セキュリティサービスの開発/運用に従事する筆者にとって、そして恐らく読者の皆様にとっても、否応なく意識せざるを得ないキーワードの一つに「ゼロトラスト」があるかと思います。多くの組織がゼロトラストを旗印としてセキュリティ施策を推進しているところかと思いますが、ゼロトラストの本質である「アイデンティティ」について十分に考慮されていないケースが散見されます。
そこで、本稿では、ゼロトラストについて再考し、その本質であるアイデンティティの重要性と、その脅威対策について解説します。なお、アイデンティティは「実体に関する属性情報の集合」と定義されますが、本稿においてはIT環境におけるアカウントをイメージいただければ十分かと思います。
ゼロトラストの概念
ゼロトラストは、旧来から取り組まれてきた境界防御の課題を解決するセキュリティモデルとして、2010年に Forrester Research 社の John Kindervag 氏によって提唱されました。境界防御とは、組織の内部と外部を分ける「ネットワーク境界」に依拠したセキュリティモデルであり、組織の内部を信頼された領域とみなし、脅威は組織の外部に留めることを原則としています。
そのため、組織の内部に存在する情報資産とその利用者は、信頼を前提としたアクセスを与えられ、この原則は「Trust But Verify(信ぜよ、されど確認せよ)」と表現されます。しかし、IT環境や脅威動向の変化に伴い、境界防御は少なくとも以下二点の課題を抱えることになりました。
- クラウドサービスやテレワークの普及により、ネットワーク境界を定義することが困難になった
- 組織の内部に侵入した攻撃者に対しても、信頼を前提としたアクセスを与えてしまう
これらの課題を解決するセキュリティモデルがゼロトラストです。
ゼロトラストは、組織の情報資産(システム・データ・アプリケーションなど)をリソース、リソースにアクセスする主体(ユーザ・デバイス・アプリケーションなど)をサブジェクトと定義し、サブジェクトからリソースへの全てのアクセス要求に対して、組織の内部/外部を問わずあらゆる信頼の前提を排除し、常に確認することを原則としています。
これは、境界防御の「Trust But Verify」と対比して「Verify and Never Trust(決して信頼せず必ず確認せよ)」と表現されています。
境界防御とゼロトラストの比較
ここまでは広く知られた内容かと思いますが、本稿では更に踏み込んでゼロトラストのアーキテクチャを考えてみます。ゼロトラストの定義を述べたドキュメントの一つとして、NIST(National Institute of Standards and Technology)から発行された「NIST SP800-207」[ii]がありますが、そこでは以下に示す「Core Logical Component」が定義されています。
出所:NIST SP800-207
前述の通り、データプレーンにはサブジェクトとリソースが存在していますが、サブジェクトからリソースへのアクセスに介在する要素として「Policy Enforcement Point(PEP)」が定義されています。また、コントロールプレーンにはPolicy Engine(PE)とPolicy Administrator(PA)によって構成される「Policy Decision Point(PDP)」が存在しています。PEP/PDPは連携して動作し、それぞれ以下の役割を担うとされています。
PEP/PDPの役割
ゼロトラストの原則が「サブジェクトからリソースへの全てのアクセスを確認すること」だとすれば、その確認はPDP/PEPによって実行されることがわかります。そして、PEPはPDPの決定に対して忠実に動作するため、PDPの決定である「アイデンティティの認証/認可」こそがゼロトラストの本質であるといえます。これは、境界防御におけるネットワーク境界になぞらえて、「Identity as the new security perimeter(新しいセキュリティ境界としてのアイデンティティ)」と称される重要な概念です。
境界防御からゼロトラストへの転換によって、セキュリティモデルの重心はネットワーク境界からアイデンティティに移行したといえます。
アイデンティティの脅威の現状
