2020年 (ISC)² Blog 和訳

2020年12月18日

完全なゼロ

執筆: Allan Caton, CISSP、CISM、CCSP、CISMP

 ほとんどの企業は、レガシーなオンプレミスシステムの環境からクラウドに移行しており、結果としてハイブリッドな環境になっています。使い勝手の良いモバイル技術や、常に利用可能なウェブベースのアプリケーションのユビキタス化は、マーケットによって推進されています。このシフトには、顧客だけでなく、従業員、請負業者、ベンダー、パートナーなど、あらゆるタイプの企業ユーザーが含まれます。
 このような分散型の ID 中心のオペレーティング・モデルへの移行は、企業の資産を構成するユーザー ID、デバイス、およびデータのセキュリ ティを考慮する絶対的な要件をもたらします。これからのアイデンティティ管理、認証、データ管理、ネットワークアクセスにおいては、セキュリティが企業の資産をどのように保護すべきか見直すことが求められます。
 シンプルなパスワードだけで企業ネットワークへのアクセス保護が十分だった時代と、ネットワークが信頼されていた時代は、時代遅れの考えとなりつつあります。
 サイバー犯罪者が利用できる技術の進歩や、近所のダークウェブトレーディングで利用可能な「攻撃者のハイヤリング」により、企業は自社の資産を保護するために何をすべきか真剣に考える必要があります。
 そこでは、ゼロトラスト認証とパスワードレス認証の2つの方法を利用することができます。
 ここから先を読む前に、以下の2つの重要なコンポーネントが存在していることを確認してください、そうでない場合は、全体の概念を実現することはできないでしょう。
・シニアマネジメントのバックアップ
 提案書にゴム印を押すだけのことではなく、プロジェクトへの投資に対する実際のコミットメントと、低減するリスクを完全に理解していることを意味しています。シニアマネジメントは、技術部門に更なる要求をつきつけ、よりセキュアな環境によって切り開かれる可能性を明確に説明してくれるので、ある種の興奮を覚えるはずです。
・ビジネスユニットのテクノロジーとセキュリティの「チャンピオン」
 テクノロジー担当者は、通常、自分たちが使用しているビジネス環境、それに影響を与えるビジネスドライバー、または企業の目標を達成するために使用されるデータについて深く理解しているわけではありません。そのためには、データ、ユーザー、要件を理解しているビジネス関係者が必要になります。「チャンピオン」は、技術部門と協力して、セキュリティを損なうことなく新しい能力を促進し、安全で有用な環境を可能にし、奨励し、主張するような変革を生み出すことができます。

