高度化するサイバー攻撃に備えた、セキュリティの「革新」
三浦マーク氏:みなさん、こんにちは。ゼットスケーラー パートナーソリューションアーキテクトの三浦と申します。本日は「ゼロトラスト時代のセキュリティの革新」をテーマに、みなさまにサイバーセキュリティに対するより強固な防御と、運用の最小化、そして新しいアップデートも一緒にご紹介させていただきたいと思います。どうぞよろしくお願いいたします。
我々ゼットスケーラーは「Experience your world, secured」という新しいタイトルを掲げて、セキュリティと生産性を両立しながら、みなさまのデジタルトランスフォーメーションをより安心・安全に進めていくことを軸足に、いろいろなイノベーションを用意させていただいております。
簡単に申し上げるならば、高度化するサイバー攻撃に対してスピード感を持って、今まで以上に攻撃表面を削減するようなアーキテクチャや、みなさまの攻撃耐性を向上していくような新しい機能が含まれております。
一方で、単純にオンプレミス(自社運用)のサーバーだけではなく、クラウドシフトに伴ったワークロードなどもみなさまのリソースになっているんですが、当然企業のネットワークから外れたかたちでブレイクアウトする端末やセンサーも増えてきています。
我々としてはみなさまのリソースに対して、センターオブエクセレンス(CoE:組織を横断する取り組みの中核となる部署や研究拠点)を可視化、そして自動化を実現していく(サービス)。または学習(ツール)を含めて、いろいろとご紹介をさせていただければと考えております。
従来のインフラは、サイバー攻撃者にとって隙をつきやすい
まずそもそも、従来のインフラがなぜ追いつかなくなってきたのかをまとめて振り返ります。
今までの本社・データセンターでセキュリティを担保し、そしていろいろな拠点をネットワークで延伸していく、あるいはVPNで支援していくといったアプローチを伴うと、攻撃者からすると隙をつきやすくなります。つまり攻撃点が増大している。
例えばVPNが狙われるとか、クラウド上の公開された、あるいは設定の足らない部分が狙われるとか。セキュリティに劣っている拠点・サプライチェーンが狙われるという話があると思います。脆弱なポイントさえ見つかってしまえば、簡単にそこから内部に侵入できてしまう。
内部はネットワークが延伸された世界ですから、いろんなものがラテラル(水平展開)で見つけやすくなってしまう。それでは安心して外で仕事ができない、業務ができない、クラウドが使えないという話になってしまいます。
ゼロトラストアーキテクチャは“窓のない家”
そこで注目されているのがゼロトラストアーキテクチャです。従来のアーキテクチャを例えるならば、左の絵の“窓のある家”です。いろいろな脆弱なポイントを持っていて、そこを1つつかれてしまうと、中の大事な情報や資材が持っていかれてしまう。
これに対していろいろな企業がゼロトラストアーキテクチャ(を採用しています)。いわゆる“窓のない家”です。そもそも外から中が見えない環境を作る、入れないアプローチを作っていく。
(内部のリソースも、使えるのは)認証・認可を与えた部分に関してだけ。青い丸が書いてあるように、「君はソファに座っていいですよ」「あなたは暖炉のそばに行っていいですよ」といったかたちでセグメントを細かく切っています。決まったところしかいけないアプローチで、余分なラテラルが起きない環境を作る「対象軽減の法則」を徹底しています。
この環境があるからこそ、データセンターを徐々に縮退し、IaaSのほうにサーバーを持っていくことができ、よりセキュアやクラウドの活用が進むことになります。
我々ゼットスケーラーのソリューションは、みなさまが参照されているNIST(米国国立標準技術研究所)のゼロトラストアーキテクチャに準じたかたちで構築されております。事実ゼロトラスト発祥となったDoD(国防総省)をはじめとし、いろいろな連邦政府で、我々のゼロトラストアーキテクチャを採用いただいております。
自動化などの新しい機能も追加
根幹となるゼロトラストのアーキテクチャは、我々で言うところの「Zero Trust Exchange」です。 このプラットフォームに対してみなさまが求められるセキュリティレベルについて、例えば「場所を問わずインターネットをセキュアに使っていきたい」「クラウドのデータにアクセスしたい」といったところのお話をさせていただきます。
(サイバー攻撃者に脆弱なポイントが)見つかってしまうと、攻撃の表面を作ってしまう。そこをまずゼロトラストの利点によって大きく削減していく。しかし標的型攻撃も非常に洗練されてきておりますので、今回新しい機能として、自動化やリアルタイムの脅威に対応する施策などが入ってまいります。
