この記事の目次
境界型防御では攻撃を防げなくなったため、守る対象をより細かくするゼロトラスト型防御へ
ディスカションは、モデレーターであるヴイエムウェア株式会社 首席セキュリティビジネスアーキテクト 井部 俊生による、最近のセキュリティ動向に関する問いから始まりました。これに関しては、国立研究開発法人 情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティネクサス ネクサス長 井上 大介氏が、サイバー攻撃の動向とゼロトラストへの潮流という内容で解説しました。
ヴイエムウェア株式会社 首席セキュリティビジネスアーキテクト 井部 俊生
井上氏は「情報通信研究機構(以降、NICT)は、2005年頃からNICTER(ネクター)という無差別型サイバー攻撃の観測分析システムを運用していて、昨年2021年は5180億パケットの攻撃を観測しました」と語り、ここ10年は右肩上がりで攻撃が増えている様子を紹介しました。井上氏によれば、家庭のブロードバンドルーターの入り口とかオフィスでIPアドレスを使っているなら、大体1アドレスあたり年間180万、18秒に1回の攻撃に換算できると言います。
このためいろいろな防御対策がなされてきましたが、井上氏はここで従来の方法を「境界防御」型として、ネットワークを内と外で分け組織内のネットワークを静的に保護するものと、その概要を説明しました。これで対応できていた時期もあったのですが、クラウドや仮想環境の活用、業務でのメール利用の増大、サプライチェーンによって組織が横方向にどんどん広がるなど、今まで「内」としていたネットワーク境界が曖昧になってきました。そのため攻撃者の侵入をネットワーク境界で完全に防ぐことが困難になってきたと言います。
国立研究開発法人 情報通信研究機構 サイバーセキュリティ研究所
サイバーセキュリティネクサス ネクサス長 井上 大介氏
そこで新たに提唱された防御策が、ゼロトラスト・アーキテクチャです。「内や外といった場所を守るより、守る対象を細かくして1個の計算リソースやデータリソースといった単位から守るという考えです」と井上氏はその概要を説明しました。具体的には2020年、米国立標準技術研究所(NIST)から「SP800-207、Zero Trust Architecture」という書面が発行され、セキィリティ界で一気にゼロトラストは話題になりました。そこには、細かなリソースを守るという手法に加え、全ての通信の安全性を確保、セッション単位のリソースのアクセス許可など合計7つの指針が示されています。
インシデント発生から、如何に速く復旧して被害を最小にするかの解答がゼロトラストだった
ゼロトラストを推進している株式会社東芝 サイバーセキュリティセンター長 天野 隆氏は、導入に至った背景を「いかにインフラを止めないか」に注目したと述べました。東芝グループはセキュリティのインシデントについては、2年前から「サイバーレジリエンス」というコンセプトで備えています。
サイバーレジリエンスはインシデントに備えて影響を最小化して早期に回復する能力とその成熟度向上を意味し、東芝ではその対策に努めています。インシデントが発生すると、どうしても生産性が落ちます。ですから生産性をできるだけ落とさない、早期回復を目指し生産性が落ちる期間を短くするという取り組みが進められているのです。
株式会社東芝 サイバーセキュリティセンター長 天野 隆氏
こうした取り組みで影響の最小化は目指せますが、それでも一番の脅威は何かというと、天野氏は「一度、境界から入られた後、攻撃者にラテラルムーブメントされることが一番の脅威でした」と語りました。ラテラルムーブメント(Lateral Movement、横方向への移動)とは、企業や組織のネットワークに侵入したマルウェアが、組織内ネットワークに広がり広範囲に悪影響を及ぼすことです。
同社グループはグローバルネットワークで繋がっていますので影響の調査も広範囲に及び、1回入られると調査に数ヶ月かかることもあります。また復旧にも、多くの時間がかかります。このため天野氏は「ラテラルムーブメントされないための、一つの手段がゼロトラスト化という考え方でした」と述べました。
