製品進化とマネジメント風景 第57話 境界型からゼロトラスト型へと進化するセキュリティーマネジメント
前回につづき、境界型防御の情報システムから話を始めたいと思います。残っている話は、社内と社外の境界領域と、社外から境界領域を突き抜けて社内システムに入ってくるVPNについてです。VPNは新型コロナによってオンライン会議と一緒に普及が進みましたが、境界型防御システムの限界を露呈するきっかけにもなりました。今回は、境界型防御システムを説明した後、ゼロトラスト型防御システムの主要テーマについて議論したいと思います。
境界型防御システムと言えば、以前からファイアウォールがありました。ただ、ファイアウォールの機能は限定的であり、また、それを破る手法がいくつも考案されたため、現在では様々な機能が追加され、UTM (United Threat Management、統合脅威管理)の形を取っているのが一般的です。
UTMは多機能ですが、シンプルに理解するならばファイアウォール、DMZ(De Militarized Zone)、IDS(Intrusion Detection System)/IPS(Intrusion Protection System)、VPNおよび通信モニタリング&制御の5つの機能を持つと考えられます。
ファイアウォール機能はパケットフィルタリングや不正な通信のブロックをします。Webフィルタリング機能がUTMの一機能として別出しされることがありますが、ファイアウォール機能の1つです。
DMZを和訳すると「非武装地帯」と物騒な言葉となりますが、公開サーバを社内LANに入れる前に検査をする場として設けられた領域です。Webサーバ、メールサーバ、DNSなど、外部のインターネットから直接アクセスされるサーバ類はこの領域に設置し、社内ネットワークと切り離す形で防御します。国と国が現実世界において冷戦状態にある場合を考えると、境界線という線の概念では余りにも侵入が容易であるため、一定の幅を持つ領域を設定するのと同じ考え方です。ファイアウォールの弱点であるDoS攻撃(後述)などにも対応できるよう、一定のコンピュータリソースを設置し、外部からの通信、内部からの通信をモニタリングし、異常な振舞いを察知して必要な措置をとります。
IDSは侵入の探知をする機能です。アンチウイルス機能やアンチスパムメール機能もこれに属すると考えられます。これに対してIPSは防御機能も持っています。例えば、DoS攻撃を受けた場合を想定すると分かりやすいでしょう。これまでのデータ通信の主流はTCPでした。このプロトコルの特徴は通信環境が悪い場合でも高信頼性の通信を実現することです。そのために、サーバとクライアント間で、1つ1つ丁寧に確認を取りながら通信をします。この丁寧な確認プロセスを逆手に取り、大量の確認信号を送りつけてサーバをパンクさせるのがDoS攻撃ですが、このような悪意のある通信を察知し、それを無効化するのがIPSの役割です。
VPNはVirtual Private Networksであり、社外からセキュリティーを維持して社内LANにアクセスする手段です。従来から利用されてきましたが、新型コロナウイルスによって在宅勤務が増えるとともに急増しました。VPNにもピンからキリまであって、利用者が増えるに従ってセキュリティーの弱いVPNも使用される機会が増え、悪意のある攻撃者によるなりすましが増えました。
通常は、社内LANに入った後でもIDに対するアクセス制御があり、アクセスできる領域が限定されるので、入られても被害は限定的なはずです。しかし、社員の担当業務とメールアドレスをセットで知られると危険度が一気に上がります。なぜなら、標的型攻撃メールを送るターゲットとして認知されてしまうからです。
標的型攻撃メールが送付された時、統計的に数パーセント、つまり100人なら数人、1000人なら数十人が、害を及ぼすURLをクリックしてしまうと言われています。いくら教育を実施してもそれを撲滅するのは難しいようです。よって、そこからパスワードを盗まれる、マルウェアを仕込まれる等が開始され、被害が拡大していきます。
VPNの分類方法はいくつかあります。1つの視点は、完全に公開されたインターネットを通すVPNか業者のネットワーク網の内部を通すVPNかです。我々が通常使用するのは前者です。別の視点として、VPNの通信プロトコルでの分類があります。主たるものとしてPPTP、L2TP、OpenVPNおよびIPsecがあります。PPTP (Point to Point Tunnelling Protocol)とL2TP (Layer 2 Tunnelling Protocol)はWindowsに装備されているものですが、暗号化が弱く、脆弱性が指摘されています。IPsec方式はパケットに対して暗号化する方式であり、理論的には最も強力ですが、設定が複雑であるためサーバ向きです。OpenVPNは、Web通信や電子メールでも出てきたTLSを使ってセキュアーな通信路を確保する方式です。設定が容易でクライアント向きです。
