ適用を行うことも重要です。サーバーの脆弱性管理は、様々な製品で行うことができますが、検出率と運用方法に焦点をあてるべきで、その対応の優先度はCVSSスコアだけではなく、世の中で実際に悪用されている脆弱性であるかについても加味して決定し、対応状況を管理することをお勧めします。
振る舞い検知
- 未だに蔓延るPPAPのお陰で、入り口対策をすり抜けてきた暗号化zipファイルやマルウェア、マクロ付きファイルについては、ファイル解凍後のローカル環境で検出するしかないので、異常なスクリプト呼び出しやC2サーバーをはじめとする外部への不審な通信などの振る舞いを検出する、EDR製品を用いて対応します。
- 「政府機関等のサイバーセキュリティ対策のための統一基準群(令和3年度版)」では、エンドポイントのデバイスに加えてサーバーに対しても基本対策事項としてEDR導入を挙げています。
- EDR製品は、その名の通り検出(Detection)と対応(Response)を行うものですが、導入するOSによって管理者側の対応が異なる場合がかなりあることに注意が必要です。Windowsでは勝手に復旧するけどmacOSだと手動とか。
- また、検出した振る舞いが誤検出であるか否かの最終判定を人が行う必要があるため、運用に携わる技術者にセキュリティの専門的な知識が求められる場合があります。道具の使い方を覚えてもどうにもならんケースがあります。そんなこんなで判断を迷っている間に侵害が進んでしまうことを防ぐために、自動対応機能で先に対処を行っておき、後から判断の結果に基づいて対応の解除を行うなど、運用上の工夫が必要な場合があります。
- 検出された内容の判断が難しい組織は、判断の部分をSOC(Security Operation Center)に委託することや、小さな組織の場合は副業や専門化への都度相談などを検討しても良いでしょう。委託前提なら頼れるところや人は結構存在しますが、丸投げなのか組織育成もしたいのか、そのへんはハッキリさせてお願いしましょう。
ローカルにファイルを保存しない
- クラウドストレージにファイルを保存し、クラウドストレージ上でファイルを編集することで、デバイスにファイルを保存することなく、多くの作業を行えます。一方で、クラウドストレージにはデバイスとファイルを同期する機能や、ファイルのキャッシュを長期間・大量に保持する機能が提供されている場合があります。まるでローカルファイルのように扱えるようにするアレです。その多くは、エクスプローラやファイルサーバーと同じユーザー体験を実現する目的で提供されていますが、同時にクラウドストレージ特有の機能が失われている側面もあります。ランサムウェア対策の観点からも、そのような機能の利用を最小限とするよう業務を調整することで、被害を最小限にできます。
ローカルファイルのバックアップ
- ランサムウェアに感染してしまった場合、暗号化によってデバイスが利用不可となっても、新しいデバイスにバックアップから復元することで、業務再開までの期間を短縮することが期待できますが、当然バックアップはクラウドに置きます。(実際には、特定・封じ込めが完了するまでは業務再開するのは難しいとは思いますが、データは確実に保護されます)
- 長期に渡って潜伏し、バックアップの保存期間が切れた頃を見計らって発動するタイプのランサムウェアも報告されています。そのため、バックアップデータにランサムウェアが含まれているかをスキャンする機能を有する製品を選定することが望ましいでしょう。
- 昨今は、暴露型のランサムウェアが台頭しています。データは窃取され、攻撃者の手元に渡っているため、被害範囲の特定が急務となります。どの程度のファイルがローカルに存在していたのか説明する目的でも、デバイスのファイルをバックアップする製品は有効に作用するでしょう。
- このあたりをまるっと解決するのがDruva inSyncなのですが、費用対効果を考えましょう。
2位: 標的型攻撃による機密情報の窃取
攻撃手口
- 添付ファイルや本文中のリンクを開かせることでデバイスにウィルスを感染させる手法。添付ファイル名は業務に関連するような内容に偽装され、実在する組織の差出人名が使われる場合もある。また、複数回のメールのやりとりを経ることで警戒心を解くようにするやりとり型攻撃もある。SNSに仕事の内容を書いてる人は要注意ですよ。
- 標的の組織が頻繁に利用するウェブサイトを特定し改ざんし、従業員が改ざんサイトにアクセスするように誘導することで、デバイスにウィルスを感染させる手法。
- 標的の組織が利用するクラウドサービスやサーバーの脆弱性を悪用して不正アクセスし、認証情報を窃取した上で、正規の経路で組織内部のシステムへ侵入し、デバイスやサーバーにウィルスを感染させる手法。
入り口対策
- メールに対してシステムとして行える入り口対策は、ランサムウェアに対するものとあまり変わりません。
