はじめに
クラウドサービス普及やテレワーク浸透もあり、従来の境界防御モデル(ペリメータモデル)に代わり、「すべてのアクセスを信用せずに逐一認証する」というゼロトラストセキュリティが注目されています。しかしゼロトラストの実践には、自社のネットワークやデータ活用状況の把握、適切な製品・サービス選び、業務フローの変更などが必要です。そのため、従来のセキュリティを一気にゼロトラストに置き換えるのは簡単ではありません。
そこで本記事では、ゼロトラスト実践に向けた現実的な取り組みとして、「認証」の基礎知識について、ソリトン社の『NetAttest EPS』を例にご紹介します。
目次
従来は主流だった境界防御の構造的な弱点
従来は主流だった境界防御モデル(ペリメータモデル)は、内部(社内ネットワーク)と外部(インターネット)を分けて内部は安全であることを前提とし、境界を監視する考え方です。この考え方に基づく対策の例として、たとえばファイアウォールによる不正アクセス防御や、VPNを用いた安全な通信の確保などが挙げられます。この対策は一定の効果があり、長い間利用されてきましたが、構造的な弱点がありました。
境界防御モデル(ペリメータモデル)に基づいて防御を強化することは、つまり「境界の監視」を強化することに他なりません。正規の経路でアクセスする内部犯や、マルウェアを利用して社員の端末からID・パスワードといった認証情報を窃取された場合のように、境界で異常を検知できない攻撃に対して境界防御モデルは無力です。
サイバー攻撃の主要な目的は、自己顕示欲を満たすことから、企業・組織への嫌がらせや金銭要求へと変わってきました。目的の変化に合わせて不特定多数に向けた攻撃は減り、標的型攻撃の割合が増えたことも、この境界防御の構造的な弱点が狙われる確率を高めました。こうして、ネットワークセキュリティに関する考え方自体を変えることが必要になっています。
セキュリティ対策をどのようにアップデートすべきか
働き方多様化やDX推進などの影響でネットワーク活用は急速に変わっており、従来のセキュリティ対策だけでは安全ではないと感じていても、抜本的な見直しを進められていないという企業は少なくありません。その大きな原因はセキュリティ対策に関する人的リソースや予算の不足です。
もちろんセキュリティ対策を抜本的に見直し、従来の対策を廃止してゼロトラストに代表される新しい考え方に基づいた対策を導入することが理想です。しかしそれが難しい場合は、可能な範囲で、セキュリティ強度を段階的に強化するべきでしょう。そこで、従来の境界防御モデル(ペリメータモデル)と組み合わせた場合に効果的で、ゼロトラストの考え方にも適合し、継続可能な対策を探す必要がでてきます。
多層防御とゼロトラストに共通する「認証」の強化
従来の境界防御モデルに基づく対策をしていた企業にとって弱点である、「何らかの方法により境界を越えて侵入されてしまった場合の対策」として、現実的に導入しやすい方法とは何でしょうか。
境界防御モデルに代わる考え方として注目されている「多層防御」や「ゼロトラスト」に共通するポイントの1つとして、「認証」の強化があります。
多層防御の基礎
多層防御とは、単一の対策に頼るのではなく、複数の防御層を設置するという考え方です。ウイルス侵入や不正アクセスといった脅威を未然に防ぐ入口対策と、社内ネットワークの異常を早期に検知する内部対策、社外へのアクセス経路制限や不審な通信のブロックといった出口対策で構成されます。
「認証」強化は、効果的な入口対策だといえます。
ゼロトラストの基礎
ゼロトラストとは、すべてのアクセスを信頼せずに逐次確認するという考え方です。すべてのアクセスを適切に管理するためには、各ユーザやデバイスの役割、アクセス権を明確に定義し、アクセスごとに認証・許可する必要があります。
「認証」強化は、ゼロトラスト実践の第一歩だといえます。
認証の基礎知識
IT分野における「認証」とは、主にネットワークやサービスへアクセスする際に、通信の相手を確認・特定することです。認証は、大きくユーザ認証とデバイス認証の2つに分類できます。アクセスしているのが本人かどうかを確認するのがユーザ認証、アクセスしている端末が許可されているかを確認するのがデバイス認証です。
手元の端末からネットワークを介してクラウドサービスや社内システムなどを利用する場合、IDやパスワードによるユーザ認証でセキュリティ対策することが一般的です。必要に応じて複数のユーザ認証とデバイス認証を組み合わせることで、安全性を高められます。
混同しやすい「デジタル署名」と「デジタル証明書」の関係
デジタルデータの複製は容易です。そのため機密性の高い文書などでは、データの中身が改ざんされていないか、データの送信者が本当に作成した本人であるかを確認するために、デジタル署名が用いられます。デジタル署名は原則として秘密鍵で作成され、公開鍵で検証されます。この公開鍵の正当性を証明するために採用されているのがデジタル証明書です。デジタル証明書は、やり取りするデータの正当性や送信者の身元を保証し、なりすましやデータの改ざん、通信経路上の盗聴等の防止を実現する上で、重要な役割を担っています。
デジタル証明書は、任意で有効期限を設定することができます。ユーザの退職時に自動的に無効化するように期限を設定できるほか、盗難や紛失時に即時に無効化するといった運用も可能です。