またスライドの3番・4番に書いておりますけれども、ラテラルができない環境を作っていくこと。そして最終的には、みなさまの情報がどういった類のデータであるのか、(どのような制限)ポリシーをかけていけばいいのかも含めてある程度自動化し、リスクを削減していくような新しい機能も含まれております。
新しい機能を大きく2つに分けまして、それぞれメジャーなところを紹介していきます。
まず1つ目がAI・マシンラーニング。この技術を活用することによって、今のサイバーリスクに対応していくセキュリティ強化(が可能となります)。
2点目は、クラウドシフトが進み、みなさまはいろいろなデータもしくはサーバーをクラウド上で活用しています。その流れの中での態勢管理の自動化によるセキュリティも含まれております。本日はこちらを順次ご紹介していきたいと考えております。
よく使われるサービスを狙ったフィッシングサイトの台頭
まず最初に、AIによるサイバーセキュリティの強化という点です。1点目といたしましては、なにもかもフィッシングです。みなさまもフィッシングに関して情報をいろいろお聞きになってらっしゃると思いますけれども、3年前と比べますとフィッシングサイトの生存期間が半分になってきております。
昔は1日1サイトごとのスパンで新しいものができた世界だったんですが、現在では13時間ごと、あるいは13時間以下で(フィッシングサイトが)変わっていく、捨てられていく。そして、新しいものが出てくる(ことで対策が難しくなっています)。
またみなさまOffice 365やMicrosoftのサービスをご利用かと思うんですが、そういったよく使われるサービスも狙われてきております。実際にMicrosoftのサービスを模したフィッシングサイトが台頭してきていることも特徴として挙げられます。
実際にこちらの画面を見ていただきたいんですが、パッと見ユーザーからしてみれば、普通にMicrosoftのログインサイトにしか見えません。
みなさまはアカウントをためらいなく入力してしまうかもしれません。しかしこれは悪意のあるサイトですので、アカウントが窃取されたり、もしくはバックグラウンドで何か変なものが落ちてくるかもしれません。
それに対して我々は、リアルタイムに多角的なリスクを鑑み、ブラックサイトであるとわかれば、AIの「止めるべきサイトだ」という判断で、ユーザーのクリックに対して防御することができます。マルウェアの感染を未然に防ぐことができるというアプローチを、まず1つとらせていただきます。
(このように)感染するリスクを大幅に削減していくような新しい機能が追加されております。
ユーザーの「振る舞い」も追跡し、リスクを可視化
それではグレーなサイトはどうか。怪しいけれど、止めたらユーザーからクレームがきたり業務に支障が出たりする場合は、無害化(をします)。いわゆる画像転送といった技術を使うことによって、わからないサイトは無害化してユーザーに見せるというアプローチを提供させていただきます。
今まではそこに対してポリシーを聞いていたんですが、今回の新しい機能に関しては、ワンクリックで(行っています)。「スマートブラウザ隔離機能」というものが内包されております。
これもAIの機能なんですが、今そのサイトのリスクがどういったものなのか、グレーゾーンであればポリシーに関係なく、自動的にユーザーに対して無害化を適用して見せてあげる。かゆいところに手が届くような、生産性を生かしてリスクを下げる新しい機能を付随して提供させていただいています。
そして次に一番下を見ていただきたいんですが、UEBA(User and Entity Behavior Analytics:ユーザとエンティティの行動分析)です。いわゆるユーザーの「振る舞い」をちゃんとトラッキングできるような仕組みも、新しい機能に入っています。
例えばこちらのUIは今までなかったものです。企業全体のサイバーリスクが今どういった状況なのか、一元的に可視化するようなUIも登場してまいります。この中でユーザーごとのリスクが確認いただけるようになっております。
どんなアクティビティをとったから、今どういったリスクがあるのか。一方で企業全体のリスクの平均はこれで、このユーザーは今ここですと。そういった相対的もしくは定量的なかたちで、ユーザーごとのリスクを確認していただけます。
これからは、リスクに合わせて制限ポリシーも変えていく