- 標的の組織が頻繁に利用するウェブサイトの改ざんに対して、システムとして行える入り口対策は、ランサムウェアに対するものとあまり変わりません。
- 標的の組織が利用するクラウドサービスの脆弱性を利用した不正アクセスについては、クラウドサービスに接続するための認証をIdPを通じたSSOでのみ行うよう構成することで、認証情報をクラウドサービス側に保存しないようにできます。またIdP側では、認証の条件としてハードウェア・ソフトウェアMFAを用いた多要素認証と、接続元デバイスの状態(MDM、OS種類、OSバージョン、HDD/SSD暗号化、未対処のインシデントの有無など)を都度確認するよう構成することで、クラウドサービスに対する不正アクセスを抑止できます。
- 標的の組織が利用する脆弱性を利用した不正アクセスに対して行える入り口対策は、ランサムウェアの公開サーバーに対するものとあまり変わりません。
悪用されるOS機能の制限
- 標的型攻撃に利用されるマルウェアは、特別に用意された一点物であることが考えられます。それらのマルウェアは、OSに搭載されている標準機能を悪用して侵害を行う特徴があります。基本的に市販されているOSは汎用品であることから、様々な挙動が可能なように構成されているため、ほとんどの人は全ての機能を使うことがありません。ダウンロードしたファイルに含まれるJavaScriptや、VBマクロの利用や、OfficeやPDF表示ソフトウェアからの子プロセス呼び出し、PSExecやWMIコマンドからのプロセス作成、またはシステム領域からユーザー領域間でのファイルの相互書き込みなどが含まれます。組織の業務において必要のないOS機能を、MDMを通じて制限する設定を配信することで、攻撃面を削減することができます。
プログラムモジュールの検証
- OSで利用されるプログラムモジュールが、信頼できる組織によって署名されていることを都度検証する機能を利用することで、標的型攻撃で利用されるマルウェアによるプログラムモジュール置き換えに対応できます。実行するプログラムモジュール全てを、信頼できる組織によって署名されていることを都度検証する機能もありますが、利便性の面でユーザー影響が考えられることから、高いレベルの特権を用いた特定業務を行う端末を中心に構成するのがいいでしょう。一方で、利用者に付与する権限は最小限のものとし、高いレベルの特権を必要とする業務は、一般のオフィス業務を行うデバイスとは別のデバイスで行うなど、業務設計と業務環境の整備をする必要があります。
認証情報の利用状況の監査
- 標的型攻撃で窃取された認証情報は、正規のものであるため、ログイン失敗などの単純で分かりやすいイベントにて検出することは難しいです。一方で、攻撃者によるアクティビティは、ログインや認証の動向(送信元デバイスや認証の時間帯、数量の傾向など)が通常の利用と異なる場合が考えられます。例えば業務時間外だとか、その頻度だとか。また、ユーザーに強い特権を付与する動向についても注意を払う必要があります。そのため、IdPや統合認証基盤のログを分析し、通常の利用と異なる利用状況を検出する必要があります。おおよそのIdPはこのあたりを勝手にやってはくれますが、ログの分析は、単体のログ分析では不十分である可能性があるため、様々なユーザーの動向に関わるログを収集し、相関分析を行うSIEMを利用することが効果的です。SIEMは用途に合わせて選びましょう。ザルに設計すると湯水のようにお金が消えていきます。
認証情報の保護
- 標的型攻撃で利用されるウィルスは、デバイスやサーバーのOSが保持する認証情報や認証チケット(リモートデスクトップの認証情報を含む)の窃取を試みることが予想されます。そのため、認証情報や認証チケットをセキュアOS領域に格納し、OSベンダーによって署名されたOSプログラムモジュールからのみアクセス可能とするよう保護することも効果的と言えます。
脆弱性の管理
- ランサムウェア対策の、公開ファイルサーバー対策と同様に、OSやアプリケーションに存在する脆弱性を可視化する製品を用いて、優先順位を付けて対応する必要があります。ベースラインとして、OSのアップデートを所定の期間内に実施するようMDMを通じて構成したり、実際に世の中で利用されている脆弱性を有するアプリケーションを、MDMを通じてアップデート配信するのが効果的です。また、ゼロデイの脆弱性については、ワークアラウンドの構成変更をMDMを通じて配信することで、パッチ適用までの攻撃面を削減できます。
3位: テレワーク等のニューノーマルな働き方を狙った攻撃
攻撃手口、発生要因
- VPN等のテレワーク用に導入している製品や、Web会議サービスの脆弱性を悪用する手法。社内システムに不正アクセスしたり、デバイス内の業務情報を窃取、Web会議ののぞき見がなどがこれ。