またゼロトラストの考え方は、これからの企業のIT資産活用にも重要になると、アクセンチュア株式会社 テクノロジー コンサルティング本部 セキュリティ日本統括 マネジング・ディレクター 藤井 大翼氏は述べます。藤井氏は「DXやSaaSの活用などを考えると、ゼロトラストの考え方は非常に重要と思っています。ネットワークの設計をゼロトラスト中心に考えることは、セキュリティ以外の観点からも非常に重要と思っています」と主張しました。
アクセンチュア株式会社 テクノロジー コンサルティング本部
セキュリティ日本統括 マネジング・ディレクター 藤井 大翼氏
場所に左右されずマルチクラウドでも可能なゼロトラスト、VMwareの取り組み
こうしたゼロトラストの潮流に対してVMwareの取り組みが紹介されました。ヴイエムウェア株式会社 セキュリティ事業部 SE ディレクター 奥野木 敦は「テレワークが一般化しつつある中、色々なお客様と話をしますと、従業員の働く環境をより進化させたいという声が増えてきています」として、従業員の働く場所に関係なくゼロトラストをサポートできる「Anywhere Workspace」というソリューションを紹介しました。
ヴイエムウェア株式会社 セキュリティ事業部 SE ディレクター 奥野木 敦
Anywhere Workspaceは3つのテクノロジーからなるもので、エンドポイントの保護は「Carbon Black Cloud」、アプリケーションへのアクセス経路に関するセキュリティは「VMware SASE」、認証やデバイス管理は「Workspace ONE」です。この3つは1つひとつでも利用できますが、3つ連携することで「ゼロトラスト環境を迅速に展開・維持できる形になっています」と奥野木は述べました。
最近の企業ITシステムは、オンプレミスやマルチクラウドのミックスも多く、こうした環境におけるゼロトラストについては、ヴイエムウェア株式会社 ネットワーク&セキュリティ技術本部 本部長 大平 伸一は、VMware NSXを利用したマルチクラウドへのサポートを紹介します。
ヴイエムウェア株式会社 ネットワーク&セキュリティ技術本部 本部長 大平 伸一
今やアプリケーションやデータはオンプレミスのデータセンターだけではなくIaaSやSaaS基盤にも存在します。そのためセキュリティの管理は複雑化しており、それを別々の管理者が別々のセキュリティサービスによって運用するのはとても困難です。
大平は「ハイパーバイザーを活用してマイクロセグメンテーションをファイアウォールで実現します。そしてハイパーバイザーのレイヤーでIDS(Intrusion Detection System:不正侵入検知システム)やIPS(Intrusion Prevention System、不正侵入防止システム)を提供します。さらに未知の攻撃を検出できる弊社のAIエンジンを用いたEDR(Endpoint Detection and Response、端末監視機能)とNDR(Network Detection Response、ネットワーク危険検知機能)によって、攻撃を防ぐことができます」とVMwareのソリューションで一括したサポートが可能なことを説明しました。
加えて、クラウドやコンテナが仮装基盤上で動作していることに注目し、ハイパーバイザーレイヤーにセキュリティ機能をビルドインし、セキュリティの強化や効率的でシンプルな運用を目指しています。「あらゆる場所で動くアプリケーションやデータを、一元的にセキュリティ管理者が可視化でき、インシデント発生時には迅速な対応ができる。これらを我々の強みとして提供したいと考えています」と大平は語りました。
ゼロトラスト実現のポイントは、教育・シンプルなシステム・段階的な導入
ゼロトラスト環境の実現を目指すには、必要な人材の育成や適切な運用方法を知ることも重要です。井上氏は、NICTの人材育成について紹介しました。NICTでは、セキュリティに関するトレーニングや演習のノウハウを新たに「CYNEX(サイネックス)」という組織に集め、サイバーセキュリティ人材育成の産学官の結節点として開放しています。
現在、SOCの人材育成は、CYNEX内のサブプロジェクト「Co-Nexus S」というセクションが行なっています。オンラインで100時間分ぐらいのSOC自主学習ができるシステムがあり、優秀な人はNIST内のオンザジョブ解析チームに参加して、国内の脅威情報の発信といった業務を一緒に行なってもらうなどでスキルアップを図っています。
