サイバー攻撃の傾向変化で増大する「アイデンティティ保護」の必要性
2つ目のセッションでは、企業向けにITソリューションを提供するマクニカのネットワークスカンパニー セキュリティ第3事業部第2技術部で課長を務める高梨裕史氏が「最新セキュリティ対策から考えるアイデンティティセキュリティの重要性」と題して講演を行った。同社では、IDaaSである「Okta」の提供、サポートを行っている。内海氏の講演内容を受け、特に近年のセキュリティ状況において、認証・認可の要となる「アイデンティティ保護」の重要性が高まっていることと、そうしたニーズに対して「Okta」が提供できる価値について紹介した。
高梨氏は冒頭、経済産業省が行っている「サイバーセキュリティ対策の強化について」の注意喚起について触れ、その中で「脆弱性の管理(パッチ適用)」「メールの添付ファイル開封時の注意」に加えて、「パスワードの確認」「アクセス権限確認」「多要素認証の利用」「不要なアカウントの削除」といった「アイデンティティ保護の対策」の必要性に言及されていることを指摘した。
参考リンク
サイバーセキュリティ対策の強化について注意喚起を行います (METI/経済産業省)
同社が観測したインシデント事例においては、海外にある関連会社の脆弱な端末が侵害され、RDP経由で国内の端末へ侵害が拡大したケースや、脆弱な端末が侵害された後に「Active Directory」の侵害を狙った挙動が見られたケースなどがあったという。これらはいずれも、認証・認可に関わる「アイデンティティ」(ID)情報が狙われたり、実際に侵害されたりした点が共通している。
「前者のケースでは、正規のユーザーIDとパスワードを利用して侵入が行われた。侵入後の偵察フェーズにおいても、攻撃用の実行ファイル(.exe)ではなく、OSの正規ツールが利用されたため、検知や対策が困難だった」(高梨氏)
高梨氏は、昨今の「標的型攻撃」「組織侵入型ランサム攻撃」の特徴として「従来の入口対策、出口対策の経路を通らず」「正規のユーザーとしてシステムに入るため、遠隔操作を行うための悪性プログラム(トロイの木馬等)を使わずに、Windows PowerShellのような正規のツールを利用して情報窃取やランサムウェアの実行を行う」傾向が高まっていることを挙げた。
“侵入は防げない”ことを前提としたIDセキュリティを提供する「Okta」
こうした傾向があることを踏まえながら、企業が打てる対策としては「IT資産の可視化・脆弱性の管理」「国内、海外拠点のガバナンス統制」「多要素認証などのアイデンティティ保護対策」「エンドポイントベースでの検知」「アイデンティティベースでの検知」などが挙げられる。しかし、ネットワーク環境の変化や攻撃手法の洗練が進む現状において「侵入を完全に防ぐことは難しい」現実がある。
「侵入の完全な排除が難しく、正規の権限を持ったユーザーを装おうとする攻撃が増えていることを考えると“侵入は避けられない”ことを前提に、正規のIDを利用している場合でも、その振る舞いに応じて脅威の検知や防御を実行できるような対策が必要となってくる」(高梨氏)
高梨氏は、IDaaSである「Okta」について、特にIDセキュリティ、アクセス管理の観点から、そのメリットを紹介した。
Oktaでは「コンディション」に応じた認証制御による本人確認の厳格化が行える。ここで言う「コンディション」には、IDが属するユーザーグループや、アクセス元のネットワーク(IPアドレス)、アクセス先のアプリケーションといった「静的コンディション」、アクセスに使われているデバイスのステータス等が含まれる。各コンディションに応じて、必要な「認証要素」(パスワード、ワンタイムパスワード、セキュリティトークン、生体認証など)を組み合わせて、認証強度をコントロールできる。いわゆる「多要素認証」(MFA)の仕組みを、Oktaを通じて組織に導入することが可能だ。
「Oktaでは、ユーザー側のニーズやガバナンス状況に応じて、柔軟な認証ポリシーを設定できる。正規アカウントであっても、状況に応じて本人確認を厳格化することで、近年増加しているタイプの脅威に対しても有効な認証・認可の基盤として活用できる」