- 急速なテレワーク移行による管理体制の不備により、意図しない情報の暴露が行われる(定義が広いけど)
- 私物デバイスをテレワークで利用する場合、私的利用のソフトウェアによってウィルスに感染したり、ソフトウェアの脆弱性を悪用したテレワーク用の認証情報窃取。
- 組織の適切なセキュリティ対策が適用されていない自宅ネットワークを利用することで、ウィルスに感染する等の恐れ。家の物理機器まで面倒みれねえよ問題。ちなみに弊社はCisco Merakiを配布してます。Merakiがこういった用途を想定しているのがまたいいですね。
セキュアネットワークプロバイダーの利用
- テレワーク用に導入している製品の脆弱性については、セキュアネットワークプロバイダー製品いわゆるSASEなやつに置き換えることで、社内ネットワークのリソースを外部ネットワークから安全にアクセスできます。セキュアネットワークプロバイダー製品は、中継装置を社内ネットワークのDMZに配置し、デバイスに導入したAgentに対して逆方向にトンネルを張ることで、デバイスからの通信を社内リソースまで疎通させます。この方式は、インターネットからのインバウンド通信を待ち受ける必要がないため、機器の脆弱性を狙った攻撃を受けにくい特徴があります。また、AgentをMDMから配信することで、会社が管理する端末からのみアクセス可能となります。MDMないと大変ね。
CASBの利用
- Web会議サービスの脆弱性自体は、サービスプロバイダの対応次第となるため、ゼロトラストの観点で行えることはリリースノートの確認とセキュリティアップデート適用の運用くらいです。
- 一方で、会社で利用を認めているWeb会議サービスを適切に利用しているかを、CASB製品を用いて監査できます。CASB製品では、組織内で利用しているクラウドサービスを評価・格付けをする機能を有しています。Netskopeの場合は制御までします。組織内で利用しているWeb会議サービスが、会社で利用を認めているもの以外をどのように利用しているか監査し、評価や格付けの値が低いサービスの利用を制限したり、組織が推奨するサービス利用を利用者に呼びかけることで、脆弱なWeb会議サービスの利用機会を減らす有効な手段となります。
レンタル/リースPCの活用とMDMの導入
- 急速なテレワーク移行による管理体制の不備として、PC調達の納期問題に直面したり、私物PCを利用せざるを得ないという時間的制約の側面があります。その点、レンタル/リースPCは調達にかかる期間が比較的短いため、MDMの導入を併せることでテレワークにおけるPC環境を迅速に用意することが可能となります。横河レンタリースには超お世話になってます。
- 私物PCを業務で利用する場合、PCのセキュリティ設定を業務利用に堪えるレベルにする必要があります。私物PCにMDMを導入することで、一定量解決することは可能ですが、私物PCのハードウェア要件が、組織が定めるセキュリティ設定を行えるものである必要があります。具体的には、Windows 10 ProでBitlocker動く、macOS Catalina以上、iOS最新版、Android Enterprise Recommendedに該当する機器であること。でもだいたいWindowsってHomeだよね問題。
- 私物PCにMDMを導入することで、利用者のプライバシー領域に会社のコントロールが介在することになります。従業員に対しては、端末紛失時のリモートワイプや端末侵害時のフォレンジックのためのPC引き渡しの同意を取り付ける一方で、会社側はプライバシーに対する最大限の配慮と努力の姿勢を見せる必要があります。経産省レポートに雛形あるので見て下さい。がんばって書きました。
ネットワークを信頼しない構成
- というわけで、SSOと多要素認証、デバイスの状態そのものを属性として認証の条件とすることに加え、ホスト型ファイアウォールを用いたマイクロセグメンテーションやMDMを通じたセキュリティ設定、EDRの配布、脆弱性の可視化と優先度を付けた対応と運用を行うことで、信頼できないネットワークであっても業務を行うに足る環境を用意できます。境界型と違ってこっちはスケールできるのでコスパがよく更に楽ちんです。
- 全てのネットワークを信頼しない構成とすることで、自宅ネットワークであっても、ウィルス感染に対する耐性を持たせられます。
4位: サプライチェーンの弱点を悪用した攻撃
攻撃手口
- 標的となる組織よりも脆弱な委託先等を攻撃し、その組織が委託業務において保有していた標的組織の機密情報等を窃取する。
- ソフトウェア開発元等を攻撃し、ソフトウェアのアップデートにウィルスを仕込むことで、アップデートを適用した標的組織に侵入する。
委託業務を行うプラットフォームの提供