パスワードレス認証

 システムへのパスワードレスアクセスは、以下の理由から、現在の認証方法から自然に発展したものです。
 一要素であるパスワードは、1961年に数百人のユーザが共通のメインフレームでコンピュータ端末を共有することを可能にした互換タイムシェアリングシステム(CTSS)から始まりました。
 Fernando Corbató氏は、ユーザーがメインフレーム上のリソースに一定期間アクセスできるようにするための課金ツールとして、コンピュータのパスワードを作成しました。
 1995年、AT&Tは多要素認証(MFA)の特許を取得しました(その後、1997年にはKim Dotcomも特許を取得しています)。実際に誰が導入したかはともかく、ここ20年でMFAはパスワード盗難に対抗するためのデファクトスタンダードとなりました。
 2019年、匿名のハッカーがユーザー名とパスワードの組み合わせ22億件を攻撃者のフォーラムで公開し、コレクション#2-#5として知られていました......それは、当時、これまでに公開されたクレデンシャルの最大のコレクションでした。
 MFA技術の進歩には、バイオメトリクス、顔認証、ワンタイムパスワード、トークンなどの方法があります。避けて通れない疑問は、"認証の要素が複数あり、パスワードが一番弱いのであれば、なぜ全く使わないようにしないのか?"ということです。
・パスワードは以下のような複数の問題を引き起こします。
・パスワードを覚えられないユーザー
・パスワードを複雑にすることで、パスワードを書き留めたり、どこかに保存したりする
・パスワードの共有が可能
・複数のサービスやアプリケーションで同じパスワードを使い回す
・ユーザーエクスペリエンスが悪い
・公開された情報からパスワードを推測することが可能
・パスワードに特化して細工された様々なタイプの攻撃
・パスワード管理のコストがメリットを上回る
・ユニークなパスワードはユニコーンと同じくらい神話的なもの
・パスワードの頻繁な変更を要求しても、変更のたびに単純なインクリメントが行われる
 リストは続く...
 単純に、パスワードはユーザーエクスペリエンスの面では望ましいモノではなく、維持するためのサポート時間の面でもコストがかかり、テクノロジーにおける単一にして最大の攻撃ベクトルであり、かつてのようなセキュリティはもはや提供されないということです。
 このことに気付いたことで、テクノロジー業界は、より安全でシンプルな認証方法でパスワードを完全に置き換えようとしています。
 「大企業やグローバル企業の60%、中堅企業(MSE)の90%が、現在5%未満のユースケースにしか使われていないパスワードレスの方法を、2022年までに50%以上導入することになります。」 ガートナー ユーザー認証のためのマーケットガイドより
 FIDO2のようなパスワードレス認証は、パスワードに頼らずにユーザーの身元を確実に保証し、バイオメトリクス、セキュリティキー、ワンタイムパスワード、トークン、またはモバイルアプリによる認証を可能にします。適切に実装することで、ハイブリッド、クラウド、オンプレミス、レガシーアプリなど、さまざまなユースケースにセキュアなアクセスを提供することができます。
 よく考えられ、適切に実装されたパスワードレスソリューションは、ユーザビリティとより強力な認証のバランスをとり、ユーザに簡単で安全なログイン体験を提供し、企業の管理負担と全体的なリスクを低減します。

ゼロトラストとは?

