2020年12月17日に開催されたマイナビニュース スペシャルセミナー「2020年のインシデントを振り返る」では、コロナ以前から変わらないセキュリティの基本から、トレンドを踏まえたインシデントレスポンスの準備まで、現場の担当者が頭に入れておくべき知識をテクノロジーと運用の両面から解説する数々のセッションが実施された。
本稿では、メンロ・セキュリティ・ジャパン株式会社 システム・エンジニア・マネージャー 寺田大地氏が登壇したセッション「アイソレーションによる妥協のないセキュリティでゼロトラスト実現へ」の模様をお伝えする。
既存の境界型防御アーキテクチャでは防ぎきれない
セッション冒頭、寺田氏はセキュリティに対する世間の認識について一つの疑問を呈した。
「もし、ペットボトルのラベルに『水99%、不明1%』と書いてあった場合、その液体を飲む人はほとんどいないでしょう。ですが、『セキュリティで99%の脅威をブロック』と言われると、なぜか多くの人が安全だと思ってしまう。まずはこの意識を変えていかなければなりません」
テレワークの普及によるトラフィックの変化や、次々と生み出されるクラウドサービス、企業ネットワーク外からのデータアクセスの急増。このような状況が進むにつれ、アプリやデータ、ユーザー、デバイスなどネットワークを構成する全ての要素の境界が曖昧となり、従来の境界型防御のアーキテクチャが通用しなくなりつつある。
なぜ、従来のアーキテクチャが通用しなくなってきているのか。その理由として、寺田氏はデータセンターにあるセキュリティ機器やネットワーク機器の処理が追いつかなくなっていることを挙げる。
多くの企業は、トラフィックの可視性と制御を維持するために、インターネットへのトラフィックを中央のデータセンターに集約させている。これはテレワークにおいても同様で、ユーザーはVPNなどにより、中央のデータセンターを介してインターネットに接続することになる。しかし近年、ユーザーやデバイス、データ、アプリは企業ネットワークの外にも多数存在するため、同時接続数の枯渇や帯域不足が発生する。その結果、処理パフォーマンスと操作性の低下を引き起こすわけだ。
これを解決するには、どこからどのデバイスでアクセスしたとしても、パフォーマンスと操作性を低下させず、さらにトラフィックの可視性と制御を維持できる手段が必要となる。そこで注目されているのが、データセンターにあったセキュリティ機能/ネットワーク機能をクラウドに移行する「セキュアクラウドトランスフォーメーション」である。
ただし、単純に今までのセキュリティをクラウドへ移行しただけではセキュリティは強化されない。その大きな理由としては、以下の2つが挙げられる。
1. ゼロデイ脆弱性はなくならない
セキュリティの脆弱性には、ベンダーからのセキュリティパッチを適用すればよいだろう。だが、ゼロデイの期間は少なからず発生する。また、稼働中のアプリケーションに影響がないか確認するために、リリースされたパッチがすぐ適用されないケースもある。
メンロ・セキュリティ・ジャパンが行った調査によると、パッチがリリースされた4カ月後になっても古いバージョンのChromeを利用していた顧客は130社以上、ユーザー数にして9000以上存在していたという。パッチがリリースされるまでのゼロデイ期間も合わせると、かなりの期間にわたり脆弱性が放置されていたことになる。
2. 新しい攻撃手法は必ずしも防げるとは限らない
次々に登場する新しい攻撃は、必ずしも既存のセキュリティ対策で防げるとは限らない。寺田氏は、そうした攻撃の例として2つの手法を紹介した。
まず1つ目は「エンドツーエンドのファイル暗号化を使用した手法」だ。これはファイル共有サービスなどにマルウェアをアップロードし、そのリンクをクリックするように仕向ける手法である。暗号化と復号の処理はエンドポイントで実行されるため、TLS(暗号化通信)を終端していてもセキュリティ機器はファイル検査ができない。また、信頼性が高いファイル共有サービスが利用された場合、URLフィルタリングやレピュテーションでの判断も困難となる。
2つ目は「HTMLスマグリングを使用した手法」である。HTMLスマグリングでは、HTML5やJavaScriptを利用してファイルをエンドポイントに転送する。1つ目の手法と同様に、ファイルの生成はエンドポイントにあるブラウザで実行されるため、間にあるセキュリティ機器はこのファイルを検知できない。
「セキュリティ事故がなくならないのは、ゼロデイや新しい攻撃手法など、見逃されてしまっている脅威が存在するからです。このような脅威からネットワークを守るための新しいアプローチが『アイソレーション』です」
「安全なものだけ」を届けるアイソレーション
既存のセキュリティは、良いか悪いかを検知して成り立っていた。しかし、そのやり方では未知のものについては検知できない。つまり、検知による手法では、脅威を100%防ぐことはできないのだ。