- 適切にアクセス権が設定されたクラウドストレージの領域を委託先業者に提供し、重要情報を格納・管理する環境として利用してもらいます。クラウドストレージのログにて、格納されている情報へのアクセス状況やダウンロード履歴を管理することができます。ポリシーも細やかに設定できます。
- IdPに委託先業者をゲストユーザーとして登録し、委託先業者がクラウドストレージや委託業務を行うために必要なクラウドサービスへのログインを、多要素認証を伴うSSOを行えるようにすることで、ログインに関わるセキュリティの水準を一定以上に保つことができます。Azure ADはこういった用途を想定したサービスを提供していて、ライセンス費用もかからないのが強みです。
- 委託業務を行うデバイスに、委託先業者がMDMを導入していない場合、委託元がMDMの導入を主導し、セキュリティ設定を配信することで、委託業務を行うPCに業務を行う上で必要な水準のセキュリティ設定を配信することができます。設定済デバイスを渡した方が早いです。
- 委託業務を行うデバイスに、委託先業者がMDMを導入している場合、委託元が求めるセキュリティ水準と同等以上の設定がなされるよう、協議の上で取り決めることで、委託業務を行うPCに業務を行う上で必要な水準のセキュリティ設定を配信することができます。設定済デバイスを渡した方が早いです。
- 委託先業者が導入しているMDMが、委託元が求めるセキュリティ水準を満たすことができない場合、委託元は委託先業者にMDMを導入したPCを貸与することを検討しますが、とっとと設定済デバイスを渡した方が早いです。でも相手の方がセキュリティ運用回ってる可能性ありますからね。そのへんは考慮して取り決めてください。
一定水準以上のメールセキュリティ
- 「1位: ランサムウェアによる被害」の入り口対策で記載した水準のメールセキュリティを満たすよう、委託元・委託先業者間で取り決めることで、サプライチェーンにおけるメールセキュリティの水準を一定以上に保つことができます。
悪用されるOS機能の制限
- 委託業務を行うデバイスに対して、「2位: 標的型攻撃による機密情報の窃取」で記載した、組織の業務において必要のないOS機能の制限設定をMDMを通じて配信することで、攻撃面を削減できます。
- また、アップデートに含まれるウィルスについても、組織のデバイスを攻撃面が削減された環境とすることで、その活動を妨げることが期待できます。
振る舞い検知
- 「1位: ランサムウェアによる被害」で記載した、振る舞い検知機能を有するEDR製品をMDMを通じて配信することで、アップデートに含まれるマルウェアやプロセスの不審な挙動を検出・制御することが期待できます。
アプリケーション内で呼び出すモジュールに対する署名の検証
- アプリケーション内で利用するモジュール全てを署名し、モジュール呼び出しの際に署名が検証されない限り、アプリケーションが実行されないよう実装することで、アップデートに混入したマルウェアが動作する機会を削減することが期待できます。
5位: ビジネスメール搾取による金銭被害
攻撃手口
- 取引先との請求に係わるやりとりをメールで行っている際に、攻撃者が取引先になりすまし、口座に差し替えた偽の請求書を送りつけ、振り込ませる手法。メール辞めよう問題。
- 組織の経営者になりすまし、従業員に攻撃者の用意した口座へお金を振り込ませる手法
- 従業員のメールアカウントを乗っ取り、その従業員の取引実績から組織の担当者へ偽の請求書等を送りつけ、攻撃者の用意した口座へお金を振り込ませる手法
- 社外の権威ある第三者へなりすまし、組織の事務担当者に対して、攻撃者の用意した口座へお金を振り込ませる手法
- 標的組織の経営者や経営幹部、または人事担当などの特定任務を担う従業員になりすまし、組織内の個人情報を窃取する手法
メールアカウントの適切な管理
- メールアカウントへの認証は、IdPを用いたSSOと多要素認証、およびデバイスの状態を認証の条件とすることで、メールアカウントを窃取する攻撃の被害を受ける可能性を低減することができます。完全に無くならないのは、例えばスマホアプリでログイン許可させるポチーボタンが出てくるものを使ってるとして、なんかしらんけど通知来てなんもしてないけど許可してくれってでたから許可しましたみたいなアホらしいケースもありえるし、ロケーションでも引っかからない場合もあるからなのですが、とはいえ無いよりは遥かに効果でますね。
一定水準以上のメールセキュリティ
- 口座変更などの金銭に係わる重要なやりとりについては、「1位: ランサムウェアによる被害」の入り口対策で記載した水準のメールセキュリティを満たすことに加え、S/MIMEやPGPによるメールの署名を要求することで、攻撃者による取引先へのなりすましを困難にすることができます。PGPいろいろ大変だしオススメしたくないけどS/MIMEというかDKIM認証はGmailとかでも出来るのでやりましょう。(Google Workspace)
別チャネルでの確認