IPsec方式のVPNは、さらにトンネルモードとトランスポートモードの2つに分かれます。世の中に圧倒的に多く導入されているのはトンネルモードです。トンネルモードではパケットのカプセル化がされますが、その段階で送信先のIPアドレス(Aとする)とは異なるIPアドレス(Bとする)が設定されます。そうすると、発信元からBまではセキュアーですが、BからAの通信は盗聴可能となります。このことから、後述のゼロトラスト型ではトンネルモードのVPNは否定される方向にあります。
境界型の最後は通信モニタリング・制御です。社内のネットワークトラフィックをモニターし、異常を検知して通信速度を極端に遅くする、あるいはパケットそのものを無効化するなどの機能を持ちます。今後、このモニタリング・制御が大きく進化すると予想されるので、詳しくは別途議論したいと思います。
このように境界型の防御システムでも今日のものはかなり高度であり、昔のファイアウォールとは比べものになりません。とは言え、標的型攻撃メールにより有害なURLを開いてしまう人が数パーセントも存在する環境下では、悪意のある外部攻撃者が社内に侵入することを撲滅することはできません。そこで、社内ユーザーについても外部ユーザーと同様、信用できないという前提に立ったゼロトラスト型防御システムが提唱されるようになりました。この仕組みを最初に実現したのはグーグルですが、完全移行するまでに8年もの時間がかかったとのことです。
では、ゼロトラスト型と境界型の違いは何でしょうか? 全くの別モノなのでしょうか? 一部のクラウドサービス会社は、ゼロトラスト型が従来と全く異なり、自社のサービスを受けないと実現できないといった売り込みをしていますが、実際は、境界型の単なる進化系です。社内に入ってきたユーザーも信用しないという考え方は、境界型防御システムの時代から存在しています。それを厳格化したのがゼロトラストと言えます。
ゼロトラスト型では以下の5つに対して信頼できないものという前提で非常に厳格なチェックを行います。具体的には、デバイス、ユーザー、社内通信、アプリケーションソフトおよびデータです。
デバイスの信頼性を担保するには、今の時代では信頼された認証局が発行したデバイス証明書をハードウェアに持たせるのが一番です。例えば、信頼されているメーカーが製造したコンピュータには、UEFI (Unified Extensible Firmware Interface)にデジタル証明書が組み込まれています。UEFIとは、従来のBIOSに代わるものと考えていただければ分かりやすいと思います。Windowsのセキュアブートでは、起動時にこの証明書を確認します。デジタル証明書は公開鍵方式の暗号を使っており、秘密鍵はTPMに保管しています。
TPMはTrusted Platform Moduleの略ですが、秘密鍵を保持する半導体チップです。これは業界団体であるTCG (Trusted Computing Group)が標準仕様を策定しています。重要なポイントは、OSですらこのチップの中味は読めないことであり、よって改ざんに強い仕掛けだということです。ソフトウェアTPMも出てきましたが、やはり物理的な仕掛けの方がずっと安心です。中古機の場合、TPMを悪意のあるチップに置換されると、システムへの侵入を許すことになるので注意が必要です。
現在のTPMはバージョン1.2が普通ですが、Windows11ではバージョン2.0になることが決まっています。公開鍵の暗号については従来のRSA認証(巨大素数を使う暗号)だけでなく、ECDSA認証(楕円関数を使った離散対数問題を扱う暗号)も追加されます。RSAについては鍵長が1024ビットと2048ビットの2つがありましたが、バージョン2.0では原則として2048ビットに限定されます。鍵長が短いと解読されやすいためです。また、改ざん検知のためのハッシュ関数についても、バージョン1.2では脆弱性が指摘されているSHA-1でしたが、バージョン2.0ではより安全なSHA-2の256ビットが使えるようになりました。改ざん検知能力も上がるということです。
