「誰も信用しない」 IT大手のハッキング対策
――筆者のクリストファー・ミムズはWSJハイテク担当コラムニスト
ハッカーとの闘い方を最も熟知しているのはIT(情報技術)企業だろう。そのIT企業が達した結論は実に印象的だ。トロイア戦争のときからそうであるように、セキュリティー上の最大の弱点は人間である、というものだ。
そこでIT企業が一段と採用するようになっているのが、「誰も信用しない」という新たなアプローチだ。
こうした「ゼロトラストアーキテクチャー」と呼ばれる原理は、企業の外部防衛がいかに堅固であろうとも、ハッカーは侵入可能だという前提に基づいている。したがって、企業は、ネットワーク内部のユーザーさえも深刻なダメージを与えないよう確実にする必要がある。
配車サービス大手ウーバー・テクノロジーズと、ビデオゲーム会社テイクツー・インタラクティブ・ソフトウエア傘下のロックスター・ゲームスは先週、業務に支障をきたす大規模なハッキングを受けたことをそれぞれ明らかにした。両社以外にも、さまざまな企業が今年、被害に見舞われている。その中には、ID認証サービス大手オクタや半導体大手エヌビディアなど、地球上で最もテクノロジーにたけた企業の一部も含まれている。
そうしたハッキングの多くに共通しているのが、標的企業の内部の人間や標的企業に近い人間をだまし、ネットワークアクセス用の認証データなどの極めて重要なデータを提供させていることだ。この手法は「ソーシャルエンジニアリング」と呼ばれている。例えば、ウーバーによると、同社の契約社員の一人が、ハッカーによって自動生成されたアクセス要求を自分の電話に送りつけられ、最終的にアクセスを承認していた。他の事例では、身元を偽った「フィッシング」メールで従業員をだまし、ログイン認証データを攻撃者に提供させていた。
両社はセキュリティー手法について言及を控えたが、両社のハッキング事件は同業他社のゼロトラストへの移行を一段と促している。ゼロトラストは広範な概念だが、基本的には、会社のITシステムを構成するどの要素も、人間であれソフトウエアであれ、他の構成要素が自ら主張する身元を信じるべきではないということだ。全てのシステムが、既にハッカーに侵入されていると想定する。
サイバーセキュリティーの専門家や連邦捜査局(FBI)によると、大手のリソースが豊富な企業は、単なるシステムの技術的脆弱(ぜいじゃく)性を利用した攻撃にはうまく対処できるようになってきているため、そうしたソーシャルエンジニアリング型の攻撃が増えているという。結局のところ、人間の意識を変えるよりも、コンピューターを変える方が簡単だ。
外堀だけでは不十分
従来のサイバーセキュリティー手法では、「城の周囲に巨大な堀を造るだけで、その堀を攻略すれば、侵入できていた」。こう話すのは、ゴールドマン・サックスの元最高技術責任者(CTO)、ボー・ハートマン氏だ。同氏はゴールドマンで、アップルのクレジットカードやその自慢のプライバシー機能を可能にした個人向け銀行業務インフラを構築するチームを率いていた。
このような境界型のセキュリティーは、社内ネットワークを構成するパソコンが主にオフィスビル内で物理的に接続されていたり、仮想私設ネットワーク(VPN)経由で外部から接続されていたりした時代には理にかなっていた。
昨今は、極めて多様なデバイスや従業員、外部の契約社員が社内システムに接続しており、その方法も個人のモバイル端末や自宅用コンピューター、クラウドサービス、IoT(モノのインターネット)端末を使用したものなどさまざまだ。今や社内システムに接続する可能性のある各デバイスやアカウントの保護システムだけに頼るのは、困難であるだけでなく、しばしば大惨事につながる。攻撃者が「王国」全体に侵入するには、たった一つの門を破れば済むからだ。
ウーバーでは、攻撃者が契約社員のアカウントを使用して内部システムにアクセスし、全社を対象にしたスラックのチャンネルにメッセージを投稿したり、セキュリティー研究者とのコミュニケーションに使用されていたアカウントを乗っ取ったりしていた。ウーバーは社内コミュニケーションシステムへのアクセスを一時停止せざるを得なくなった。同社の担当者は、19日の発表以外のコメントを控えた。発表文によると、ユーザーのアカウントや、慎重な扱いを要するユーザー情報の保存に使用されているデータベースがハッキングされた形跡はない。
ゼロトラスト手法は、そうした惨事を限定することを狙いとしている。「ゼロトラストは、システム上の全てをもはや信用しないという考え方に基づいている」。ゼロトラスト原則を使用して企業の個人データを保護しているスタートアップ企業スカイフローのアンシュ・シャルマ最高経営責任者(CEO)はこう話す。「建物内にいるからといって、重要なものへのアクセスを得られるわけではない」
