セキュリティを押しつけるな!ネットワークさんが怒ってます!

Don’t Leave Security to the Network

2021/08/27 SecurityBoulevard — これまでのエンタープライズ・ネットワークのセキュリティ・モデルには、未来がない。現在、ネットワークは継続的な攻撃を受けており、従来のセキュリティ・モデルは無防備であることが証明されている。Colonial Pipeline や、Kaseya、アイルランドのヘルスケアシステム、北ヨーロッパの鉄道切符販売機へのランサムウェア攻撃は、巨大な氷山の一角に過ぎない。最近のある推計によると、昨年、私たちが知っているだけで 65,000件の攻撃があったとされるが、この問題の本当の規模については、推測する以外に為す術がない。不安を抱える企業には、株主や顧客に知られたくないと思う攻撃が、報告された数だけあるのだ。

あなたがスポーツ・スタジアムのセキュリティ担当者で、チケットを確認する前に全員を席に座らせたと想像してみてほしい。観客は偽のチケットを持ってスタジアムに殺到し、席を確保しようとするだろうから、純粋な狂気が生まれる。現在の企業ネットワークは、そのように設計されている。ネットワーク上の全員が同じビルに居て、データセンターのファイアウォールを介したローカル有線接続を行い、ロックダウンされた企業のデバイスが、ビルの外に出ることのない状態で接続されているときは問題がなかった。支店と本社の間の接続だけを気にしていれば、ほとんど問題なかった。

しかし、今日のハイパー・コネクテッド・ワールドでは、どこにでもいても構わないスタッフが存在する。また、顧客や、パートナー、リモート・デバイス、エッジ・ロケーション、何百万ものエントリーポイントなどの、ネットワーク上のすべての人々や物が、承認された存在であることなどは絶対にあり得ない。

今日、ほとんどの組織では、ネットワークの境界は常に流動的である。この広大で、常に進化し続けるモバイル・エコシステムを保護することは、控えめに言っても極めて困難だ。実際のところ、増え続けるデバイスに受け入れながら、断片的なソリューションを追加して、ネットワークを強化することに集中している限り、それは不可能だ。これでは災いのもとであり、悪者はその防御を突破してくる。

重要な戦略的基準

解決策として、ゼロトラスト・セキュリティを付加するのではなく、それを組み込んだ安全なアプリケーションを構築することが挙げられる。それは、アプリケーションのセキュリティを加速させる前向きな企業に見られる、3つの重要な戦略的基準の1つである。

・ ゼロトラストは、現在において推奨されるセキュリティ・モデルとなっている。
・アジリティと効率性を実現し、複雑さを排除するツールを採用する。
・オープンソースを採用することで、将来性を確保し、可視性を最大限に高め、プロプライエタリなロックインを回避する。

セキュリティと WAN の統合は、ネットワーク・アーキテクチャにおける次の波だ。それは、アプリケーションに対して、ゼロトラストとアクセス管理機能を組み込むことを意味する。ゼロトラストをスポーツ・イベントに例えると、ファンがスタジアムに到着する前にチケットをチェックし、本物のファンであるかどうか、つまり入場できるかどうか、会場内でどこに行けるか、どのイベントを見られるかを判断するようなものとなる。ゼロトラストでは、アイデンティティと同様にコンテキストを用いてユーザーを認証し、時間枠/ネットワーク・セグメント/アプリケーションなどを特定した、アクセスのみを許可するポリシーを実現する。ゼロトラストは、脅威アクター意図的に悪用する、または、不注意なユーザーが偶発的に引き起こす、暗黙の信頼の要素を取り除くものだ。

ゼロトラスト・ネットワークセキュリティ

しかし、パンデミック時に発生したサイバー・セキュリティ事件の急増や、ランサムウェアによる攻撃の増加により、多くの企業における行動が、戦略的な話し合いから実施へと移行している。政府は、公共部門への攻撃が、社会に壊滅的な影響を及ぼす可能性を懸念しており、このような新しい動きを先導している。英国政府は、ランサムウェアの脅威に対処するための、具体的な対策を約束している。米国では、5月にバイデン大統領が、90日以内にゼロトラスト導入計画を発表するよう、連邦政府機関に指示する大統領令を発出した。このような取り組みは、ゼロトラストや SASE (Secure Access Service Edge) の原則を採用することが急務であると、あらゆる企業に気づかせてくれる。