ゼロトラストの本質がアイデンティティであるということは、ゼロトラストが普及するほどアイデンティティの重要性が高まることを意味しています。そして、アイデンティティの重要性が高まれば、必然的に攻撃者のTTPs(Tactics, Techniques, Proceduresの略。端的に言えば攻撃手法)の焦点もアイデンティティ侵害(認証情報の窃取と悪用)へ向かいます。
例えば、コロナ禍を契機に普及が進んだテレワークでは、VPN機器やRDP(リモートデスクトップ)を設置し、インターネットから社内環境へのリモートアクセスを実現します。このとき、ユーザはVPN機器やRDPにおいてアイデンティティの認証/認可を実行し、成功すればリモートアクセスが許可されますが、これは攻撃者にとっても同様であり、攻撃者はアイデンティティを侵害できればインターネットから社内環境へ侵入できるということです。
そのため、従来は攻撃者が社内環境へ侵入するためにはネットワーク境界の内部に接続された端末を掌握する必要があり、初期侵入のTTPsは「メールに添付されたマルウェア」が主流でしたが、現在はリモートアクセスを悪用したTTPsに移行してきています。実際に、警察庁のレポート[iii]によると、2022年に報告されたランサムウェア被害うち、感染経路の80%以上はVPN機器やRDPなどのリモートアクセスに起因するものであったと公表されています。
リモートアクセスを悪用した攻撃の例
また、社内環境への侵入後においても、アイデンティティ侵害は重要な役割を担います。例えば、昨今のランサムウェア被害の多くは、攻撃者が社内環境への侵入に成功しても、直ちに侵入した端末の周辺を暗号化するのではなく、被害範囲を極大化するために侵害範囲の拡大を試行する傾向があります。これは、特権(ドメイン管理者など)の獲得を目指して横展開を繰り返すプロセスであり、横展開のTTPsにおいてアイデンティティ侵害は欠くことのできない要素になります。
実際に、CrowdStrike社のレポート[iv]によると、侵入型攻撃の62%はアイデンティティ侵害を伴うTTPsが悪用されており、Active Directoryに対する攻撃手法であるKerberoastingの悪用は583%増加したと報告されています。
ランサムウェアの手法の変遷
アイデンティティの脅威対策の現状
このようにアイデンティティの脅威が急増している一方で、その対策は十分に浸透しているとは言い難い状況です。
例えば、ゼロトラストを背景としたセキュリティ対策は、EDR・CNAPP・SASEなどが市民権を得ていますが、これらと比較するとアイデンティティの脅威対策は見過ごされがちです。脅威に対して対策が不足している現状を放置すれば、今後もアイデンティティ侵害を止めることはできないため、早急に対策を強化することが必要です。
また、ここで注意しなければならないのは、アイデンティティのセキュリティ施策としてはIAM(Identity and Access Management)が最も普及していますが、これは一般に脅威対策を意味しません。IAMとは名前の如く「アイデンティティとアクセスの管理」を提供するアイデンティティシステム自体を意味し、これを保護するものがアイデンティティの脅威対策になります。
ゼロトラストを背景としたセキュリティ対策の概観
ITDR(Identity Threat Detection and Response)
このようなアイデンティティの脅威および対策の現状を背景として、いまITDRが注目されています。これは2022年のサイバーセキュリティ・トップトレンドとしてGartner社によって提唱[v]された概念であり、アイデンティティの脅威に対して以下の機能を提供するツール/ベストプラクティスと定義されています。
ITDRの機能概要
EDRがエンドポイントの脅威に対して検知と対応を提供するソリューションであるように、アイデンティティの脅威に対して検知と対応を提供するソリューションがITDRです。まだ新しい概念であるため、製品によって機能・実装は多様に存在しますが、弊社のマネージドITDRサービスの取り扱い製品である「CrowdStrike Falcon Identity Protection」の機能を実例として、その効果についてご紹介します。
リスク可視化
他の脅威対策と同様に、インシデントを防止するためには、リスクを特定して対策を施すことが重要です。アイデンティティのリスクは多岐に渡りますが、代表格はパスワードやアクセス権限に関するものであり、例えば以下のような事項が考えられます。
アイデンティティのリスクの例