ゼロトラストシステムを構築するエンジニアが指針としている設計原則の多くは、容易に理解できる。最近、社内のシステムや銀行のウェブサイトに以前よりも頻繁にログインし直さなければならないとすれば、それは人間やコンピューターに他のシステムへのアクセスを許可する認証データを絶えず「入れ替えている」ということであり、それも一種のゼロトラスト戦術だ。そうすることで、たとえハッカーがあなたのアカウントを使用してシステムに侵入したとしても、被害を与える時間を制限できる
「行動分析」と呼ばれるもう一つのゼロトラスト原則は、ソフトウエアがネットワーク上にいる人の行動を監視し、銀行から異例の大金を引き出そうとするなど、異常な行動を取った場合に通知するというものだ(例えば、初めて訪れた都市で買い物した場合など、通常とは異なる購入行動をした場合、銀行からテキストメッセージが送信されてくることがあるが、それはこうした分析に基づいている)。
その一貫したテーマは、システムのあらゆる構成要素が、たとえ身元を認証してアクセスを得た相手であっても、その人の身元や行動を疑うべきだというものだ。
ゼロトラストシステムは、ユーザーや従業員にとってあつれきを生みかねない。セキュリティーは常に、人々に必要なアクセスを与えることと、身元の証明を要求することのバランスで成り立っているためだ。これは意図したものでもある。必要なものへのアクセスだけをそれが必要なときにだけ与える「最小権限の原則」と呼ばれるコンセプトだ。しかし、これは業務の安全の確保よりも効率の最大化を重視する多くの企業にとって、相いれないコンセプトだ。
ゼロトラストの10年
多くの企業は最近、ゼロトラストシステムを採用し始めたばかりだが、セキュリティー業界は10年以上前からトラスト問題について議論してきた。
へいと堀ではもはや不十分だと早くから気づいていた企業の一つが、グーグルだ。同社はそれを苦い経験から学んだ。ウォール・ストリート・ジャーナル(WSJ)の報道によると、中国政府と関係のあるハッカーが2009年から組織的な攻撃を仕掛け、グーグルがホストする中国の人権活動家のメールアカウントに侵入を試みていた。
それから程なくして、グーグルは「BeyondCorp(ビヨンドコープ)」という独自のゼロトラストシステムを導入し始めた。広報担当者によると、そのアプローチはITシステムのあらゆる部分――所有権や物理的な場所、ネットワークの場所に関わらず、全てのユーザー、デバイス、アプリケーション、サービスを含む――に適用される。そうした要素を全て、本来疑わしいものとして扱う。この移行によって、従業員はむしろVPNなしで、どこからでも仕事がしやすくなるという。
自然の流れとして、グーグルはそれを製品化し、同社のクラウドサービスを有料で使用する企業が利用できるようにした。
ゼロトラスト原則について喜んで教えてくれる、またはそれを用いたシステムを販売しているコンサルタントや業者は他にもたくさんある。オクタは、ゼロトラスト型の人間の身元確認システムを専門としている(オクタ自体が最近ハッキング被害に遭ったことは、セキュリティーを専門とする企業のセキュリティーの「境界」さえも、ハッカーが超えられることを示している)。ゼットスケーラーは、ソフトウエアやデバイスのアクセスに関するゼロトラスト型システムを専門としている。パロアルトネットワークスは、ゼロトラスト型ネットワークの構築を支援している。他にも、ゼロトラスト関連の企業はまだたくさんある。それでも、テクノロジーにたけた大手IT企業をはじめとする多くの企業が、専有データやソースコード、顧客情報を盗まれるケースが後を絶たない。
ローマは一日にして成らず
会社の既存のITインフラに徹底したゼロトラストアーキテクチャーを構築するには、最上層幹部の協力が必要であり、最終的に事実上のシステムの根本的改修が必要になる可能性がある。現在はヘルスケアを手掛ける新興企業ノミ・ヘルスの共同創設者となっているハートマン氏はこう話す。
時価総額が最も高い米半導体企業であるエヌビディアは、攻撃を受ける数カ月前、同社のハードウエアで稼働する「Morpheus(モーフィアス)」と呼ばれるツールを発表した。これは、人工知能(AI)を使用して週に数千億のユーザー行動を分析し、ユーザーが異常かつ高リスクな可能性のある行動をしているように見えた場合、通知するものだ。例えば、通常はマイクロソフトの「オフィス」ソフトウエアで仕事をしているユーザーが突然、会社のソースコードが保存されたツールやデータベースにアクセスしようとした場合などだ。
したがって、エヌビディアはゼロトラストについて多少なりとも知っていたはずだ。それでも同社のシステムは3月に侵害された。筆者の同僚が今週報じたところによると、犯人はウーバーなどを襲ったのと同じ若者のハッカー集団「Lapsus$(ラプサス)」とみられる。同社のジェンスン・フアンCEOは後に、その事件が警鐘になったと述べ、ゼロトラストアーキテクチャーの導入を加速すると宣言した。