- 金銭に係わる重要なやりとりを行う相手に対して、事前に複数の連絡手段を取り決めておき、口座変更や急な入出金などの金銭に係わる重要なやりとりにおいては、やりとりが生じた連絡手段とは別のチャネルを用いて、事実の確認を行いましょう。また、事実の確認においては、金融機関に対する照会も含まれます。信頼することができるレベルに達するまで検証を重ねるアプローチは、ゼロトラストの概念そのものと言えます。
- なお、無条件に信頼してよいチャネルはありませんが、その中でも事実確認に用いるチャネルは、事前に本人確認を行うことができる電話などとして、なりすまし投稿が容易なSMSや本人確認が難しいSNSの利用は避けることが望ましいでしょう。
職務分掌と透明性
- 個人の判断や指示で取引先口座の変更や金銭の移動が行えないように、意思決定者と作業者を分離するよう業務フローを構築することが、判断ミスやなりすましが介在する余地を減じる効果があると言えます。
- 取引先口座の変更や一定額以上の金銭の移動の際は、複数人による意思決定の証跡と、作業実施者と立ち会いの証跡を履歴として残すことで、オペレーションの透明性を確保することができます。
6位: 内部不正による情報漏洩
攻撃手口
- 付与されたアクセス権限を悪用し、組織の重要情報を窃取する手法
- 組織の離職者が、在職中に割り当てられたアカウントの悪用する手法
- 内部情報をUSBメモリやHDD等の外部記憶媒体、メール、クラウドストレージ、スマホカメラ、紙媒体等を利用して、外部に不正に持ち出す手法
外部記憶媒体の利用制限
- 業務データにアクセスするデバイスにMDMを導入することで、USBメモリや外部記憶媒体の利用を制限できます。MDMは、外部記憶媒体を利用禁止・読み取り専用・読み書き可能の設定を配信できます。また、外部記憶媒体の利用制限だけでなく、個人のOne DriveやiCloudへのバックアップを制限することも併せて行うと良いでしょう。
- スマホにMDMを導入し、監視モードやフルマネージドに設定することで、ストレージや外部記憶媒体へのファイル保存を制限できます。後から監視モードやフルマネージドに設定する際は、スマホを初期化する必要があるため、チャレンジ精神もりもりの組織ではたまにこれをやったりしますが、利便性や手間を考慮すると、新規で支給する会社支給のスマホに適用することになるでしょう。
- 一方で、「2位:標的型攻撃による機密情報の窃取」の入り口対策で記したように、業務データを格納するクラウドサービスや社内リソースに対する認証の条件として、接続元デバイスの状態(MDM、OS種類、OSバージョン、HDD/SSD暗号化、未対処のインシデントの有無など)を都度確認するよう構成し、外部記憶媒体の利用制限がかかっていないデバイスからの接続を制限することも必要です。社内リソースに対する認証の条件を追加する手法としては、MDMから配布されるセキュアネットワークプロバイダー製品や、Software Defined Perimeterを用いることが考えられます。いわゆるSDPです。SDPは、社内リソースにアクセスする際に、デバイスに導入したAgentを通じて中継装置に端末の状態情報を送信します。SDPの中継装置は、端末の状態が予め定めた水準に達していることを都度確認した上で、社内リソースへのアクセスを許可します。
- またEDRによっては、EDRのサブ機能としてUSBメモリや外部記憶媒体のマウントやファイル書き込みを検出・記録するものがあります。USBメモリや外部記憶媒体の利用が避けられない場合は、こういった機能を用いるか、専用の操作記録を取得するツールの利用を検討すると良いでしょう。
- ちなみにオススメSDPは、AppGateSDPです。
スマホへのデータ保存の制限
- 初期化を伴う監視モードやフルマネージドに設定することが難しいスマホについては、Mobile Application Mangement(以下、MAM)に対応したアプリケーションを用いることで、ローカルや外部記憶媒体、およびMAMで管理されていないアプリケーションへのファイル転送やクリップボードのペーストを制限できます。MAM対応アプリケーションの配布のためにMDMの導入を伴うことがありますので、業務で利用するスマホへのMDM導入は必要な物と考えた方がいいでしょう。MDMとMAMを一緒に提供しているサービスもあります。が、一長一短です。一方で、スマホで行う業務は、MAMに対応しているまたは、スマホへのデータダウンロードを制限可能なクラウドサービスを扱うものに限るよう業務設計を調整する必要があります。BoxやSlackなどのエンタープライズ利用の多いクラウドサービスには、MAM向けの専用アプリを提供してたりします。
- また、Androidについては、MDMと仕事用プロファイルを利用することで、管理対象アプリケーション以外へのデータの移動を制限できます。
クラウドサービスへのデータ流通の可視化と制限
- CASBやSecure Web Gatewayを用いて、デバイスからクラウドサービスやWebサービスに流通するデータを可視化し、制限あるいは制御できます。CASBやSecure Web Gatewayは、暗号化通信を復号し、閲覧やダウンロード、アップロード、削除などのアクティビティを把握するのに役立ちます。クラウドサービスやWebサービスへのデータがどのように流通しているのかを踏まえて、組織で認めていないクラウドサービスやWebサービスへのアクセスやファイルのアップロードを制限することで、組織のデータの持ち出しを抑止できます。一方で、暗号化通信を復号するという性質上、パフォーマンスの低下や一部サービスの利用に影響が生じる可能性があることに留意する必要があります。銀の弾丸ではないぞってことですね。
- ファイルのアップロードやダウンロードの動向を分析することで、ファイルの持ち出しを検出できます。ユーザーに係わるファイルの動向は、CASBやSecure Web Gateway製品が提供するインテリジェンス機能を用います。加えて、CASBやSecure Web Gateway製品のログに対して、退職者や、問題行動が報告されている従業員を中心に分析することで、退職間際や報復などの契機で行われるデータ持ち出しを抑制できます。Microsoftのインサイダーリスクマネジメントがこれにジャストなサービスですが、MS365の環境内で閉じていたりまだまだの部分もあってこれからだなって感じです。しかしアップデートが多くて期待してます。
- スマホにもCASBやSecure Web Gatewayを導入できます。しかし、暗号化された通信内容を復号する性質上、プライバシーに大きく踏み込むことになるため、その利用には十分な注意と最大限の配慮が必要となります。iPhoneの場合、VPNプロファイルとして機能する点も注意。そのため、通信内容を監査・制御する方式とするか、前述のMAMや仕事用プロファイルを用いて、いかにデータを業務で利用する領域から出さないように設計するかの選択を迫られることになります。MAMすごく良いんですけどコスパがね。万人に勧める物じゃない。
スマホで利用できる機能の制限
- MDMを導入し、監視モードやフルマネージドに設定することで、スマートホンのカメラ機能や印刷機能の利用を制限できます。前述のとおり、後から監視モードやフルマネージドに設定するためには、スマホを初期化する必要があります。また、カメラが利用できないことによる利便性の低下も無視できません。カメラ機能の制限を行う際は、業務環境と取り扱うデータの性質を考慮した上で、一律のプロファイルとせずに業務影響を鑑みて決めていきましょう。
印刷記録の取得と分析
- Windowsの場合は、イベントログに設定を行うことで、印刷したファイル名やプリンタ名をイベントログに記録することができます。イベントログは、ログ収集ツールを用いて収集することができます。一般的にはMDMで制御します。
- macOSの場合は、印刷には一般的にInternet Printing Protocolが利用されます。EDRを用いてInternet Printing Protocolの通信を監査することで、印刷記録の取得は可能ですが、独自プロトコルや独自アプリケーションを用いた印刷については、個別に調査する必要があります。
- 収集したイベントログやEDRのログをSIEMを用いて分析することで、印刷に係わる動向の変化を検出できます。ただし、これらのログは、量の多さからコストがかさむ傾向があるため、保存期間や収集するログの種類を必要なもの、必要な期間に限るよう検討しましょう。
最小権限の原則と特権の時限的利用
- 管理者、利用者問わず、割り当てる権限は必要最低限のものにすることで、必要以上のデータにアクセスできる機会を減らせます。業務を行う上で、高いレベルの特権を常に利用する必要がない場合、一時的に特権を付与する方式とすることで、特権の利用状況を監査することができます。これを、Privileged Identity Managementと言います。特権利用時の記録がなされること、承認プロセスを経ることで、内部犯を試みる従業員が思いとどまる効果も期待できます。弊社の場合は特権利用の場合、SlackのAppによってインタラクティブかつオープンな場で申請・付与・剥奪を行っています。全部じゃないです、業務影響やばいやつだけです。
SSOの徹底
- 業務で利用するクラウドサービスやWebサービスのログインを、IdPを用いてSSOを構成することで、組織が管理するIDを一元管理できます。退職時にはIdPが参照する対象のユーザーを停止することで、クラウドサービスやWebサービスのアカウント剥奪忘れがなくなります。