 本質的にゼロトラストとは、その言葉通り、ユーザー、デバイス、サービスを信頼せず、ネットワーク自体も信頼しない、敵対的な環境とみなすことです。前提として、すべてのものがネットワークに侵入しようとしており、その身元が認証され、承認され、ポリシーに従って企業資産へのアクセスが承認されるまでは、何も信用されるべきではありません。
 ゼロ・トラストのもう一つの側面は、ユーザー、サービス、機能は、必要なアクセスと権限(知る必要性と最低限の特権の組み合わせ)だけを持つべきであるということです。
 パスワードレス技術と共通して、MFAはゼロトラスト環境の中では、すべてのアクセス要求が攻撃の試みであるという点で極めて重要な役割を果たしています。単一の認証要素のみを使用することは、ドアが開いたままにしておくのと同じようなものです。
 上記のコンポーネントに加えて、適切に実装されたゼロトラスト環境では、マイクロセグメンテーションが組み込まれています。マイクロセグメンテーションとは、設定されたタスクや一連のタスクを達成するために、環境全体の小さな部分の周囲にセキュリティペリメターを作成するプロセスです。あるIDは特定のマイクロ・セグメント内の必要なすべてのリソースにアクセスできますが、別のセグメントのリソースにアクセスするには別途の認証が必要になるという前提があります。このプロセスにパスワードベースの認証を使用すると実質的に利用不能になるので、パスワードレス技術はゼロトラストを補完する理想的な技術と言うことができます。
 ゼロトラストとパスワードレスを導入するには、どのような手順があるのでしょうか?
 ほとんどの取締役会で要求されるレベルの保証を可能にするようなタイプのセキュリティを適切に実現するために必要なステップがあります。以下のステップは段階的に実施することができ、それぞれが順番に、セキュリティポスチャーを改善していきます。完全なゼロを目標にしていれば、そこに向かう一歩一歩が、より良いセキュリティポスチャーになります。
1.現在の環境を完全に理解し、文書化する
 すべての企業ができているべきことであり、すべてのセキュリティ担当者もそう主張しているかもしれませんが、ほとんどの企業では、存在するはずのない、あるいは管理外となってしまった、少なくともいくつかのデバイス、ユーザーアカウント、サービス、データ、または過剰な権限を持っているという状況が存在しています。
 デバイス、ユーザーアカウント、ロール(存在する場合)、サービス、APIなど、基本的にネットワークにアクセスするすべてのコンポーネントを徹底的に監査します。ネットワーク自体ではありません。ネットワークは敵対的なものとみなされるべきなのです。ゼロトラストでは、アクセスが内部のハードワイヤード ネットワークからなのか、または地元のコーヒー ショップのWIFI からであるかどうかは問題ではないはずです。すべてのネットワークは、最大のアタックサーフェースを形成している、信頼されていない、敵対的な環境と見なされるべきです。
・ユーザー
 ビジネスイネーブルの観点から、ビジネス内の「チャンピオン」は、ユーザーのリストを作成し、そのユーザーがアクセスできるデータ、使用を許可するアプリケーション、システムやデータへのアクセス権を設定する必要があります。これは大変な作業ですが、アウトプットすることで、技術部門やセキュリティ部門が以下のようなことができるようになります。
・ロールの定義
 ロールが企業独自のスキーマの一部として定義されたものであっても、多くのSaaSアプリケーションに組み込まれているロールから取得したものであっても、ロールは組織全体で一貫性があり、すべての人が理解できるものでなければなりません。ロールをユーザーIDに組み込むことで、各ユーザーが必要とする機能をフルに活用できるようになります。
・パスワードレス技術のサポートを確認する
 これは、デバイスやサービスよりもエンドユーザーにとっては簡単なプロセスで、サプライヤを変更するか、少なくともロードマップを確認して、パスワードレスやゼロトラストが含まれているか確認する必要があります。適切なネットワーク・セグメンテーションとは、段階的にアプローチするものであるべきだということを覚えておいてください。
・外部サービスへの認証
 SAML、Open ID Connect、OAuth などの技術を使用して、侵入をさらに防止します。外部サービスへの認証に加えて、System for Cross domain Identity Management version 2 (SCIM2) を使用して、外部サービスのユーザーを安全に管理することができます。
・登録(Join)、異動(Move)、離任(Leave)
  企業のJMLプロセスの中心にプロビジョニング、ID管理、デプロビジョニングがあることを確認し、JMLプロセスに参加する人が最小権限とNeed-To-Knowの対象となり、異動時に権限が蓄積されていくことが回避され、離任者のアクセスの削除が一貫していることを確認してください。
・デバイス
 ネットワークに接続するすべてのデバイスを一意に識別し、その目的、ヘルスチェック、許可された接続、および許容されるベースラインの動作を理解する必要があります。ネットワーク自体を敵と考えているので、ネットワークに接続している機器を知れば知るほど、利用ポリシーを定義することができるということになります。
