サイバー攻撃の複雑化・巧妙化を受け、企業のセキュリティ対策は、「侵入させない」から「侵入前提」へと移行しなくてはならない。その際には、いかに早期に不正侵入を検知し、被害を最小限に抑えて復旧するかというレジリエンス(回復する力)が課題となる。今回は、企業がレジリエンス能力を高めるために必要な5つのステップを紹介する。
1:ゼロトラストの考え方にシフトする
これまで企業は、「侵入させない」セキュリティ対策に注力していた。これからは「侵入前提」、つまり「避けることができない侵入もあるため、既にネットワークへ脅威が侵入し、IT環境や情報資産が侵害されているかもしれない」という考え方に切り替える必要がある。それを実現するには、「ゼロトラストフレームワーク」の導入が有効となる。
これまでのセキュリティ対策は、企業ネットワーク内部のトラフィックを自動的に信頼し、外部からのアクセスには危険なものや悪意のあるものがあるとして、ユーザー認証などを実施していた。ゼロトラストの考え方では、ネットワークの内部・外部を問わず、あらゆるソースからの自動アクセスを排除し、代わりに「ホワイトリストモデル」を採用する。
ホワイトリストの要素は、ユーザー、デバイス、アプリケーション、ネットワークであり、例えば、ユーザーは同じでもデバイスがいつもと違う場合には、追加の認証を行う。また、ネットワーク内でのラテラルムーブメント(水平移動、IT環境内のさまざまな領域へのアクセス)は、許可されたもの以外は遮断される。つまり、エンドポイントデバイスがマルウェアに感染しても、そこで封じ込めることができるので、感染の拡大を防ぐことができる。
2:最小特権の原則を適用する
ネットワークを健全に利用できるようネットワークにガバナンスを適用することは、ゼロトラストフレームワークを実現する重要なアプローチである。このネットワークガバナンスでは、誰がどこにアクセスできるかをきめ細かく設定できる必要があり、アクセスを許可する際には、最小権限の原則に基づいて許可することがポイントとなる。
現在のサイバー攻撃による不正アクセスでは、侵入したマルウェアがラテラルムーブメントを行い、Active Directoryのコントローラーなどに不正アクセスし、権限の昇格を行う。ラテラルムーブメントが起きている際に最小権限の原則を適用することで、たとえ攻撃者がActive Directoryのコントローラーにアクセスできたとしても、何の操作も行えないようにできる。ラテラルムーブメントそのものを遮断することも可能だ。
具体的には、管理者がネットワーク上での通信を許可されたアプリとサービスを定義し、次にネットワークを監視・分析・把握して、見落としがないことを確認する。最後に、許可されていないものをブロックするために、その制御をオンにする。最小権限のアプローチにより、管理者は不要なネットワーク通信を簡単に停止することが可能になる。