- SSOに対応していないサービスについては、IdPとブラウザ拡張を連携した機能を用いてパスワードの代理入力を行う機能を利用するか、当該サービスの利用の見直しすることをお勧めします。弊社は1PasswordからのLastPassからのKeeper Securityで落ち着いてます。
7位と8位も対象なのではと言われましたが
7位の予期せぬIT基盤の障害に伴う停止は、オンプレをクラウド化することでオンプレ側の障害は回避できるものの、クラウドに障害がないわけでもないし、クラウド側の障害に対応するかは費用対効果があってこその部分であって、なんでもかんでも冗長化しろって話でもないので、ゼロトラストの範囲ではあるもののコスト度外視感が否めなかったので外しました。
8位のインターネット上のサービスへの不正ログインは、一般消費者から見たときの話だと思って外しています。ゼロトラストの適応範囲は組織のもつIT資産が対象です。組織側からのインターネットサービスへの不正ログインについてはゼロトラストの範囲です。統合ID管理基盤による強制アクセス認証が行えるかどうかにかかってます。
見方によっては7位も8位も対象内と見えますね。
9位: 不注意による情報漏えい等の被害
要因
- 個人情報や機密情報を取り扱う従業員のセキュリティ意識の低さや認識不足から、不用意な扱いをした結果、情報を漏えいが起こる。
- 体調不良や多忙等、従業員の置かれた状況が影響し、メール誤送信などにより情報漏えいが起こる。
- 組織内の重要情報の定義や取り扱い規定、および持ち出し手順のプロセスに不備がある場合、カジュアル情報漏えいが起こりやすい
クラウドストレージを用いたファイル共有
- そもそもメールは安全な連絡手段とは言えなくなってしまいました。中継するメールサーバーによっては、暗号化が行われず、メールの内容を傍受することも可能です。また、メーラーのサジェスト機能によって、容易に宛先を誤る一因にもなっています。S/MIMEやPGPで暗号化することなく、機密情報をメールで送信することそのものが誤りであると言えます。一方でS/MIMEやDKIM認証はともかくPGPは運用負荷が高いので、一概に利用を推奨することは難しいというか俺だったらやりたくないぴょん。そこで、適切に構成したクラウドストレージの領域にファイルを授受する取引先を招待し、認証を経た上でファイルにアクセスさせることで、安全にファイルを授受することができます。
- クラウドストレージに招待したユーザーに、アクセス時の多要素認証を要求するよう構成することで、クラウドストレージに共有したファイルのURLを記載したメールを誤送信しても、クラウドストレージ上のデータにアクセスされることを抑止できます。
- クラウドストレージは、ファイルの操作履歴を記録し、バージョン管理も行います。そのため、クラウドストレージに共有したファイルのURLを記載したメールを誤送信しても、誰がどのファイルを閲覧・編集・ダウンロード・削除などを行ったのかを監査し、必要に応じてアクセス権限を変更したり、以前のバージョンに戻すことが可能です。
- クラウドストレージでのファイル授受ができず、やむを得ずUSBメモリを用いる場合は、USBメモリを暗号化し、その復号に用いる鍵を本人に確実に到達したことを確認できる経路で引き渡すことが必要です。その経路は、暗号化されたメールや電話によるコールバック確認を経た上でのSMSなどが挙げられます。SMS単体はやめましょう。
メールの添付ファイル分離
- メールにファイルを添付する習慣から、うっかりメールにファイルを添付してしまうこともあると思います。うっかりさんですから。その場合は、添付ファイルを自動的にクラウドストレージに格納し、クラウドストレージの共有リンクに置き換える製品を利用することで、誤送信発覚後に共有リンクを削除する対応を取れます。クラウドストレージのファイル操作履歴を確認することで、誤送信メールに含まれる共有リンクにアクセスされたか否かを確認することができます。mxHeroで実現します。
- このように、よく構成されたシンプルなシステムは、利用者のリテラシーに依存することがない点で、ゼロトラストでも求められる点と言えます。
重要情報の定義とDLPを用いたデータの流通の制限
- 組織で重要情報を機械的に識別できるレベルで定義できる場合、DLP(Data [Loss|Leak] Preventation)機能を有するCASBやSecure Web Gateway製品を用いてデータの流通を制限することができます。機械的に識別できるレベルとは、具体的には辞書に登録した文字列や正規表現で該当した文字列が一定以上の頻度で出現するファイルを重要情報として定義できることを示します。以前からデータのラベル付けを行っている組織は、そのラベルに基づいて、重要情報を識別することができます。識別された重要情報は、組織の管理するクラウドサービスやWebサービス以外への流通を検出・制限することができます。