東芝では、同社内に独自のセキュリティ資格認定制度を設けて、(1)教育の受講、(2)社外資格、(3)実務経験などを勘案して、各グループ会社のCISOが個々人に資格の認定をしています。本制度は2021年から開始され、初年度700名ほどが認定されました。人材を育成し、それを資格制度などで認定するという流れが、人材の定着に役立つことが良くわかります。
ゼロトラストの推進には、人材の存在のみならず、適格な運用も大切です。これについては藤井氏が「ワンチーム」「アーキテクチャの幹はシンプルに」という提言を、天野氏は「ゼロトラストシフト」という運営方法を紹介しました。
藤井氏は、ゼロトラストの導入を実際進めると、実務のメインはネットワークとインフラのチームであることが多いと言います。「セキュリティ関連の方々がどんなに頑張っても、ネットワークや周辺のインフラ部隊、アプリケーションの人たちがついてこないとゼロトラストの導入はできません。ですから関係者が皆ワンチームになって、横の連携をしっかり取りながら進めていくことが大切です」(藤井氏)
ゼロトラスト・アーキテクチャの構築では、システムの「幹」になる部分について、藤井氏は「シンプルに構成するのが良い」と言います。幹の導入では、いろいろな製品を比較検証しますが、その結果マンダラのように複雑になってしまうことがあると言います。幹の部分が複雑ですと、運用負担がかかり、インシデントが発生すると調査にとても時間かかることがあります。藤井氏は「幹となる部分を如何にシンプルにするかは、非常に重要なポイントではと思います」と重ねました。
東芝が取り組む「ゼロトラストシフト」は、グループや組織を一気にゼロトラスト化するのではなく、拠点とか組織の要素毎にゼロトラスト化を行ない、最終的にはセキュリティゲートウェイを統合するものです。天野氏は「我々は、一つの分社会社のソフトウェア開発環境をゼロトラスト化することに成功しました。そこでこの事例をベースに、拠点とか要素単位でゼロトラスト化していけば、やがて全て統合できるというフィージビリティが得られました。現在はこのゼロトラストシフトで進めています」と説明しました。
ゼロトラストの取り組みをさらに推進していくには
必然性、有用性、具体的なソリューション、効果的な取り組みのための人材や運営方法など、ゼロトラストのいろいろな点について議論が交わされましたが、終盤はゼロトラストのさらなる推進について各人から貴重な意見が出ました。
議論されたのは推進を阻む壁についてです。ゼロトラストの推進には、いろいろ気にかかることがありますが、一番の壁は経営層の投資判断ではないでしょうか。藤井氏はVMwareにも汗をかいて欲しいとし、「ゼロトラストは大きなシステムの変更になりますので、やはり経営層といった予算を握っている方を味方につけないと前に進めにくい。私たちは、VMwareや他の企業さんやメーカーさんから、たいへん優れたゼロトラストのビジョンをお聞きします。これを現場のメンバーだけではなく、企業の上層部とか経営層にぜひ伝えていただけると非常に良いと思っています。ビジョンを伝えられた経営者のが、非常に素晴らしいと評価し、ゼロトラストが一気に進んだ例もあります」とコメントしました。
これに対して奥野木は「VMwareといたしましても、最近CISOの方からお悩みを聞いたり、我々からの提言をさせていただいたり、ディスカッションを進めさせていただいています」とし、今後も努力をしていきたいと返答しました。
ディスカッションの最後にモデレーターの井部は、井上氏にゼロトラストに関する提言を求め、井上氏は次のように語り、ディスカッションを締めくくりました。
「ゼロトラストは、一つひとつの技術要素を見てみると、通信の暗号化、認証認可、ログの取得など前々から言われてきたことの集大成です。ゼロトラストを正しく導入して運用するには、コンセプトを経営層も現場も理解する必要があります。つまり、ゼロトラストは人とセットになっていると思います。人がちゃんと理解して、人が組織の中に浸透させて、人がデプロイして、人が運用する。日本企業の素養として、セキュリティの人材育成も含めゼロトラスト環境を作ることは非常に重要と思います」