しかし、それは仕様や業界標準というものではなく、セキュリティ・フレームワークであるため、概念から現実への移行が、どれだけ早く、どれだけ上手くいくかが問題となる。現実のアプリケーション開発の世界では、安全ではないアプリケーションが製品化されるのは当然のことだ。開発者がプレッシャーにさらされていると、セキュリティ・チームやネットワーク・チームが蚊帳の外に置かれ、手遅れになってから問題を発見することになりかねない。効果的なセキュリティ・ツールは、以下のようなゼロトラストの要素を、開発者が組み込むことを可能にする必要がある。

・秘密鍵/公開鍵暗号および、バイオメトリクス、root-of-trust ソリューションによるアイデンティティの確立。
・接続前の認証:認証されていないエンティティがネットワークにアクセスするのを防ぐ。
・最小特権アクセス:認証/認可された各アプリには独自の短時間接続が与えられ、必要なものだけにアクセスできる。これらは全てがポリシーベースであり、顧客による完全にコントロールが可能になる。
・マイクロ・セグメンテーション:各アプリは必要なものだけにアクセスでき、他のセッションから論理的に隔離される。アプリのセッションが侵害されても、その侵害がビジネス WANを 介した横方向の攻撃には悪用されない。

ゼロトラスト・セキュリティを組み込むことで、データの保護やネットワークの攻撃対象を最小限に抑えることができる。さらに、商用プロダクトの開発者は、アプリケーションにセキュリティを組み込むことで、競争上の差別化を図ることができる。焦点がネットワークからアプリケーションへと移行するにつれて、アプリケーション・レベルのセキュリティが、SaaS 製品の購入者のコア要件となることが予想される。使用許可を得ていないソフトウェアの購入は、依然として組織における悩みの種だ。

SaaS プロバイダーがアプリケーションにセキュリティを統合すれば、シャドー ITがもたらすセキュリティ・リスクを排除できないまでも、軽減することが可能になる。クラウド・プロバイダーたちは、従来の VPN や MPLS ベースのサービスに加え、独自のネットワーク・サービスを進化させ始めている。たとえば、最近になって Oracle は NetFoundry と提携し、Oracle Cloud Infrastructure (OCI) でホストされている製品を、ISV や企業の開発者が安全かつ容易にクラウドに対応させることに成功した。

コンテナの活用

開発者が考慮すべき3つ目の項目は、ブラックボックス・ソリューションの出荷を止め、顧客による環境の完全なコントロールのために必要な、オープンソース・ツール (API / SDK) を提供することだ。たとえば、コンテナ化されたアプリケーションのための Kubernetes や、プライベートでプログラマブルなネットワークをアプリケーション内で構築するための Ziti SDK を、採用することなどが挙げられる。

ゼロトラストの導入には、クライアント側とサーバー側の変更や、新たなインフラ構築が必要となるため、数ヶ月を要することになる。サーバー側の選択肢としては、アプリケーション・サーバーや隣接するマシン上で動作する、コンテナ/VM からゼロトラスト機能を提供することが考えられる。このサーバーは、その時点ではネットワーク接続を持たず、ソフトウェアのみの導入であるため、インフラの追加や、ファイアウォールの再設定、VPN の構築などは不要となる。

最近の米国政府の取り組みに見られるように、最近のサイバー攻撃の猛威が増していることから、ゼロトラストについて語るのをやめて、具体的に導入する必要があるというメッセージが、ようやく伝わり始めた。企業の WAN が攻撃対象として拡大し続けている状況を考えると、セキュリティをネットワークに任せておくわけにはいかない。

たしかに、ネットワークの境界は常に流動的ですよね。裏を返せば、もう、境界での防御だけでは追いつかないということだと思います。このところ、API セキュリティに関する記事が多くなり、このブログでも積極的に取り上げていますが、そもそも Application Programming Interface なわけですから、そのセキュリティをネットワーク境界でなんとかしろということ自体が無茶振りなわけです。そこのと、ひとつを捉えてみても、セキュリティをネットワークに任せてはいけませんよね。

%d bloggers like this: