By Garry McCracken
組織のデジタル・セキュリティを確保するためには、多くの場合、ITリテラシーが低いエンドユーザの肩に重荷がかかっています。複数のパスワードを覚えたり、コードやキーを受け取る無数のデバイスを操ったり、ノートPCを失くさないように努力したりする責任を負わされているので、ニュースで多くのセキュリティ侵害が取り上げられるのも不思議ではありません。
その責任をより適切な場所に移すための新しいアプローチが必要な時期に来ています。幸いなことに、企業のセキュリティには、まさにそれを実現する新しいコンセプトが存在します。これはZero-Factor Authentication(ZFA)と呼ばれるもので、正しく実行されれば、企業が長年求めてきたゼロトラストネットワークアクセス(ZTNA)を実現することができます。
これらの画期的なアプローチが、ハッカーや窃盗犯、その他のネット上の存在がもたらす様々な脅威から、世界中の企業を安定的に守るためにどのように役立っているのかをご紹介する前に、少し時間をさかのぼって、私たちがどのようにしてここまで来たのかを振り返ってみましょう。
境界線からの移動
従来の境界線のセキュリティは、もう何年も綱渡りの状態です。2016年のRSAセキュリティカンファレンスでの主な収穫の1つは、「境界線のセキュリティは死んだ、ファイアウォールではもう悪者を防ぐことはできない」ということだったと記憶しています。門は破られ、ITセキュリティは再編成しなければならない。ほとんどの大企業は常に侵入されており、ネットワークが危険にさらされている、あるいはさらされることを想定しなければなりません。その結果、新たな戦略や技術が必要とされています。”
それが6年前のことです。今日では、これまで以上に多くの人が自宅で仕事をしており、クラウドベースのアプリケーションにアクセスする可能性が高くなっています。インターネットは新しい企業ネットワークであり、ユーザやアプリケーションを安全なネットワーク境界内に置くという概念は古めかしく感じられます。
そこで登場するのが、「Zero Trust Network Access」というコンセプトです。ZTNAは、「Never Trust, Always Verify」という考え方に基づいています。境界から焦点を移すことから、「境界のないセキュリティ」という別名がよく使われています。
米国国立標準技術研究所(NIST)の定義によると、「ゼロトラストとは、物理的またはネットワーク上の場所(ローカルエリアネットワークとインターネット)や、資産の所有権(企業または個人の所有権)のみに基づいて、資産やユーザアカウントに暗黙の信頼を与えないことを前提としている」とのことです。認証と承認(サブジェクトとデバイスの両方)は、企業リソースへのセッションが確立される前に実行される個別の機能です。”
ゼロトラストは、リモートユーザ、BYOD(Bring Your Own Device)、企業が所有するネットワーク境界内にないクラウドベースの資産など、企業ネットワークの動向に対応するものだとNISTは主張しています。
“ゼロトラストは、ネットワークセグメントではなく、リソース(資産、サービス、ワークフロー、ネットワークアカウントなど)の保護に焦点を当てており、ネットワークの場所がリソースのセキュリティ態勢を構成する主要な要素とは見なされなくなっています。”
信用するな、常に検証せよ。(Never trust, always verify) つまり、デバイスとその健康状態、そしてサービスにアクセスするユーザを常に確認する必要があります。
進むべき道
今日、企業は前進する方法としてゼロトラストアーキテクチャを採用しています。アメリカ政府のような大きな影響力を持つ組織でさえ、ゼロトラストのサイバーセキュリティの原則を取り入れています。
政府は「連邦ゼロトラスト戦略」の中で、「特定のネットワークからアプリケーションにアクセスすることは、公共のインターネットからアクセスすることよりもリスクが低いと考えてはならない」と述べています。「政府機関は今後、ネットワークレベルでのユーザ認証の廃止を促進し、最終的には企業内から完全に排除しなければなりません。成熟したゼロトラスト環境では、ユーザはネットワークではなく、アプリケーションにログインします」。
アプリケーションにログインする際には、それらを確認するための強力な認証が必要です。これはMFA(多要素認証)を意味しますが、ただのMFAではありません。「MFAは一般的に、脆弱なパスワードを推測したり、データ漏えいで得たパスワードを再利用したりするなど、アカウントへの不正アクセスを行う一般的な方法から保護します。
「しかし、MFAの多くのアプローチは、公式アプリケーションを巧みに偽装し、ユーザとの動的なやり取りを伴う高度なフィッシング攻撃からは保護できません。ユーザは、ワンタイムコードを入力したり、セキュリティプロンプトに応答したりすることで、攻撃者にアカウントへのアクセスを許してしまいます。”
さらにこの戦略では、米政府機関のシステムは、SMSや音声通話のために電話番号を登録したり、ワンタイムコードを入力したり、プッシュ通知を受け取ったりするプロトコルなど、フィッシングに対抗できない認証方法のサポートを中止しなければならないとしています。
良いニュースは、フィッシングに強い主流のMFA技術があることです。証明書ベースの認証(スマートカードなど)とFIDO2がそれにあたります。どちらも非対称暗号をベースにしていますが、FIDOでは展開・管理にPKIを必要としません。
FIDO、あるいはFIDOのようなものは、「Never Trust, Always Verify」の原則を実現するのに適した候補です。コンピュータのログイン時にユーザとデバイスの組み合わせを強力に認証し、その後、新しいリモートサービスやウェブアプリケーションへのアクセスを要求するたびに、デバイスとその健康状態、そしてユーザを常に検証するというものです。残念ながら、この絶え間ない検証はゼロトラストの一例ですが、ユーザにとっても負担になります。常に認証を求められると、ユーザエクスペリエンスが低下し、無意識のうちに認証を行うように訓練されてしまいます。
ユーザへの負担軽減
そこで登場するのがZero-Factor Authentication(ZFA)です。ZFAの特徴は、ユーザに何のアクションも求めないことです。これは、バックグラウンドで静かに動作する認識信号に基づいています。最初にデバイスにログインした後、ユーザのデバイスのバックグラウンドで動作するインテリジェントなエンドポイントソフトウェアが、ユーザ、デバイス、デバイスの健康状態を監視します。
最も重要なのは、ZFAがユーザの意図をモニターすることです。ユーザが意図を示さないなど、何か問題がある場合は、ユーザが新しいサービスにアクセスしようとしたときに、エンドポイントは検証が成功したことを通知しません。正当なユーザの場合は、別のMFAが必要になるということです。アタッカーにとっては、それはなす術がないことを意味します。
ZFAが正しく機能すれば、ユーザに過度な負担をかけることなく、ゼロトラストネットワークアクセス(ZTNA)の実現が可能になります。「正しい方法で行う」という部分は、最初のFIDO MFAのために用意された暗号の基盤を、その後のリモートアプリケーションやサービスへの透過的でシームレスなシングルサインオンに活用することで実現できます。
アイデンティティとアクセスのソリューションの多くはサーバベースで、エンドポイントにはこのようなインテリジェントな機能がありません。20年以上にわたる深いエンドポイントセキュリティの経験を持つウィンマジックがそれを実現します。