ゼロトラストセキュリティの起点となるユーザー端末
すでにこのコラムで何度か指摘しているように、セキュリティの主流は「境界型セキュリティ」から「ゼロトラストセキュリティ」へと移行しています。インターネットと社内ネットワークとの間にファイアウォールなどを設置して、外側からの攻撃を境界部分で防御するという考え方は、すでに十分な効果を発揮しなくなっています。その背景にはサイバー攻撃が巧妙になったことに加え、企業におけるICTの使われ方の変化もあります。業務システムの一部としてクラウドサービスが多用されるようになり、それらにモバイル端末からアクセスすることが一般的になったからです。
このようなICT活用方法は、コロナ禍におけるテレワーク化推進によって、さらに広がっています。今や「境界型セキュリティで守り切れる企業システムは存在しない」と言っても、決して過言ではありません。
現在主流となりつつある「ゼロトラストセキュリティ」では、あらゆるトラフィックを信頼せず、システムにアクセスするユーザーの本人認証や権限チェックを徹底してアクセス制御すると共に、トラフィックを全て監視・ログ取得することで、問題発生時の原因究明も容易にします。しかしアクセスの起点となる端末(エンドポイント)にセキュリティ上の問題があれば、この仕組みは十分に機能しません。端末がマルウェアなどで攻撃者に乗っ取られていれば、そこから認証情報やシステム内の機密情報が漏洩する危険性があるからです。
しかも、在宅勤務などのために社外に持ち出されたノートPCなどの端末は、攻撃者にとって格好のターゲットとなります。管理者の目の届かない場所でインターネットに接続されるため、攻撃を受けてもその事実を検知することが難しく、ユーザーのリテラシーによっては問題のあるURLを不用意にクリックするなどして、マルウェア感染やフィッシング詐欺の被害に遭う可能性も高くなるからです。
そこでまず重要になるのが、EDR(Endpoint Detection and Response)による端末の保護です。EDRとはガートナーが提唱したセキュリティソリューションであり、その名が示すとおりエンドポイントの安全性を守り、問題発生時に迅速に対応するためのものです。具体的には、パソコンやサーバーなどの動作を監視し、不審な挙動があれば管理者に通知すると共に、原因究明や対応を支援します。
その代表的な製品の1つが、VMware社が提供する「VMware CarbonBlack」です。これはEDRを搭載した次世代アンチウイルス製品であり、エンドポイントの状況把握と対応だけではなく、マルウェア攻撃のブロックや、メモリやスクリプト言語を利用した非マルウェア攻撃(ファイルレス攻撃)のブロックなども可能になっています。
独立行政法人 情報書士推進機構(IPA)が公開している「サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集」でも、多層防御の一環としてEDR活用の重要性が指摘されています。EDRは企業システムの安全性を確保する上で、必須の要素だと言える存在なのです。
EDR活用は必須、しかしそれだけでは不十分
しかしその効果を最大限に引き出すには、他のセキュリティソリューションとの組み合わせも考える必要があります。その1つとしてここで取り上げたいのが、SWG(Secure Web Gateway)です。
SWGとは、URLフィルタやアプリケーションフィルタ、アンチウイルス、サンドボックスなどの機能を、クラウド型で提供するサービスのことです。例えばユーザーが外部のWebサイトにアクセスする場合、そのURLやIPアドレスから安全性を評価し、安全でないとみなされた場合にはアクセスを遮断します。またURLやIPアドレスでは安全と評価された場合でも、通信内容を解析してコンテンツレベルでの安全性評価を実施し、ここで問題が発見されればやはりアクセスを遮断します。ファイルをダウンロードする場合には、SWG内のサンドボックスで実際に動かし、その挙動を見定めた上で、安全性に問題がれば「無害化」処理を行います。
SWGの代表的なサービスとしては、Netskope社が提供する「Netskope」が挙げられます。これは次世代SWGを標榜しており、動的評価によるWebコンテンツのフィルタリング、サンドボックスと機械学習を組み合わせた異常検出、調査のための詳細なレポートやインサイトの提供、といった機能を装備しています。またSSLで暗号化された通信の復号も高速に行うことができ、暗号化によって隠蔽された攻撃にも対処可能。さらに、SaaSなどのクラウドサービスを安全に使うためのCASB(Cloud Access Security Broker)機能も装備しており、これ1つでインターネット活用全体の安全性を担保できます。
EDR単体では不審な挙動を検知するだけにとどまり、Carbon Blackのような次世代アンチウイルス機能も装備した製品を活用した場合でも、危険なサイトへのアクセスやマルウェアのダウンロードは防げません。脅威がエンドポイントに到達した時点で、初めて対処が始まるからです。もちろんこれだけでも安全性はかなり高まりますが、管理者としてはそもそも危険なサイトへのアクセスや、マルウェアのダウンロードの時点で防ぎたいはずです。EDRとSWGを組み合わせることで、脆弱な状態にある端末をEDRで検出し、SWGの機能でその端末のインターネット利用を禁止することができ、さらに高いセキュリティの実現が可能になります。
ニューノーマル時代のエンドポイントは、ますます物理的に管理者の手から遠ざかっていくことになるでしょう。このようなエンドポイントの適切な利用を、ユーザーのリテラシーだけに依存するのは、危険極まりないと言えます。この危険を回避するためには、離れた場所にあるエンドポイントの異常を素早く可視化することと、危険からユーザーを遠ざける仕組みを確立することが必要なのです。