前回の記事では、OA系システムのゼロトラストを取り上げましたが、
今回は、業務システムにおけるゼロトラストです。まずは、業務システムにおける従来の境界型セキュリティモデルについて整理します。
目次
1.業務システムにおける境界型セキュリティモデルとは
業務システムにおける境界型セキュリティモデルは、FWを用いて外部との通信を制御するとともに、境界における外部との通信を監視することで、内部のデータやシステムを保護するモデルと言えます。
従来のモデルでは、境界防護が中心のため、内部ネットワーク内の通信を制御していないところが少なくないと思いますが、企業・組織によっては、保守用のセグメントを設けてルータ等で業務サーバへの通信制御を行っているところもあるでしょう。他社などとの接続は専用線を用いることが多いと思いますが、専用線接続については内部と同じ位置付けで、セキュリティ対策が行われていないことが多いと思います。
2.環境の変化と境界型セキュリティモデルの課題
ゼロトラストの必要性の説明として、「従来のセキュリティモデルでは、企業の内部ネットワークを信頼し、外部からの脅威を防ぐことに重点を置いていました。しかし、クラウドサービスの利用やリモートワークの普及により、内部と外部の境界が曖昧になり、従来のモデルでは対応が難しくなっています。」のような説明を見受けることがあります。これはこれでそうなのですが、OA系システムと業務システムを一緒にして話をしてしまうと、業種によってはわかりづらくなってしまうと思われますので、分けて考えた方がいいと思っており、前回はOA系システムについて話しました。今回は業務システムです。
業務システムにおける主な環境の変化として以下をあげることができます。
1.リモート保守
保守費用を抑えるためや、保守ベンダー側の事情等によってリモート保守の導入が広がっています。
2.システム接続の拡大
IT化の拡大によってシステム接続先が拡大しています。加えて、従来はシステム接続先のセキュリティ対策を信頼する考え方が主流でしたが、その前提は崩れてしまっています。
3.OA系システムとの連携の拡大
OA端末から業務システムへアクセスできるようにしたり、業務システムのデータをOA系システムに取り込んだりすることが増えており、従来は別だった両システムを接続するなど、OA系システムと業務システムの垣根が下がってきています。加えて、OA系システムはリモートワークの対応等で外部との接続が増えています。
4.業務システムのクラウド化
特にIaaSを使用する場合は、保守機器がIaaS側にあったり、IaaSの機能を使って保守を行ったりする必要があります。
これらの状況を表したのが以下の図です。なお、VPNについては、多機能FWを用いたり、そうでなくともEnd to Endで通信が暗号化されていたりするため境界での監視では異常が検出できないため、あえてFWと異なった経路で表現しています。
このように環境の変化によって、従来のセキュリティモデルでは業務システムを守れなくなっているのが現実ではないでしょうか。特に認識すべきなのは、重要なシステムはリモート保守や他社との接続を行っていなくとも、他のシステムのVPNやシステム接続先経由で攻撃を受ける可能性があるということです。
3.業務システムにおけるゼロトラスト
業務システムにおけるゼロトラストアーキテクチャは、多様化する業務システムの状況に対応するため、従来の「境界防御」から離れ、すべてのアクセスを常に疑い、検証することで安全性を確保する戦略といえます。業務システムのゼロトラストにおけるポイントは以下の通りです。
1.ネットワークのセグメンテーションとアクセス制御の強化
社内ネットワークをいくつかのセグメントに分割することによって、万が一、攻撃者に侵入されても影響範囲を限定することができます。各セグメントは個別に管理し、システムの重要性等に応じてアクセスポリシーを設定します。これによって、内部ネットワーク全体への攻撃拡大が阻まれます。専用線接続についても、必要最小限の通信のみを許容することで、接続先からの攻撃を防ぎます。
2.ID管理とアクセス制御の強化
業務システムでは、ユーザがアクセスできる範囲を厳密に管理することが重要です。そのため、ID管理とアクセス制御の徹底が必要であり、次のような具体的な対策があげられます。
・各ユーザの役割に応じて権限を細かく設定
・ユーザーの役割や属性に基づいたアクセス制御の実施
・必要なタイミングでのみアクセス権を付与する仕組みの導入
3.認証の強化
保守用のアカウント、特に高権限のアカウントにおいては、パスワードを共有せず、複雑なパスワードを設定します。インストール時に使用するデフォルトアカウントのIDやパスワードは世界共通であり攻撃者が真っ先に狙ってくるため、失効させることが必要です。SSHの公開鍵認証や多要素認証(MFA)の導入も効果的です。
4.脆弱性対策の強化
内部ネットワークの機器についても、定期的なパッチの適用やOSのバージョンアップが必要です。全ての機器に対して実施するにはリソース的に難しいという場合は、優先度をつけて実施していくと良いでしょう。
5.モニタリングや行動分析
ゼロトラストでは、アクセスを一度許可しただけでは安心せず、ユーザーの行動を常に監視します。
業務システムで特に有効なのは以下の方法です。
・通常の動作から逸脱した行動や異常なアクティビティを検知します。例として、通常ではアクセスしないデータに急にアクセスする、短時間で複数の認証を試行するなどの動作が挙げられます。
・リアルタイムでのログ管理と分析により、システム内の異常を即座に通知し、迅速な対応が可能です。
モニタリングや行動分析を行うには、ログ等の材料を収集する必要があります。当然、境界ではなく内部から材料を収集する必要がありますが、以下に例を挙げます。
・ネットワークのセグメント間に設置したFWのログ
・各サーバのログをログ管理サーバ等に集約
・EDRの導入(ただし、サーバへのEDR導入は影響確認が必要)
一気に全て導入することはリソース的に難しいと思われます。そのような場合は、優先度をつけて順次実施していくと良いでしょう。
6.継続的な評価とポリシーの見直し
ゼロトラストは一度設定すれば終わりではなく、継続的に評価し、環境や脅威の変化に応じてポリシーを見直すことが必要です。新たな脅威やシステムの変化に対応するため、定期的なセキュリティ評価と改善が求められます。
いくつかの項目は、基本的なセキュリティ対策ではないかと思われる方も多いと思いますが、その通りです。日本の企業・組織においては、内部ネットワークの機器については、境界で守られているという理由で基本的なセキュリティ対策が十分に実施されていないケースも少なくありません。そのため、まずはそのような意識を改め基本的なセキュリティ対策を徹底することが第一歩かもしれません。
OA系システムにおけるゼロトラストについては、OA環境の将来像を描き、そこへ向けて仕組みや対策、ソリューションを導入していくことが望ましいと述べましたが、業務システムにおけるゼロトラストについては、まず現状を整理することで課題を洗い出し、段階的に導入していくことが望ましいのではないでしょうか。
北尾 辰也
サイバーセキュリティコンサルタント。三菱UFJ銀行で12年間サイバーセキュリティに従事し、2022年4月にフリーランスとして独立。現在はサイバーセキュリティに関するコンサルティングやアドバイザー業務を行うとともに、国土交通省最高セキュリティアドバイザーや日本シーサート協議会専門委員、⾦融ISAC個⼈賛助会員として活動している。