次はユーザーです。もはやユーザーIDとパスワードだけではセキュリティーを守れない段階に入りました。そこで、まずは多段認証が使われます。多段認証として現在使われているものを挙げると、ワンタイムパスワードを使う方式が主流です。最初に出てきたのはスマホのSMS(ショートメッセージ)にワンタイムパスワードを送付する方式です。ただ、SMSはデータ通信中に暗号化を保証できないという欠点があります。この欠点を解決したのがスマホの認証ソフトです。グーグルやマイクロソフトの認証ソフトが広く使われています。最近では、指紋などの生体認証を多段認証に使う頻度も増えてきました。ただ、指紋や顔を使った認証はSNSで公表した写真データから入手できる場合もあるのでリスクは残ります。
やはり安心なのは、秘密鍵を発生させるハードウェア(例えばICカード)を自分自身で所持し、物理的に安全な場所に保管しておくことです。その意味では、ネット銀行が発行するワンタイムパスワードカードや、政府が発行するマイナンバーカードが現時点で最も信頼できるユーザーIDだと言えそうです。マイナンバーカードには、政府が発行したデジタル証明書が入っており、証明書の秘密鍵は個人が設定するため、現時点では一番信頼できるIDです。ただ、マイナンバーカードのパスワードには、英数字の大文字しか使えない点が個人的に少々気がかりです。
ここから社内通信に移ります。外部の人間が社内ネットワークに入っているかもしれないことを考えると、社内の通信も暗号化する必要があります。暗号方式についてはIPsec式とmTLS式の2つがあります。IPsec式は前述したように実装が難しいのでサーバ間の通信で使用し、サーバとクライアント間ではmTLS式を使うのが実際的です。通常のTLSでは、サーバはデジタル証明書をクライアントに提示して身分証明しますが、クライアントは身分証明しないのが普通です。インターネット上の公開サーバではそうしないと不都合です。しかし、社内ネットワーク内ならば、サーバもクライアントも相互に身分証明書を提示してから接続する方がセキュリティー的に優れています。そこで、TLSにもmutual(相互)認証という考え方が持ち込まれてmTLSとなりました。
ゼロトラスト型ではVPNを無くし、クラウドに繋ぐべしといった主張がなされていますが、これはクラウドサービス会社の営業戦略に見えてしまいます。確かにトンネルモードを使うVPNは撲滅すべきでしょう。しかし、トランスポート型にすれば問題は解決できます。ただ、設定が難しいので、設定を容易化する補助ツールが出てくるまでは待つ必要があります。そういう面倒を避けたいのでクラウド型のVPNを使うのだという考え方は一理ありますが、何から何までクラウドサービスに依存することになります。自社の情報資産を守る最後の砦は自分であるという意識が失われることが、おそらく企業存続にとって最も恐ろしいことのように思われます。その辺も良く考えてから判断すべきでしょう。
アプリケーションソフトに移ります。ソフトウェアには必ずセキュリティーホールが存在するので、最新バージョンに速やかにアップデートする必要があります。放置すればセキュリティーホールから侵入されることになります。一方、そのバージョンアップのプロセスを逆手に取る攻撃者も出てきたので注意が必要です。新型コロナで一躍有名になったオンライン会議ソフトのZOOMですが、攻撃者がアップデートモジュールの中にマルウェアを仕込んで公開し、それをダウンロードした人の被害が報告されています。ですから、社内で使用されているソフトウェアが正当で最新のものかを常時モニタリングする必要があるわけです。今後、バージョンアップをさぼると、突然、通信が出来なくなるということが起こりそうですね。
最後はデータです。一言で言えば、全ての社内データを暗号化する必要があるということですが、何よりも怖いのは改ざんです。データの改ざん防止こそが最優先事項と考えられ、それはブロックチェーン技術と深く関係しますので、次回のコラムで詳しく議論したいと思います。
以上、境界型とゼロトラスト型の情報セキュリティーシステムについて概観しました 。 一見難しく見えるかもしれませんが、枝葉末節を除いて幹を整理すると全体像が見えてきます。専門家でなくても8割方は理解できます。残りの2割は難解なので専門家の領域です。ただ、専門家も細分化が進んでタコツボ化している場合があります。今後起こりうるリスクを察知するには、タコツボ化した専門人材よりも広く全体像を把握するシステム思考型マネジャの方が正しい判断が下せる場合が多くあります。自社の情報資産を守るには、情報技術の専門家に丸投げするのは明らかに不十分であり、専門家と会社全体の業務を俯瞰できるシステム思考型マネジャの共創が不可欠な時代になったと私は考えています。