- 一方で、データに付与されたラベルに基づいて暗号化を行い、認証と認可を経てデータのアクセスを許可し、利用終了時に再び暗号化する製品も広義のDLPと言えます。この場合においては、手動でのラベル付与は、誤りや付与忘れの要因となるため、自動的にラベリングする機能が必要となります。自動的なラベリングの際は、前述のとおり、重要情報を機械的に識別できるレベルで定義する必要があります。
- 単純な暗号化は、データを利用するために復号された後、利用者による再暗号化がされることはありません。また、暗号化されたファイルにどのようなデータが含まれているかの監査ができず、重要情報としてその流通を把握できません。そのため、単純な暗号化はDLPとは言えません。ちなみにDLPは暗号化の話ではありません。
クラウドストレージにおける公開範囲の監査
- クラウドストレージで共有しているファイルの公開範囲が適切であるかどうかを、API型のCASBを用いて監査できます。誤ってインターネットから閲覧可能な設定や、URLさえ知っていれば誰でもアクセスできる設定としているファイルがあるか、CASBにお任せできます。
デバイス暗号化と生体認証
- 不注意による端末の紛失に備えて、MDMを通じてデバイス内データの暗号化を強制するよう構成できます。また、IdPやSoftware Defined Perimeterの認証の条件として、デバイス暗号化を指定するのも良いでしょう。
- デバイスの認証には、IDやパスワードではなく、PINや生体認証、多要素認証を用いるよう構成することで、拾得者によるPC内のデータへのアクセスを防ぐことができます。
- もしもデバイス内に個人情報が含まれていた状態で紛失しても、Bitlockerなどによるデバイス暗号化が行われていることを証明できるならば、情報漏えいにあたりません。どっかのタイミングからそうなったのですが、細かいことは忘れました。
10位: 脆弱性対策情報の公開に伴う悪用増加
攻撃手口
- 対策前の脆弱性(Nデイ脆弱性)を悪用する手法
- 公開されている攻撃ツールの使用
脆弱性管理とワークアラウンド設定の配信
- 脆弱性を検出する機能を有する製品は、組織内のサーバーやデバイスのインベントリ情報(OSバージョンや導入しているアプリケーションのバージョン)に基づいて、現在組織が保有するサーバーやデバイスの脆弱性を可視化し、スコアリングします。検出された脆弱性は、記載されているパッチ情報やワークアラウンド情報に基づいて対応できます。パッチやワークアラウンド設定は、MDMやサーバーの構成管理ツールを用いて配信・適用するのが良いでしょう。また、対応の優先度は、CVSSスコアだけでなく、脆弱性を検出する機能を有する製品が提供する、現在世の中で利用されている脆弱性であるか否かのレポートを基に判定することが望ましいと言えます。個々のCVSSスコアが低い脆弱性を組み合わせて攻撃を達成する手法もあることから、現在利用されている脆弱性を優先的に対応する意義はあります。
- 一部のEDR製品では、OSから上位レイヤーの脆弱性管理だけではなく、チップのファームウェアまでを対象とするものもあります。更に、ハードウェアのファームウェアを専門にしたサービスもあったりしますが、国防レベルや要求の高い現場で使われているくらいで一般的ではありません。
マイクロセグメンテーション
- 「1位: ランサムウェアによる被害」の入り口対策で記載した、ホスト型ファイアウォールを用いたマイクロセグメンテーションを徹底することで、サーバー、デバイスにおける脆弱性を暴露する攻撃面を削減できます。
悪用されるOS機能の制限
- 「2位: 標的型攻撃による機密情報の窃取」で記載した、組織の業務において必要のないPCにおけるOS機能の制限設定をMDMを通じて配信することで、攻撃面を削減できます。
EDRの活用
- 公開されている攻撃ツールの挙動は特徴的なことから、その振る舞いをEDRを用いて検出できます。すべてのEDR製品が備えている機能ではありませんし、EDRは万能ではないので頼り切るのもお勧めしませんが、そのような機能を有するEDR製品を採用することで運用の手助けとなるなら検討の余地有りです。
ゼロトラストは高いとかお金がないとか言いますけど
そもそもこんなに広い範囲で対策してて、利便性まで向上してって、そらそうでしょうというか、個別でやっていったらもっとお金かかりますよって話です。言い切りますが、ゼロトラストを目指すことによるコスト増はないどころか下がるくらいだと思ってもらった方が良いです。何でもかんでも積み上げるから高くなる。時代に合わないものは捨てましょう。
弊社のゼロトラスト環境はこうなってます
詳しくはWebで。
ババーッと書いたので誤字脱字・指摘あると思いますが
ちゃんと反映していきますのでフィードバック大歓迎です