『NetAttest EPS』の機能から見る認証によるセキュリティ強化方法
効率的なセキュリティ強化には、複数の認証を組み合わせることが有効です。実際にソリトン社の『NetAttest EPS』の機能を例に、認証によるセキュリティ強化について見ていきましょう。
ユーザ認証の強化
ユーザ認証とは、アクセスしているのが登録されたユーザ本人であるかを確かめることであり、IDとパスワードは最も普及しているユーザ認証です。ユーザ認証には、手元の端末にアクセスする際のローカル認証とネットワークやシステムにアクセスする際のネットワーク認証があります。ビジネスでは無線LANやVPN、社内ネットワーク、リモートアクセスなどさまざまな形でネットワークを利用するため、ネットワーク認証が非常に重要です。
ネットワーク認証を強化するためにはIDとパスワードに加えて、証明書を利用する、使い切りパスワードを利用するといった方法を組み合わせるのが効果的です。ユーザ認証は、ユーザ本人による、セキュリティ対策が不十分な私用デバイスや安全とはいえない環境からのアクセスを防げない点には留意しておきましょう。
『NetAttest EPS』には、EAP-TLSはもちろんLEAPやCHAP、PAP、EAP-MD5などさまざまな認証方式に対応したRADIUSサーバ機能があり、ユーザ単位のネットワーク認証と通信制御を実現します。また、シンプルなワンタイムパスワード認証環境を構築できます。
デバイス認証の強化
デバイス認証とは、アクセスしているのが登録された端末かどうかを確かめることであり、ユーザにより変更ができない端末固有の値であるMACアドレスやシリアル番号などを利用した認証です。デバイス認証を強化するためには、デジタル証明書を使って信頼性を担保する方法が広く利用されています。
デバイス認証は、IDやパスワードを窃取された場合の「成りすまし」に弱い点に留意しておきましょう。
『NetAttest EPS』は管理者による簡単な操作で各証明書を発行する機能を持ち、サーバ証明書とクライアント証明書を発行するプライベート認証局として運用できます。
ほかの認証関連製品との連携
セキュリティ強度を高めるためには、複数の認証を組み合わせる二段階認証や多要素認証といった方法を用いることが有効です。そのため、ほかの認証関連製品との連携機能も重要です。
『NetAttest EPS』はWindowsドメイン認証連携をサポートしており、認証に既存のディレクトリ情報を活用できます。また、さまざまなネットワーク認証方式やプロトコルに対応しており、外部のLDAPサーバやRADIUSサーバとの連携も可能です。
アウトソースを活用したセキュリティ構築のすすめ
高度化・複雑化するサイバー攻撃に対応するためには、セキュリティ対策も強化し続ける必要があります。攻撃手法の流行にあわせた対策の追加や、クラウドサービス活用にあわせた見直しなど、安全を保つためには改善を続けることが理想です。しかし、セキュリティ対策の運用や管理負荷も大きくなっている昨今、情報セキュリティ対策の重要性は理解しているものの、人手不足や知見の不足が理由で、十分な取り組みができない企業も少なくありません。社内人材だけで対応するのが難しい場合には、情報セキュリティ対策のアウトソーシングを視野に入れるのがオススメです。
アウトソーシングには、専門人材育成が不要になる、属人化を解消できるといったメリットがある一方で、成功させるために気を付けるべきポイントがあります。まず、アウトソーシング先を選ぶ前に、社内でセキュリティ担当者だけでなく、経営層やIT活用担当者を交え、アウトソーシングの目的やアウトソースする業務範囲を決めておきましょう。次に、アウトソーシング先を選ぶ際には、単なるコスト比較ではなく、定期的なミーティングやナレッジ共有の仕組み構築といった社内のセキュリティ担当者との連携方法のほか、対応スピードとサポート体制(24時間365日対応の有無)に注目すべきです。
また、自社のセキュリティ対策に不安があり、そもそも社内にセキュリティを担当できる人材が居ないといった理由で広い視野から全面的に見直しをしたいという場合は、コンサルティング支援を実施している企業を探すとよいでしょう。セキュリティ対策やITシステムに精通した技術者から、自社のセキュリティ評価や課題取りまとめ、目標設定などについてアドバイスを受けられます。これにより、時間のかかるアウトソーシング先を選ぶ前の検討からスピードアップできます。
まとめ
サイバー攻撃が高度化・多様化する昨今、セキュリティを強化するためには、しっかりとした「認証」に関する対策が欠かせません。安全性をより高めるためには複数の認証方法を組み合わせる必要がありますが、クラウドサービスの普及や社外からのアクセスニーズといったさまざまな要素を勘案した製品選びが必要です。
セラクには専門性の高いセキュリティ技術者が多数在籍し、クラウドサービスの導入支援や情報システムに関するマネージドサービスなど、幅広い支援を提供しています。また、本記事でご紹介した『NetAttest EPS』をはじめ、ソリトン社のセキュリティ対策製品・サービスを取り扱っています。自社のIT環境に疑問・不安・お悩みなどございましたら、ぜひセラクへご相談ください。