次に、何のためにこういったことをしているのか。みなさまご存知のとおり、攻撃者は多角的な攻撃(手段)をとります。ユーザーのアカウントがどこでいつハックされているかわからない(こともあります)。なのでユーザーが本来するようなアクティビティなのかといった観点で、ポリシーも変えていかなければなりません。
今までの青色の部分に付け加えて、ユーザーのリスクにしたがって緑色の適切な(制限)ポリシーをかけています。またワークロードに関しても、管理者のみなさまもよくどういったセグメント化がよいのか悩まれていると思います。そこを推奨ポリシーというかたちで「このワークロードはこういったかたちにすれば余分なアクセスが減らせます」と(ご提案しております)。
これはマネージドサービスになりますが、ポリシーを推奨させていただくことで、余分なラテラル部分を減らす環境を作っていただけるような新しい機能です。
2つ目がリスクベースのセキュリティポリシー、そしてクラウドのワークロードにおいてのAIベースによるセグメント化です。セグメントポリシーが新しい機能として入っております。
これらを組み合わせることによって、ユーザーのリスク・端末のリスクを組み合わせた「今こういったシミュレーションであれば、こういったポリシーが適切である」と(いうことがわかります)。企業のサービスに関してアクセスを許可するか否かも含めたかたちで、今のリスクにしたがって適切なポリシーが容易にかけられます。これが大きな新しい機能となっております。
標的型攻撃に対応する「おとり」のセキュリティ対策
先ほど言わせていただいたセグメントの自動化も、それぞれワークロードに対してセグメントに入れることによって、本来必要のないユーザーの無駄なアクセスを減らす(ことができます)。リスク削減をしていきながら、適切なポリシーを作ることができる。これは大きな1つの拡張機能じゃないかと思います。
標的型攻撃は、「今」に対しての対応が求められます。なので仮にもし権限がハックされていて、なりすましが起きたとしても、当然生産活動が入ります。この生産活動に対して素早く対応をとり、もう一つ壁を(高く)上げていく機能も、エージェントに内包されております。
端的に申し上げるならば、「おとり」です。端末上のレジストリのパスワードや、ユーザーがアクセスするネットパス、ADやクラウド上のリソースもそうです。いろいろな多角的なおとりを用意させていただいています。
こちらはSAPの事例です。攻撃者(が行う)今のリスクに対して、SoC(Security Operation Center:サイバー攻撃の検知や分析を行い、その対策を専門とする組織)がどの事前対策を(講じれば)そのあとの自動連携の部分で塞ぎ込みしやすいのか(提案をすることで、)本丸への攻撃に進む前に適切なアプローチで塞ぎ込みができます。特に標的型に狙われた企業さまに提供させていただいているサービスになります。
ユーザーに「気づき」を与える仕組み
続きまして、データ保護の観点です。これまで日本のお客さまは、DLP(情報漏洩を防ぐセキュリティ対策製品)のポリシーを定義するのが非常に困難だったと思います。組織ごとに何が機微情報であるのか(わからず)、データの棚卸がそもそもできないゆえに、ログだけ取っている。実際に情報流出が起きたら事故になってしまう、という話です。
今回、自動的な分類機能を活用することで、未然に情報リークを防ぐようなアプローチを用意しております。例えば一般的なCASBのように、どれだけのデータが上がっているのかという分類は、リスクベースで表示させていただいております。
ただ表示するだけ、可視化するだけでは、当然インシデントを防ぐことはできません。そもそもクラウドがリスクを持っている(かもしれませんので)、まずクラウドアプリケーション自体のリスクを把握します。その上で先ほどのデータの自動分類の機能を使うことで、いろいろなサンクションを含めて、どういった機微なデータや分類のデータが、実際にどれだけ流れているのかをトラッキングできるようにします。
その上で、企業の中で「このフォーマット、この類のデータはやはり漏れては困る」といったことであれば、ワンクリックでタイムリーにポリシーを作成いただき、以後無駄な公開や共有を省くことができます。
リスクのあるアプリケーションに対して、特定のフォーマットなのか(どうかを見定め、)「こういった分類のデータに対してはそもそもアクセス共有をアップロードさせませんよ」という制限ポリシーをかけることによって、ユーザーに「いけないことをしてしまった」という気づきを与えることができます。