いずれも初歩的な事項であるものの、これらを漏れなく把握することは難しく、実際にこれらに起因するインシデントは多数報告されています。また、アイデンティティは設計工程にリスクを特定することは相対的に易しいものの、運用工程以降に新しく発生したリスクを認知することは難しいという課題もあります。リスク可視化の機能では、アイデンティティのリスクを継続的に監視し、リアルタイムに特定することを可能にします。
インシデント検知/対応
リスクを特定/修正してインシデントを予防することは重要ですが、それでもインシデントを完全に回避することはできません。そのため、アイデンティティにおいてもインシデントの発生を前提としつつ、その被害を最小化するための対策が重要になります。インシデント検知/対応の機能では、以下の機能によってこれを実現します。
インシデント検知/対応の機能
ポリシー制御
ゼロトラストの本質は「アイデンティティの認証/認可」であることを説明しましたが、ゼロトラストにおける認証/認可は、単純に「パスワードによるログイン」だけを意図していません。NIST SP800-207では、「Tenets of Zero Trust」として遵守すべき事項が定義されていますが、認証/認可に関しては以下のように述べられています。
- リソースへのアクセスは動的なポリシーにより決定する
- リソースの認証と認可は動的に行い、アクセスが許可される前に厳格に実施する
- 可能な限り多くの情報を収集し、セキュリティを高めるために利用する
ゼロトラストにおける認証/認可は、「可能な限り多くの情報」と「動的ポリシー」に基づいて行うべきとされています。具体的には、クレデンシャル(パスワード)だけに依存することなく、様々な情報(例えば、時刻・地理的情報・デバイスのセキュリティ態勢・アクティビティのベースラインなど)に基づきアイデンティティの信頼度を評価し、その信頼度とリソースの重要度を勘案してアクセス可否を動的に判断することが求められています。
このような認証/認可は、セキュリティレベルの高いWebアプリケーションなどにおいてリスクベース認証(普段と異なるブラウザからのログインに追加認証を要求する、など)として普及していますが、社内環境への普及は難しく、例えばActive Directoryの機能だけでは実現することができません。
ポリシー制御の機能では、既存のアイデンティティ基盤にオーバーレイする機能として、上記のような認証/認可を提供します。また、前述の機能によって識別されたリスクやインシデントの情報を認証/認可の評価要素として活用することも可能です。
おわりに
本稿では、ゼロトラストについて再考し、その本質であるアイデンティティの重要性と、脅威対策について解説しました。当然ながら、脅威対策の基本は多層防御であり、アイデンティティ以外の対策(EDR・CNAPP・SASEなどが)が同様に重要であることは言うまでもありません。しかし、アイデンティティの重要性に見合った脅威対策が十分に浸透しておらず、その現状を理解した攻撃者はアイデンティティを標的にしていることも見過ごせない事実です。
NRIセキュアでは、マネージドITDRサービスをご提供しております。ご関心を持っていただけましたら、貴社を担当するセキュリティ・コンサルタントまでお気軽にご相談ください。
[i] Next-Generation Access and Zero Trust
https://www.forrester.com/blogs/next-generation-access-and-zero-trust/
[ii] CSR “SP 800-207, Zero Trust Architecture”
https://csrc.nist.gov/pubs/sp/800/207/final
[iii] 警察庁「令和4年におけるサイバー空間をめぐる脅威の情勢等について」
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R04_cyber_jousei.pdf
[iv] CrowdStrike ”2023 Threat Hunting Report”
https://www.crowdstrike.com/resources/reports/threat-hunting-report/
[v] Gartner “Top Security and Risk Trends in 2022”
https://www.gartner.com/en/articles/7-top-trends-in-cybersecurity-for-2022