一方アイソレーションでは、「インターネットの中は全て悪意があるもの」という「ゼロトラスト」の考えに基づき、全ての処理を企業ネットワークと切り離して行う。そして完全に安全なものだけを企業ネットワーク内に送り届ける。
「セキュリティ侵害の経路は、Webとメールが9割以上と言われています。そこで私たちは、まずはこの2つを防ぐことを目的としたセキュリティを提供しています」
メンロ・セキュリティが提供するアイソレーションテクノロジーでは、コンテンツのダウンロードと実行を企業ネットワークと切り離したコンテナ内で行う。エンドポイントではコンテンツは実行されず、安全なレンダリング情報とマウスやキーボードなどの入力処理しか行われない。これにより、企業ネットワークはマルウェア感染から守られるというわけだ。セッションが終了するとコンテナは破棄されるのでクリーンな状態が保たれる。エンドポイントには特別なアプリケーションをインストールする必要はなく、ユーザーの操作性は失われない。
「ただし、どこからでも十分な帯域とユーザー満足度が高いパフォーマンスを実現するためには、グローバルに展開されていて、需要に応じてリソースを柔軟に拡大/縮小できるクラウド基盤が必要です」
メンロ・セキュリティが提供するアイソレーションソリューション
メンロ・セキュリティでは、Webとメールの2方面からネットワークを守るアイソレーションソリューションを提供している。その概要は以下の通りだ。
Web経由の脅威を防ぐ - Webアイソレーション
Webアイソレーションでは、Webサイトの閲覧、およびWebサイトからのファイルダウンロード/実行処理をエンドポイントから分離する。コンテンツのダウンロードと実行は全てクラウド上のコンテナ内で行われ、エンドポイントには安全なレンダリング情報のみが届く。
メール経由の脅威を防ぐ - メールアイソレーション
メールアイソレーションでは、送られてきたメールに対し、添付ファイルを開いたり、記載されたURLのリンクをクリックしたりした際、コンテンツのダウンロードと実行がコンテナで行われるように変換した上でユーザーに送信する。ファイルはHTMLでラッピングされ、ユーザーはWebブラウザで閲覧する仕組みだ。もしファイルを編集する必要がある場合は、サンドボックスを含むセキュリティチェックをかけた上でダウンロードすることができる。ただし、元のファイルのリスクはゼロではないため、このダウンロードは禁止することも可能となっている。
「既存のセキュリティ対策とは異なり、アイソレーションは検知をしません。そのため、膨大なアラートやユーザーからのリクエストに頭を悩ませることもなくなり、セキュリティ担当者の負荷を大幅に軽減することができます」
最大の長所はコスト面のアドバンテージ
セッションの最後には、「情報セキュリティ事故対応アワード」審査員のNTTコム ソリューションズ株式会社 マネジメントソリューション本部 セキュリティソリューション部 北河拓士氏とSBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻伸弘氏が参加し、ディスカッションが実施された。
北河氏が、Webアイソレーションでの制限事項について質問すると、寺田氏は「現状では、クライアントに存在する固有のデータとクライアント証明書、それとコンテナに存在しないブラウザのプラグインについてはアイソレーションができない」と回答。重ねて、「URLフィルタリングやDLP、CASBなどの機能は搭載しているか」と問われると、「URLフィルタリングは標準機能、DLPはオプションになるが搭載している」とし、次のように補足した。
「CASBは現在のところ、Microsoft Cloud App Securityとの連携による提供となっています。ただ、CASBは非常に重要なコンポーネントなので、基盤に取り込めるように計画を進めているところです」
続いて、辻氏からはアラートに関して次のような質問が投げかけられた。
「アラートの概念がないのは大きなメリットがあると思います。一方で、アラートがないと『動いていないのでは?』と思う人もいるかもしれません。会社という組織の場合、効果的に動いていることをアピールする必要もあります。そこを見せるような仕組みはありますか?」
これに対し、寺田氏は裏側でログを記録していることを説明。「ログをレポート化する機能もあるので、それを利用すれば効果を可視化できる」とした。
最後に辻氏から、「このような製品だと、競合するのはVDIになるかと思うが、比較した場合の長所と短所は?」と尋ねられた寺田氏は、「1点だけ短所を挙げるとすれば、対応していないコンテンツやファイルは表示できないこと」だとする。ただし、これは対応するコンテンツやファイル形式が追加されていけば、解消される問題でもある。一方、VDIと比較した場合の一番の長所はコスト面の負担が軽微であることだ。寺田氏は、「VDIは、特にオンプレミスの場合はコストが肥大しがちだが、私たちの製品は基本的にライセンス費用のみとなる」とそのメリットに自信を見せた。
[PR]提供:メンロ・セキュリティ・ジャパン