これまでのサイバー攻撃対策
皆様の会社では、どういうサイバーセキュリティ対策を実施されているでしょうか?
境界型防御
一昔前はどの会社も「境界型防御」といわれる仕組みを構築していました。具体的には、インターネットと社内ネットワークの境界にファイヤーウォールなどの装置を設置し、社内ネットワークへの通信の入りと出のそれぞれを制御するものです。
※さらに、「多層防御」として、多くの企業ではPCにアンチウィルスソフトを導入しています
従来のファイヤーウォールはデータのヘッダー情報のみをチェックするだけのもので、インターネットからのパケットについては、主に社内からのリクエストに対するレスポンス(応答)であることが前提で(Web利用時)、パケットデータの宛先となっているポート番号などを確認しているに過ぎません。
ただ、これでも、攻撃者が特定のPCを狙い撃ちしてパケットを送ってきても、そもそも社内からのリクエストが無い状態なので、このようなパケットは破棄されます。つまり、社内からのリクエストかどうかを判断し、社内からのリクエストへの応答であれば社内のネットワークに渡す(宛先のポート番号:ユーザーが利用しているアプリケーション)ということを行っています。
次世代型ファイヤーウォールの登場
しかし、ここ7~8年ほど前から「次世代型ファイヤーウォール」と呼ばれる機器が主流を占め始め、パケットのヘッダー情報だけではなく、データ部も解析しマルウェアが潜んでいないかチェックする機能が組み込まれています。さらに、社外のリクエスト先についても、サイバー攻撃に使われるC&Cサーバー(コマンド アンド コントロールサーバー)と呼ばれるサーバーがありますが、このC&Cサーバーへのアクセスを遮断してくれます。機器にも拠りますが、C&Cサーバーの情報(例えばIPアドレス)などが瞬時に拡散してくれるものがあり、このような機器だと世界中のどこかのファイヤーウォールが検知しC&Cサーバーと判明したサーバーのIPアドレスが共有され、そのサーバー(C&Cサーバー)へのアクセスが遮断される機能が付いています。これは非常に有効性の高い機能で、仮に社内のPCがマルウェアに感染し、サイバー攻撃者がC&Cサーバーから特定のPCをリモート操作し重要情報をバックドア(サイバー攻撃者が設けたPCと直接データをやり取りできる出入口)からC&Cサーバーにデータを送る指令を送っても、ファイヤーウォールがデータの送り先が怪しいと判断してデータの送信(つまり、情報の持ち出し)が阻止されます。
筆者も「次世代型ファイヤーウォール」によるこの機能は有効で、可能な限り実装すべきと考えます。
リモートワーク推進による変化
ところが、2019年に感染拡大したコロナ禍の時から、各企業はリモートワーク(いわゆる在宅勤務)を進めるようになってきました。自宅からインターネットへの接続方式にも拠りますが、会社のネットワークを介さずに直接インターネットを閲覧し、検索すること(会社のルールでは許可していないが、従業員が勝手に判断することもあり)が増えるようになりました。そうするとどうでしょう。「境界型防御」の目的で導入した「次世代型ファイヤーウォール」を介さずにインターネットをアクセスすることになり、「境界型防御」では防御しきれない状況が増えてきました。
ゼロトラストの登場
そこで登場した今の主流の仕組みは「ゼロトラスト」と呼ばれるものです。なにか特別な機器やツールがあるわけではなく、一言で言うと、「ゼロ」+「トラスト」なので、何も信用しないという考え方です。つまり、情報システム(アプリケーション)へのアクセスを都度検証し、不正なアクセスは拒否するという仕組みのことを言います。
そのため、会社ではこれを実現するためいろいろなことを組み合わせて実現しています。例えば、ログインする際に全てのアクセスをアクセス権限のデータベースと照合し、照合しなければアクセスを遮断します(実際には、ログインIDとそれに紐づいているパスワードが登録されているものと一致しているか、都度確認)。さらに、そのIDが持っているアクセス権限(どの範囲のデータの閲覧や更新・削除などが可能か)と比較し、実施しようとしている操作が許容範囲なのか都度チェックするような機能です。例えば、皆さんも、会社の情報システムにログインする際、いつもは会社のデスクトップPCからログインしているが、出張時にノートPCを借りてログインしようとしたときに警告が表示されたり、ログインIDに紐づけているスマホに自動回答の電話がかかってきて何らかの操作を行う必要があるなど、システムへのアクセスが通常と異なる場合に警告を出したり、別の方法での認証が求められることも「ゼロトラスト」の一種です。
ただ、このような対応は大企業であれば既に対応できているかもしれませんが、日本の多くを占める中小企業では設備への投資を含め、予算面からなかなか対応に踏み切ることは難しいでしょう。
お奨めのゼロトラスト対策
そこで、筆者が考える、比較的低予算で実現できる仕組みをご紹介したいと思います。
ただ、どう言う仕組みを用いても、抜け穴が必ずあり、仕組としては完ぺきではありませんが、一般にいろいろ言われている多くの問題を低予算で解決できる仕組みの一つと思います。