 デバイスをより高いレベルで把握し、単一のディレクトリに保存することで実現する資産管理は、新しいデバイスがユーザーと同じように必ず厳しいプロビジョニングとデプロビジョニングを受けるようにすることで、コスト面でもメリットがあり、デバイスが勝手に「立ち上がる」ことを防ぎます。
2.すべてのデータを分類し、データ管理を実施
 ビジネス全体で使用するための企業データの分類スキームを開発し、実装します。第三者があなたのデータを分類してくれると思っている人もいますが、そのようなことはありません。第三者は、銀行口座、クレジットカード番号、パスポート番号、生データ内のその他多数の属性を特定することができますが、データのどの要素がビジネスにとって価値のあるものなのか、どの文書が制限されているのか、どのような人たちが将来の計画を見ることができるのかを伝えることはできません。そのためには、会社毎の基準に従ってデータを分類する必要があります。
 また、データ管理計画には、分類データを含める必要があります。これらの用語はしばしば互換的に使用されますが、この文書の目的としては、区分はデータ要素の重要性と機密性を定義するために使用され、分類は使用を記述するために使用される、基本的にはデータ項目の任意の記述子を指します(例えば、プロジェクト007、非公表、作成2020、破棄2027、著者アルカトなど)。
 それぞれのデータに追加できるデータタグは文字通り何百もありますが、これらが企業間で合意され、一貫して適用されている限り、すべて有用です。
 また、データ管理計画では、データのライフサイクルを考慮し、どの時点でどのようなセキュリティ対策を行うか(作成、保存、使用、共有、アーカイブ、破棄)を検討する必要があります。
3.確実なユーザー ID を管理するディレクトリを特定または作成する
 Apache Directory Server、Microsoft Active Directory、Red Hat Directory Server、Apple Open
Directoryなど、現在ほとんどの企業がディレクトリサービスを提供していると思います。ゼロトラストのパスワードレス環境を構築するためには、現在利用しているディレクトリサービスプロバイダを巻き込んで、必要な機能をすべてサポートする新サービスに移行するのが賢明でしょう。
 中心となるディレクトリは、アイデンティティ(ユーザ、サービス、デバイス)、トークン、鍵、証明書の管理だけでなく、インポート、同期、フェデレーションなどの過渡的な機能をすべてサポートする必要があります。これが企業全体の中で唯一、そして最も重要な機能であり、その分野の専門家のスキルが求められるべきもので、攻撃者にとってもこれが重要な機能であることをふまえ、すべてのものと同様に、セキュリティ対策も資産の重要性を反映して実施されなければなりません。
 ユーザーIDは、絶対的にユニークであるために十分な情報を含み、必要なアクセスまたは許可されたすべてのアクセスを定義し、ロールを持つ、もしくは割り当てられ、後の段階で作成されたポリシーを適用できるように、許可されたアクションを定義するグループに配置されている必要があります。
4.デバイスのアイデンティティを作成する
 ステップ1で述べたように、各デバイスは一意に識別可能であり、単一のディレクトリに格納されている必要があります。これにより、資産を一元的に管理できるだけでなく、サービスやデータにアクセスするデバイスを明確に可視化することができます。また、これらの要件により、ユーザーと同様のプロビジョニング体制が必要になり、不正なデバイスが企業資産にアクセスすることは非常に困難になります。
 デバイスからのリクエストを許可する際には、デバイスの識別には様々なレベルの信頼性があることを覚えておくべきです。最高レベルの信頼性は、TPM のような安全なハードウェアに保存されているデバイス ID を持つことで達成されますが、これは通常、会社が所有するシステムでのみ可能です。また、鍵管理ソフトウェア内に保存されているアイデンティティは、様々なレベルの保証を与えることができます。
 他の組織に属するデバイスからのIDは、2つの組織間での信頼関係が確立されている必要があります。ゼロトラスト環境で「信頼」関係を持つことは直感的ではないように聞こえますが、この環境では、プライマリドメイン外からのデバイスによるアクセスを管理するポリシーを施行し、アクセスや許可時間などを制限する必要があることを意味します。自分のデバイスについて詳しく知るだけでなく、環境にアクセスするすべてのデバイスについても詳しく知る必要があります。
5.「接続ごと」に認証を行う
 別名「authenticate everywhere」として知られているゼロトラストアーキテクチャでは、前述したように、ネットワーク自体を敵とみなすため、すべての接続に認証が必要となります。また、データの分類やセキュリティ境界を切り替える際には、追加の認証が必要になります。
 マイクロ・セグメンテーションにより、各プロセス・サービス・機能が、独自のセキュリティおよび認証の境界内で動作することが容易になり、境界を離れて別の境界内のデータまたはサービスにアクセスするためのIDは、再認証が必要になります。