このシステムの展開には、マイナス面もある。その一つは、エンジニアは誰しもできる限り多くのアクセスを得たいと思うものであり、彼らの生産性を制限することになりかねないことだ。エヌビディアで企業向けコンピューティング担当バイスプレジデントを務めるジャスティン・ボイタノ氏は、セキュリティーとアクセスのしやすさとのバランスを取るには、セキュリティーチームとそのサービスを受ける従業員との定期的な対話が必要だと話す。そのおかげで、フアン氏が3月のハッキング後にそれについて率直に語り、「われわれは今、新たな世界に生きており、ネットワークには悪人がいる可能性があることを従業員が理解したようだ」とボイタノ氏は指摘する。
3月にやはりラプサスにハッキングされたとみられるオクタは、ブログに侵害の影響について投稿し、同社のエンジニアが当初恐れていたよりも、影響がはるかに小さかったことを明らかにした。外部のサイバーセキュリティー会社が作成した調査報告書によると、攻撃者がシステム内にいたのはわずか25分で、顧客アカウント2件を閲覧してスクリーンショットを撮影したが、顧客のオクタアカウントに直接ログインしたり、内部システムに変更を加えたりすることはできなかった。
オクタの広報担当者によると、同社は現在、下請け業者(侵害されたのも下請け業者の一社だった)にゼロトラスト型のセキュリティーアーキテクチャーの使用を義務付けており、どの業者もオクタと同等水準のセキュリティーをシステムに講じていることを実証しなければならない。オクタは自社のシステムを「ゼロトラスト」とうたっており、ハッカーにシステムの細部に侵入されずに済んだのはゼロトラストアーキテクチャーのおかげだとしている。
マイクロソフトは、3月のラプサスによる攻撃で侵害されたのはアカウント1件のみで、攻撃は迅速に検知・対処され、顧客データの流出にはつながらなかったと説明している。同社のセキュリティー担当バイスプレジデントのバス・ジャッカル氏は、被害が少なかったのは、同社独自の社内ゼロトラストアーキテクチャーのおかげだと述べている。
そのようなアーキテクチャーがなければ、攻撃者はシステムへのアクセスを取得してから平均わずか1時間余りで、システムの極めて重要な部分に侵入できる可能性があるとジャッカル氏は述べた。IDを利用したサイバー攻撃の試みが増加し続けている原因には、ハッカーのリソースが豊富になっていることや自動化ツールがある。
ジャッカル氏は「攻撃はどこからでも、誰からでも、誰に対しても起こり得る」とし、「規模の大小を問わず、攻撃のリスクにさらされていない企業は一社もない」と述べた。
ゼロトラスト手法を採用するには、セキュリティーの多くの層を変更する必要がある。会社アカウントに多要素認証を加えたり、ユーザーやシステムに実際に必要な最小限のアクセスのみを与えたりするといったことだ。最も慎重な扱いを要するデータを社内のあちこちのデータベースにばらばらに保管するのではなく、1カ所にまとめ、厳重に保護するのも良案だ(シャルマ氏率いるスタートアップ企業スカイフローがまさにやっているのが、重要なデータを安全な一つの場所に統合することだ)。
広範な変更が必要になるため、古いシステムを再構築する企業は優先順位を設定する必要があるとハートマン氏は話す。まずはソースコードをはじめとする知的財産や顧客情報などの最重要データを保護し、その後、システムの他の部分に取り掛かればいい。これは大変な作業だ。パスワードに加えて生体認証やプッシュ通知、デバイスベース認証などを行う多要素認証は、不正アクセスに対する最善の前戦防衛策の一つであるにもかかわらず、導入している企業がわずか22%にとどまる一因もそこにある。ジャッカル氏はそう指摘する。
ゼロトラストの推進派でさえも、特効薬ではないことを認めている。それには、実現に多大な時間と労力を要することが少なからず関係している。しかし、規制当局や株主、顧客がこぞってハッキングやデータ流出に対する企業や経営者の責任を追及する構えを見せ、ハッカーがかつてないほど豊かなリソースを保持して攻撃的になっている今、企業にはあまり選択肢はないかもしれない。脆弱(ぜいじゃく)性の軽減に本気で取り組む必要がある。
「ネットワークには必ず悪人が登場すると想定しなければならない。これが新たな現実だ」。エヌビディアのボイタノ氏はこう話す。「問題は、会社のリソースや知的財産をいかに保護するかだ」
Copyright (c) 2022 Dow Jones & Co. Inc. All Rights Reserved.
~私見~
おナスの会社もセキュリティがについては厳しい部類には
入ってるかもしれないけど多分、そんなレベルじゃないんだろうね
本場のハッカーが活躍したり、防いだりしている現場は。。。
今はまだドンパチやってるけど、今後はそんな事せずとも
相手の国のシステムを乗っ取ったらなんでもできちゃう
世の中になってしまうかもしれない??
新しいパソコンにオフィス365やプリンタ設定するのさえ
難しいと思ってるおナスはこれからどうやって
生き抜いていったらよいのでしょうか?
それにしてもPCやプログラムに詳しい人って
なんか何やってるかわからんけど凄そうだよね~
なりたくないけど憧れるわ~
<スポンサーリンク>
