2月3日に開催されたセミナー「ZDNet Japan Security Trend 2020 Spring クラウドbyデフォルト時代の情報セキュリティ クラウドの普及とリスクの変化 ゼロトラストで考えるセキュリティ基盤再構築」にモバイルアイアン ・ジャパン チャネル営業本部長・エバンジェリスト 李奇・リチャード氏が登壇。
「何を疑い、どうやって確認する? モバイル中心のゼロトラストについて」と題して、モバイルを中心としたゼロトラスト環境の構築アプローチを解説した。
モバイルデバイスでゼロトラスト環境を構築するには
セキュリティ対策のキーワードの1つとして注目を集めるゼロトラスト。リチャード氏はまず、ゼロトラストをめぐる議論にはいくつかの切り口があり、議論が混乱しがちだと講演を切り出した。
「円柱は上から見れば円に見えますが、横から見れば四角形に見えます。ゼロトラストも同じで、ネットワークとエンドポイントという2つの角度があり、それぞれの角度によって解釈が異なっています。内容はどちらも正しく、私はエンドポイント、なかでもモバイルの視点からゼロトラストのアプローチを説明します」(リチャード氏)
モバイルアイアン ・ジャパン
チャネル営業本部長・エバンジェリスト
李奇・リチャード氏
リチャード氏によると、ゼロトラストを簡単に言えば「すべてを疑って、常に確認しなければならない」という考え方のことだ。何を疑い、確認するかはさまざまなポイントがある。例えば、モバイルデバイスが正規かどうか、適切に管理されているか、ユーザーIDは間違いないか、IDのほかに認証手段があるか、アプリケーションやネットワークの脅威があるかなどだ。また、そもそもの大前提として、モバイルデバイスのなかで業務領域と個人領域が分離されていることも重要になる。
「モバイルデバイス管理というと、かつてはMDMとして業務領域のデータをどうリモートロック/ワイプするかが重視されていました。しかし現在はそれだけでは不十分です。実際に今のソリューションははるかに高度な管理機能とセキュリティ機能を実装しています。万が一の保険ではなく、日々の運用に欠かせないツールなのです」(リチャード氏)
そこで重要になるのは、社員の利便性を損なわずに、業務領域と個人領域を分け、それぞれを適切に管理できるようにすることだ。
「例えば、個人領域ではアプリストアなどから地図アプリや乗り換えアプリを自由にインストールできるようにします。また、業務領域では管理者が指定・配布した仕事のためのアプリを一括で配布して管理できるようにします。その際、仕事のアプリで扱う情報を保護されない個人のアプリへと渡せないように分離することが重要です」(リチャード氏)
複数ログインアプリに注意、「デバイストラスト」だけでは不十分
個人領域と業務領域を適切に分離する際には、気をつけるべきポイントがいくつかある。リチャード氏はそれを4つのレベルに分け、レベルに応じて、対策を行っていくことが重要だと解説した。
レベル1は「複数のアカウントでログインできるアプリ」への対処だ。GmailやBoxのように、複数のアカウントでサービスにログインして利用できるアプリがある。もし業務領域にある業務用アプリに個人用アカウントでログインして業務関連のデータにアクセスできてしまうと問題が発生する。業務関連のデータがそのまま個人のクラウドスペースにアップロードされ、情報漏えいの温床になってしまうのだ。アプリのなかには企業向けバージョンを提供していないケースもあるため、対処が必要だ。
「便利なサービスは個人で利用している人も多く、新規アカウントも簡単に作ることができます。そうした人気アプリを企業が業務用アプリとして活用する場合、複数アカウントでログインして業務用データにアクセスできないようにします。これはログインできるアカウントを限定し、個人用アカウントからはログインできないようにすることで実現できます」(リチャード氏)
レベル2は、業務用データへのアクセス制御だ。多くの企業で採用している仕組みに、業務用データにアクセスできるのは業務用として会社が認めたデバイスのみというものがある。ただ、リチャード氏はこうした「デバイストラスト」だけでは不十分だという。会社に管理されているデバイスなら自由に業務データにアクセスできるため、そのデバイスにインストールされた個人領域のアプリからでも業務用データにアクセスできてしまうからだ。
「近年は、さまざまなアプリがSalesforceのような業務用アプリにAPIを使ってログインできるようになっています。社内でアプリを開発する際も、管理デバイスであれば、自由にログインできるという設計のもとでアプリを開発してしまいがちです。端末上に個人領域があるということを前提に、業務領域から業務データにアクセスするという発想のもと、アプリ開発や利用を行うことが大切です」(リチャード氏)
「パスワードだけ」は信用しない、脅威がないとの思い込みに注意
レベル3は、パスワードに対するトラストをどう行うかだ。リチャード氏によると基本的に「パスワードだけ」は信用できないと考えるべきだという。クラウドサービスは、ユーザーIDとパスワードを知っていれば、世界中のどこからでもアクセスして、誰でもどんな端末からでもログインできてしまう。
「二要素認証を導入して、パスワードだけではログインできないようにすることが重要です。二要素認証は、社員証やセキュリティカードを使うこともできますし、QRコード読み取りやマジックリンク認証などもあります。生体認証などを組み合わせて、いつも持ち歩くモバイル自体をIDにすることで、パスワードが不要なゼロサインオンも可能です。SAMLやWS-Federationなどの技術を使うことで、他のクラウドサービスや社内システムにもゼロサインオンできるようになります」(リチャード氏)
レベル4は、脅威がないとの思い込みに注意することだ。モバイルは、Windows PCなどに比べて脅威が少ないと思いがちだが、それは大きな誤解だという。iOSもAndroidも少なからず脆弱性を抱えており、古いデバイスは最新のアップデートが適用できないケースも多い。リチャード氏は、なんの改造もされていないiOSに対し、ユーザーに気づかれずにデバイスを乗っ取り、デバイスに保存された写真やデータを盗み取るデモを披露した。「脅威はいたるところにあり、モバイルデバイスは安全だと思いこむことはたいへん危険なことです」と警告した。
こうしたポイントに対応できるようにするのがモバイルアイアンのソリューションだ。モバイルアイアンのソリューションは380社とのエコシステムパートナーシップのもと、世界1万9000社のユーザーに利用されおり、業界からの評価も高い。
リチャード氏は最後に「モバイル中心でゼロトラストを考えるときに重要なことは、情報は業務領域に入っているか、業務領域は守られているかです。これらに注意して取り組みを進めてください」と訴え、講演を締めくくった。