 これは、多要素認証が、各IDに対して毎日何百回も行われることを意味するかもしれませんが、攻撃者も同様のことを行う必要があるということであり、多要素認証の進歩によって提供されるような追加の保護は、パスワードを使った環境では期待できないということを覚えておかなければなりません。
 このような環境では多要素認証が必須条件となりますが、だからといってユーザ体験が悪いというわけではありませんし、ユーザが認証を意識しなければならないということでもありません。
 前述したように、FIDO2のようなパスワードレス技術を使用することで、煩わしい(場合によっては不要な)介入を取り除くことができます。
 サービス間のリクエストも認証が必要です。これは通常、API トークン、OAuth や公開鍵基盤(PKI)などのフレームワークを使用して実現されます。可能な限り相互認証を使用してください。
6.デバイスやサービスのきめ細かな監視
 ゼロトラスト、パスワードレスの環境では、攻撃者が使うツールキットの中の多くのツールが無効化されるため、新しい環境における最も脆弱なコンポーネントであるデバイスやサービスに焦点を当てて監視することが重要です。
 ポリシーの遵守状況とアクセス要求の失敗を対象として監視を行うことで、攻撃の試みや設定の誤りを発見することができます。この分野を対象としたモニタリングは、異常を発見するだけでなく、ポリシーの遵守状況を示すこともできます。
 従来の環境では、デバイスは壁に囲まれた庭や、孤立したネットワークセグメント上のVLANに配置することができましたが、ゼロトラスト環境のネットワークは信頼されていないと考えられているため、監視する意味がほとんどありませんでした。そのため、監視は信頼できる要素(デバイスやサービス)に戻る必要があります。
 ログを正しく選択し、モニタリングをチューニングすることで、信頼され、識別され、認証されたコンポーネントが効率的な方法で相互運用できるようになり、不正な行動、信頼されていないデバイス、または不正なデータアクセスの試みを即座に認識することができるようになります。
7.許可されたユースケースを明確に定義するためのポリシーを作成する
 新しい環境を管理するポリシーは、他のすべてのコンポーネントを結びつけて、使いやすく、安全で、ビジネスを支える環境を作ります。
 ポリシーを作成するには、識別、認可、役割、許可、デバイスのコンプライアンス、監視要件などを考慮する必要があります。アクセス要求によってトリガーされたすべてのポリシーをチェックするポリシーエンジンは、適切で認可された接続とアクセスが効率的な方法で許可され、すべての異常がブロックされ、記録され、エスカレーションと異常管理を管理する別のポリシーセットによって管理される対応計画に従って確実に管理されるようにするために極めて重要です。
 ポリシーが実行されるポイントは、物理的なインフラストラクチャと、個々の組織で使用されているアーキテクチャによって異なります。例えば、リバースプロキシはアプリケーション層までのいくつかの層でポリシーを強制することができ、SDP(Software Defined Perimeter)
コントローラはネットワーク層でポリシーを強制することができます。ほとんどの環境では、複数の手段を組み合わせて適用します。
 また、アクセス要求の監視・報告についても、セキュリティや業務利用を念頭に置いた配慮が必要です。無効なアクセスの試みをどのように記録するかだけでなく、アクセスが拒否された理由を説明し、必要な場合はどのようにIDに権限を追加するかについて、どのようなメッセージをユーザーに伝えるかを考える必要があります。
8.他のセキュリティ機能との整合性を確保する
 それ以外のステップを実施する場合、またはその実装段階では、暗号化、トークン化、役割、レポート、セキュリ ティメトリクス、プロセス、手順など、他のすべてのセキュリティ機能がゼロトラスト、パスワードレスアーキテクチャと整合していることを確認し、環境と相互にやり取りするデータの周りに統一の取れたセキュリ ティの枠組みが存在するようにして、会社の資産が安全であることをビジネス部門に保証するべきです。
まとめ
 ゼロトラストとパスワードレスの技術と、厳格なデータ分類と暗号化は、企業の最も重要な資産である情報へのアタックサーフェスを減らし、クラウンジュエル(もっとも大事なもの)が現在と同様に安全であることを真の意味で保証できるようにしました。
 この技術を採用することで、これまで主な攻撃ベクトルであったパスワードハーベスティング(フィッシング)メールを排除することができ、悪意のある者のアタックサーフェスを劇的に減少させ、セキュリティを第一に考えている経営陣に保証を提供することができます。
 このアプローチから得られるもう一つの利点は、環境に導入する新製品やサービスは、セキュリティや技術の提供という観点が必然的に考慮されるようになるということです。それによって、セキュリティとテクノロジーがイネーブラーであるということを理解することで、ビジネス部門が、非常に挑戦的な課題に安心して挑戦できるようなイノベーションの文化につながっていくのです。  

原文記事: https://blog.isc2.org/isc2_blog/2020/12/absolute-zero-.html