気づきを与える部分に対して、あとで同じようなことが起きないように、フィンガープリンティング方式で、その種類のフォーマットに該当するものを適切に分類してあげたり。あるいはOCRで画像認識機能を使って、特定の設計書や新しい写真などをベースに検査したりすることが可能になります。
今後同じことが起きないように、ユーザーに対していろいろなかたちで啓蒙・教育していくような作り込みも、今回(の新しい機能に)含まれていることを、改めてご紹介させていただきました。
「要塞化されたワークロード」がすべて内包されたセキュリティ
以上が1番の「AIによるサイバーセキュリティ強化」のお話となります。2番目のマルチクラウドの自動操縦の観点について、新しい機能をご紹介させていただきたいと思います。
特にゼットスケーラーは、今までユーザーアプリケーションのセキュリティを非常に豊富に提供してきたわけなんですが、今回の新しい機能では、人やクラウド上のワークロードも1つの端末ユーザーとしてインターネットアクセスできる機能、別のクラウドのワークロードに対してセキュアにデータをやり取りする機能も含まれております。
またIoTのデバイスセンサーに関しましても、安全に展開・分析いただけるような手法も提供させていただきます。
ワークロードのセキュリティに関して、1つは「態勢管理」です。今そのサーバーが適切に設定されているかどうか、与えられている管理者の権限が正しいものなのか、脆弱性対策は十分打たれているものなのか。
またサーバーレスの観点においては、IaC(Infrastructure as Code:インフラの構成をコード化し、構築や管理を自動化する方法)のセキュリティということで、コードレベルで、その設定の読み込みが正しいものなのかどうかというチェックが必要になります。
ある意味、「要塞化されたワークロード」がすべて内包されているセキュリティを提供させていただくかたちになります。これはまさしく、みなさまにマルチクラウドを本格活用していただくためのセキュリティという位置づけです。
今求められるセキュリティを網羅した、統合型UI
細かく見ていきたいと思います。実際にウィジェットのようなかたちで、みなさまのマルチクラウドのワークロードに対して、サイバーセキュリティの観点で情報が一元的に見られるものになっております。すべてのワークロードのクライテリアごとに、適切な設定もしくは対策を打っていただくイメージです。
単純にサイバー攻撃の話だけではなく、情報にどういった機微度のものが入っていて、設定と権限は正しいのか、そして脆弱性はどうなのかといった、多角的なセキュリティリスク(の観点)が、1つのウィジェットで確認できるようになっています。統合型のUIになっているところが、大きな特徴じゃないかと考えております。
コードセキュリティに関しまして、みなさまはGitHubなどいろいろなツールをIaCで使われていると思いますけれども、それぞれのコードで読み込む部分において、適切な読み込みが設定されているかというところも、我々のセキュリティで網羅しております。
なのでサイバーレスで、セキュリティに対してちゃんとシフトレフト型で、コードレベルで担保していくようなものも含まれております。
クラウドワークロードのステータス、権限・脆弱性に対しての対応、もしくはコンプライアンスに対する準拠状況、そしてコードのセキュリティとクラウド。今求められているセキュリティは、すべてこちらのUIに含まれております。
ラテラルを防ぐだけでなく、費用面も削減
続きまして、接続されたワークロードからワークロードへの通信に関するセキュリティの話をさせていただきたいと思います。
当然今はAWSとかAzureに対して、自社データセンターから専用線を引いているようなお客さまがいらっしゃると思います。しかし、そういったネットワークでのコネクティビティが、今非常に問題になっております。ラテラルが起きるからです。
なので我々は、コネクタを経由して、その配下のワークロードやセンサーに対して自由に、セキュアに通信ができるような、ゼロトラストアーキテクチャをフル活用していただくアプローチ(を提供しています)。ラテラルを防ぐだけではなく、そもそも拠点網の費用も削減していただいております。
もう1つが、ワークロード、クラウドtoクラウド、クラウドtoデータセンターの通信に関してです。「クラウドコネクタ」と言われているものを、すでにリリースさせていただいております。これを活用いただくことで、クラウドのワークロードがバーチャルファイルやネットワークセグメンテーションを切ったりしないかたちで、運用を最小化し、ラテラルが起きない環境を作ることが可能になってまいります。
本日はご清聴ありがとうございました。
