拡大し続ける攻撃対象領域が浮き彫りにするゼロトラストの必要性
本ブログ記事は、2021年6月22日に米国で公開されたBlackBerryのブログ記事の抄訳版です。原文はこちらからご覧頂けます。
企業の攻撃対象領域は、ビジネスコンピューティングの歴史で前例がないと思えるほど、ここ数年で大きな変化と拡大を遂げました。
1970 年代、1980 年代、1990 年代について考えてみてください。コンピューティングシステムは容易に信頼できたように思われます。単純すぎる考えかもしれませんが、概して今よりもシンプルな時代でした。通常、ユーザーは 1 台のデスクトップコンピューターで仕事をこなし、営業職のユーザーや顧客と一緒に現場で働くユーザーはノートパソコンを使用していました。仕事のアプリケーションとデータには、1 つのネットワークからアクセスしました。現在の生活は昔と比べるとはるかに複雑になり、リスクも高くなっています。
当時、データとシステムを保護するために必要としたのは、アプリケーションと他のネットワークリソースへのアクセスに使用する、少数のユーザー名とパスワードだけでした。ネットワークファイアウォール、エンドポイントアンチウイルス、VPN が企業の境界を保護していました。ユーザーは少数のパスワードを記憶するか、ほとんどのアプリケーションで 1 つのパスワードを使い回していました(憂慮すべきことに、ユーザーの 53% は今でもそうしています)。
現在の攻撃対象領域はより広範囲にわたり、急速に拡大しています。脅威アクターは日を追うごとに巧妙かつ独創的になり、間違いなくより冷淡になっています。こうした状況の変化は、ユーザーとユーザーがアクセスするリソース(ネットワーク、デバイス、アプリケーション、データ)の間の信頼関係に深刻な影響を与えています。そのため、まったく新しいセキュリティのアプローチが求められています。
ユーザーのエンドポイントセキュリティは企業のセキュリティ
今日の社員は、タブレットやスマートフォン、ラップトップ、あるいはデスクトップを使用して企業のリソースにアクセスします。社員によるアクセスは、自宅、レストラン、他の公共場所のネットワークなど、さまざまなネットワークを介して行われます。現在、社員がアクセスするアプリケーションはオンプレミスであり、それに加えて多数のクラウドサービスプロバイダーを利用できます。これだけでも企業の攻撃対象領域は大幅に増えますが、企業が直面している問題はそれだけではありません。
社員(特にリモートワーカー)は、スマートウォッチからホームネットワーク上のIoTデバイス(スマートスピーカー、テレビ、照明、玄関のベル、ベビーモニターなどの機器)に至るまで、リスクを高め得るあらゆるタイプのデバイスに接続しています。安全でない状態に置かれた場合、こうした「つながったモノ」すべてがネットワークを危険にさらすことになります。
これは重大事ではないでしょうか。従業員の IoT デバイスがセキュリティ侵害を受けた場合、起こり得る最悪の事態は何でしょうか。それは、エンドポイントと企業リソースのセキュリティにどのように関係するのでしょうか。
残念なことに、大いに関係します。IoT デバイスのセキュリティが侵害されると、攻撃者はそこを起点にして従業員の個人用デバイスに足場を確保し、ネットワーク上のトラフィックを監視して、そのネットワーク上にあるコンピューティングデバイスにアクセスしようとします。攻撃者は保存されているパスワードを盗み出し、そのユーザーの仕事上のエンドポイントにアクセスすることができます。最終的には、そのデバイスと接続していれば、どこにあるどんなものでもアクセスできるようになり、その対象には企業ネットワークも含まれます。
推測を述べているのではありません。スマートビルディングデバイスからスマートカー、スマートホームハブ、ベビーモニター、さらにはインターネットに接続された魚飼育用の水槽に至るまで、IoT デバイスに対する多くの攻撃を私たちは目撃しています。企業のコンピューターやネットワークに対して攻撃者が使用していたすべての戦術が、今では IoT デバイスやホームネットワークで使用されています。
IoT デバイスに伴うセキュリティ上の懸念にもかかわらず、これらのデバイスは生活に浸透しています。在宅勤務も定着しており、娯楽、仕事、プライベートを問わず、ネットワーク上のデバイスの数は増え続けます。
組織は、自宅使用のラップトップにアンチマルウェアソフトウェアをインストールし、VPN などの防御策の使用を強いることで、自社のリモートワーカーを保護しようと努めてきました。Microsoft の最近のレポートによると、IT 専門家が抱く重大な懸念の 1 つとして、企業の境界のように十分な保護策が取られていないホームネットワークを使用して社員が仕事のリソースにアクセスすることが挙げられています。
成功を左右するゼロトラスト
厄介で損失の大きいデータ漏洩を回避するために、企業はシステム保護の新たな方法を見つける必要があります。ネットワークに接続されている IoT デバイスに攻撃者が侵入し、コンピューターのエンドポイントと関連している資格情報を盗み出すことに成功すれば何が起こるか考えてみてください。攻撃者が企業の内部ネットワークに到達し、そこで見つけたあらゆるものにアクセスしてダウンロードするのは時間の問題です。
この状況が変わることはなく、その企業の攻撃対象領域は拡大し続けることになります。パンデミックが終息に向かっても、少なくとも一定時間、社員は在宅勤務を続けることになります。そして、自宅の IoT デバイスに伴う恩恵をすべて享受したいと思い続けます。
自衛のために、企業はゼロトラスト 対策をいっそう推進する必要があります。デフォルトまたはワンタイム認証でエンティティを信頼するのではなく、ユーザーの詳細な調査を継続します。
社員に属するデバイスであれ、請負業者や代理店などの社内外のユーザーに属するデバイスであれ、ネットワーク上のデバイスは信頼すべきではありません。これらのユーザーがアクセスするすべてのネットワーク、アプリケーション、デバイスも信頼すべきではありません。
ゼロタッチを実現するゼロトラスト
脅威や脆弱性からネットワーク環境を保護しようと努めるセキュリティチームは、ユーザーとデバイスの適切で継続的な認証を確保する必要があります。セキュリティチームはまた、実施するリスク管理のレベルと、ネットワークユーザーによるオンプレミス/オフプレミスの使いやすさの間で適切なバランスを見つけるという継続的な課題にも直面します。
従業員の多くは、煩わしい、混乱をもたらす検証プロセスを逃れるために回避策を求めます。抜け道を作ろうと試みることで、新たな脆弱性を招くおそれがあります。煩わしさを最小限に抑えて構築すること、すなわちゼロタッチのユーザーエクスペリエンスが堅牢なゼロトラストフレームワークの重要な要素となります。
ゼロトラストでは、ユーザーの身分が証明され、そのアクセスが承認済みでユーザーの行為に悪意がないことが証明されるまで、ユーザーはデバイス上のすべてのものにアクセスできません。ここにおいて、ゼロタッチでは、認証プロセスが透過的でユーザーの労力を必要としません。 BlackBerry Spark Zero Trust セキュリティソリューションは、エンドポイントを継続的に保護し、併せてゼロタッチエクスペリエンスも実現します。
ゼロトラストの詳細については、BlackBerry のレポート『The Inevitable Ascent of Zero Trust(ゼロトラストの必然的な向上)』をお読みください。