※ゼロトラストを厳密に定義すると、アクセスの都度チェックを行うことを言いますが、ここで説明する仕組みは絶対に不正ログインできない仕組みのため(パスワードを厳重に管理することが必須です)、逆にアクセスの都度チェックを行う必要がないという視点で説明しています
具体的には、「シングルサインオン」のツール導入です。
「シングルサインオン」とは、会社にあるたくさんの情報システム(アプリケーション)へのログインIDやパスワードの管理をユーザーから開放するが、逆にWindowsへのログインIDとパスワードだけはしっかり管理しましょうというツールになります。
「シングルサインオン」の具体的な仕組み
仕組みはこうです。
ユーザーはWindowsにログインします。そうすると「シングルサインオン」のトップページが表示されます。その画面から、例えばメールやファイルサーバー、販売管理システム等のアプリケーションのボタンをクリックするだけで、これまでアプリケーションへのログインに際に入力していたIDやパスワードを入力しなくても自動でログインしてくれて、これまでと同じように使用できる仕組みになります。
これを実現するためには、ユーザーがWindowsのログインIDとパスワードを入力して最初に立ち上がった「シングルサインオン」のトップページと、そこから紐づく各アプリケーションのログインID、パスワードをユーザーごとの「シングルサインオン」に記憶させておく必要があります。そのため情報システムでは全従業員のログインID、とパスワードをアプリケーションごとに登録する必要があります。
なぜ「シングルサインオン」が「ゼロトラスト」なのか
ここで、なぜ「シングルサインオン」が「ゼロトラスト」と結びつくのかという理由を説明します。ここで登録する各アプリケーションへのログインパスワードは簡単なパスワード(いわゆる桁数が短いもの、推測されやすいもの)ではなく、十分桁数の長い複雑なもの(例えば15桁以上の英数の大文字・小文字+記号)を設定します。これだけ複雑であれば、現在のスーパーコンピューターをもってしても解読には数億年かかることでしょう。そのため、このパスワードは一度設定した後は変更の必要はありませんが、漏えいしないように厳重に管理する必要があります(このパスワードを利用者自身は知る必要はありません)。つまり、このような解読不可能なパスワードのため、第三者が不正にアプリケーションログインすることは完全に不可能です。そのため、「シングルサインオン」の画面からのアクセスは100%正常なアクセスと判断できます。
「シングルサインオン」の課題
ただし、そのためにはユーザーは自分の「シングルサインオン」のページに不正ログインされないよう、WindowsのログインIDのパスワードを複雑で推測されないもの(同じように例えば15桁以上の英数の大文字・小文字+記号)にして厳重に管理する必要がありますが、これも一度設定すればその後の変更は不要です。このようにすれば、これまで会社から言われていた数か月おきのパスワード変更の必要性もなくなり、毎回覚えきれないため前回のパスワードから一文字だけ変えていた変更もやらなくてよくなり、しかも、アプリケーションへのアクセスは100%正しいアクセスに限られることになるので「シングルサインオン」の利用により「ゼロトラスト」が実現されることになります。
※ただし、システムに完全なものは無く、この例でもユーザーに桁数が長い複雑なパスワードを設定するように指示しても、そのようになっていない場合は実現できないことになるので、全従業員へのパスワード設定の徹底の仕組みを検討する必要があります。この仕組みは、アプリケーションを利用するサプライチェーン企業の従業員も対象となるので、合わせて徹底が必要になります
また、「ゼロトラスト」のツールによっては、会社で利用しているアプリケーションで連携できないものもあるかと思うので、そのようなアプリケーションに関しては従前通りの対応が必要になります。
「シングルサインオン」のツールを選択する際、どのようなアプリが連携できるかといことも重要ですが、仮にこのツールがサーバー攻撃を受けても、各アプリのIDやパスワードなどデータが解読されないような暗号化などのセキュリティ面が強化されているものを選択する必要があります。
このように、「次世代型ファイヤーウォール」及び「シングルサインオン」の導入により「ゼロトラスト」が実現され、サイバー攻撃によるリスクが低減されます。
経済産業省の企業のサイバー攻撃対策格付けへの施策
経済産業省は2025年度から、企業のサイバー攻撃対策を格付けする制度を始めますが、「次世代型ファイヤーウォール」と「シングルサインオン」の組合せによる対策は、経済産業省の格付け制度にも合致した施策と言えるでしょう。
筆者は、「次世代型ファイヤーウォール」と「シングルサインオン」、さらにPCには「パターンファイル型のアンチウィルスソフト」と「ふるまい型のアンチウィルスソフト」を導入すれば、中小企業としては十分な対策だと思います。