「Okta」を中心とした製品間連携ソリューションの例
Oktaの特徴的な連携ソリューションの例として、高梨氏は「ITDR」(Identity Threat Detection and Response)を挙げた。これは、EDRがエンドポイントデバイスの「振る舞い」を分析して脅威を検知する仕組みに準じて、Active DirectoryやOkta等の「IDインフラ」上でやり取りされる認証・認可に関連したトラフィックの振る舞いから、疑わしい振る舞いを検知し、該当するIDの認証をブロックしたり、追加のMFAを要求したりといった対応が行える機能になる。
Oktaは、他社のセキュリティソリューションとの連携によって、より高い効果を発揮する。セッションでは、EDR/ITDRソリューションを提供する「CrowdStrike」や、統合ネットワークセキュリティ(SASE)を提供する「Netskope」と、Oktaとのアライアンスについて紹介された。
アライアンスの具体例としては、例えば、CrowdStrikeとOktaを連携させることで、CrowdStrikeの「Falcon」センサー機能を通じ、クラウド環境だけでなく、オンプレミスでのアクセス要求に対しても、Oktaで統合的にMFAを実施できる。また、NetskopeとOktaとの連携では、ネットワーク上でのユーザーの挙動をNetskopeのソリューションで監視し、必要に応じて、Oktaによる認証強度のコントロールを行える。特定のIDに付与されたアクセス権限を降格させるような柔軟な対応が可能だ。
「現在マクニカでは、Okta、CrowdStrike、Netskopeと連携しながらより理想的なゼロトラスト環境を実現するためのソリューションを検討している。今後、4社連携のソリューションセミナーなども実施していく予定だ」(高梨氏)
「MFA」に対する攻撃への対策は万全か?
Oktaでは、状況に応じたMFAを実現できるが、近年では「MFAそのもの」に対する攻撃も増加傾向にあるという。MFAが突破されてしまう攻撃手法の例として、高梨氏は下記を挙げた。
・AiTM(Adversary in the Middle)…攻撃者が設置した偽サイトがProxy的に動作し、MFA認証後に発行されるCookieを窃取する。偽サイトへの誘導はフィッシングで行われる
・MFA疲労攻撃(MFA Fatigue)…何らかの方法で正規ユーザーのID/パスワードを攻撃者が入手し、認証を要求する。正規ユーザーがプッシュ認証に誤タッチするまでログインを試行する
・休眠アカウントテイクオーバー…アカウント作成完了後にMFA登録がされていないID/パスワードを取得し、攻撃者が自分のデバイスをAuthenticatorとして登録して正規サイトにアクセスする
・SIMスワッピング…入手したユーザーの個人情報を使って携帯キャリアにSIMの再発行を依頼。そのSIMを攻撃者が入手し、SMSや音声によるワンタイムパスワードを入手する
特にAiTMについては、2022年にも大規模な攻撃キャンペーンがあったことが報告されている。AiTMで多用される「フィッシング攻撃」については、公開鍵暗号方式に基づく電子署名を用いた「FIDO2」認証が有効であるという。ただ、FIDO2認証は、フィッシングへの耐性は高い一方で、対応機器の導入に対するコストが高いという課題があり、企業での導入は進んでいない状況だ。Oktaでは、「Okta FastPass」と呼ばれる認証方式を用いて、FIDO認証と同等の効果を持つ対策を行えるという。
「Oktaのアプリケーションである“Okta Verify”を利用することで、特別な認証器を使わずに、フィッシング攻撃対策、パスワードレス化が可能になる。セキュリティ強化にあたって、利便性や生産性の向上にも寄与するソリューションとなっている」(高梨氏)
高梨氏は、セッションのまとめとして、近年のIDをベースとする攻撃手法の増加により「アイデンティティ保護」の対策強化が必要になっていることを改めて強調した。
「マクニカでは、Oktaを中心としたソリューション連携によって、アイデンティティセキュリティを実現することが、理想のゼロトラスト環境に近づくための最適解になっていくだろうと考えている」(高梨氏)
市場調査から見えた「ゼロトラスト化に向けた企業の取り組み状況と課題」
最後のセッションでは、マクニカのネットワークスカンパニー セキュリティ第3事業部第2技術部の上田峻輔氏が、同社で実施した「ゼロトラスト環境」についての市場調査結果を紹介した。
調査は、2022年2月下旬から3月上旬にかけて、従業員1,000人以上の企業におけるIT導入意思決定者を対象に、 Webアンケート形式で行われた。有効回答数は228となる。ここでは、主要な項目を抜粋して取り上げる。
・アフターコロナ後のリモートワーク状況
調査結果では、業務のほぼすべてにテレワークを取り入れている企業は11%、「50%以上(取り入れている)」と回答した企業は45%となった。「少しでもテレワークを取り入れている」企業を含めると、全体の約9割の企業が「テレワークを採用している」という結果である。また「コロナ禍終息後の見通し」については、「現在テレワークを導入しており、コロナが落ち着いてからもテレワークの実施を継続または拡大予定」という回答が57.5%で最も多く、「現在テレワークを導入していないが、コロナが落ち着いてからはテレワークを導入予定」の0.4%を含めると、58%の企業がテレワークに積極的であった。
「これらの結果から、今や、テレワークは、アフターコロナの“新常識”として常態化している状況が見えてくる」(上田氏)
・「ゼロトラスト」の進捗状況
リモートワークの状態化に伴い、企業の関心が増すと考えられる「ゼロトラスト」については、環境の構築、推進に対する意欲が高いことが分かった。
「ゼロトラストに対応したシステム設計・運用を実施している」のは、全体の15%。「ゼロトラストに対応したシステム設計・運用を検討中」が30%。「ゼロトラストに対応するために情報収集中」は24%で、全体の7割が「ゼロトラスト」の導入を推進、あるいは導入に前向きであった。
しかし、進捗状況に対する質問では、導入意欲の高い企業であっても「一部導入済み」や「今後導入予定」としているところが大半であり「ゼロトラストへの取り組みは、緒に就いたばかり」というのが実態である。
・ゼロトラストの「ソリューション」導入状況
既に導入している、あるいは導入を検討している具体的なソリューションを聞いた項目では「IDaaS」「EDR」の導入率が、いずれも全体の4割弱にのぼり、活用が進んでいることがうかがえた。これらに次いで導入率が高かったのは、「UEM」(端末の統合管理)の25%、「SIEM」(セキュリティ情報・イベント管理)の22%であった。一方で「導入予定」率が高かったのは「SWG/CASB」(セキュリティゲートウェイ)の28%と、「ZTNA」(ゼロトラストなリモートアクセス)の27%となっている。
「この調査結果を俯瞰すると、“ユーザー”“デバイス”“アプリ・データ”の3種類の情報に基づいた“3点防御”に高いニーズがあることが分かった。IDaaSによるユーザーの認証・認可、EDRとUEMによるデバイスの健全性の確認、そしてSWG/CASB、SD-WAN、DLP、ZTNAといった要素は、いわゆる“SASE”が提供する機能。この3要素に基づいたアクセス制御こそ、企業が求めているゼロトラストの実現手法であると言えるのではないか」(上田市)
複雑化するソリューションへの対応に苦慮
「3点防御」によるゼロトラストネットワークの構築に対する企業の意識が高いことが見えてきた一方、そのためのソリューションの導入や運用を「負担」と感じる企業も多いことが、別の調査結果から明らかになっている。
導入状況を調査した12のソリューションについて「導入済み、導入予定」と回答した企業の外部委託状況聞いたところ、「委託予定」まで含め、最も外部委託率が低かったUEM(端末の統合管理)でさえも、4割超の企業が外部委託を行っていた。そのほかに、外部委託の比率が高かったのは、「SD-WAN」の36%、「SIEM」の35%、「IDaaS」の32%となっている。
「この調査では、今後の外部委託意向が高いソリューションも見えてきた。特に、“SOAR”(Security Orchestration, Automation and Response、セキュリティ運用業務の効率化・自動化)については、“外部委託済み”が18%だったのに対し、“委託予定”が半数近い46%となっており、委託移行が高いことがうかがえる」(上田氏)
本調査では、ゼロトラストの導入と運用について外部への委託ニーズが高い状況が明らかになったが、合わせて、企業側は、何が「自社に不足している」と考えているのだろうか。「自社に不足している体制・仕組み」について聞いた質問では、「ID・認証基盤の統合・整備」が43%、次いで「ゼロトラストの導入や既存からの移行に向けたロードマップの策定」が41%という結果となった。
このほか「エンドポイントを統合的に管理する体制」「よりセキュアなリモートアクセスの実現(脱VPN)」「様々なログの可視化・解析業務」も高い比率となっており、特に専門性が高い業務については、企業が「自社で対応するのは難しい」と考えていることが読み取れる。
IDのライフサイクル管理における課題
本セミナーでは、他のセッションにおいても、「IDP/IDaaS」の導入で認証・認可に関わるIDセキュリティを確保することが「ゼロトラスト」の実現に向けた第一歩であることが繰り返し強調されてきた。IDの「ライフサイクル管理」は、その重要な要素のひとつである。
従業員の入退職や異動に応じたアプリケーションのアカウント作成、変更、廃止、各ユーザーに対する適切なアクセス権限の付与といった作業は、特に手動で行おうとすると膨大な手間が掛かり、オペレーションミスの発生も起こりがちである。特に「Okta」のようなIDaaSの導入にあたっては、こうした「IDライフサイクル管理」に関する課題の解決にあたり「管理の自動化」は必須要件と言える。
Oktaでは、こうした管理の自働化にあたり、標準機能に加えて「Okta Workflows」と呼ばれるツールを提供している。Okta Workflowsでは、通常であればスクリプトやコードによる記述が必要となる複雑な処理を、ローコード・ノーコード環境で実現できる。
具体的には、OktaおよびSaaSのアカウントを定期的にチェックするワークフローを設定しておくことで、Okta側に存在せず、SaaSにのみ存在している、いわゆる「ゾンビアカウント」を削除したり、長期間、対象となるSaaSを利用していないアカウントを抽出し、そのリストをメールや「Microsoft Teams」「Slack」といったチャットツールを通じて管理者に通知したりといった使い方ができる。また、前出のCrowdStrikeのようなEDR製品と連携し、EDRから送られた情報をもとに、Okta側で特定のアクションを起こすといった挙動も「Okta Workflows」で実現できる。
マクニカでは、Oktaを導入しているユーザーに対し、自社のニーズに合わせて「Okta Workflows」を最大限に活用できるようにするための、独自のサポートプラン(有償)を2種類提供している。
1つは「Workflows運用代行サポート」だ。このプランでは、ユーザーとのミーティングを通じた課題抽出から、要件のすり合わせ、Workflowsによる実現可能性の検討などをマクニカが実施する。その後、フローの作成・検証を行い、ユーザー環境にデプロイした後には、動作状況の監視や想定外の動作が確認された場合の対応、作成されたフローの修正等に関するメールによる技術情報の提供などについても支援を行う。
もう1つの「Workflowsトライアルサポート」は、管理者を対象としたWorkflowsの機能概要やフロー作成手順等に関する「勉強会」の実施、初回フロー作成にあたってのハンズオン形式でのレクチャー、設計内容や作成フローに関するプロフェッショナルエンジニアのレビュー等を提供する。
「主に前者は、自社単独での運用が難しいと考えているユーザー向けのプラン。後者は、将来的に自社での運用を目指すユーザー向けのサポートプランとなっている。Workflowsによる運用の自動化は、Oktaを効果的に活用していく上で必須要件と言える。Oktaの導入にあたっては、自社の状況に合わせて、これらのサポートサービスの活用も、ぜひ検討してほしい」(上田氏)
