BLOG | OFFICE OF THE CTO

ゼロ トラストの採用がボット対策、WebおよびAPIセキュリティにつながる3つの理由

Lori MacVittie サムネール
Lori MacVittie
Published October 12, 2022
  • Share via AddThis


ゼロ トラストは現在、誰もが関心を寄せている新しい注目のトレンドです。これは、当社の2022年版アプリケーション戦略の状況レポートで明らかにされた上位3つの「最も注目されている」トレンドの1つであり、この12か月間にわたってGoogleトレンドで一貫して高い関心が寄せられてきました。

その結果、「シフト レフト」が導入されて以来、ゼロ トラストは、最も話題に上っている(そして誤解されている)セキュリティへのアプローチの1つとなっています。ゼロ トラストは、ソフトウェア定義境界(SDP)や、IDアクセス管理(IDAM)といった市場セグメントのような特定のテクノロジと同等であると見なされる場合が多すぎます。

これはさほど驚くことではありません。クラウド コンピューティングが導入されたときも、特定のテクノロジや製品を「新しい注目のトレンド」と同一視する流れが見られました。クラウド ウォッシングは定期的に起きており、多くの場合、ある新製品の実際の「クラウド性」に対する軽蔑的な見方として使用されていました。

そのため、まずゼロ トラストの定義から始めるべきだと思います。それには、このトピックについてすでに優れた指針を発表している同僚のKen AroraとMudit Tyagiの言葉を引用しようと思います。

「ゼロ トラスト セキュリティの核心は考え方、つまり思考体系であり、そこから技術や戦術が生まれ、特定のテクノロジを活用することで、広範なセキュリティ脅威に対処することができると私たちは考えています。」

これは重要な点です。繰り返しますが、ゼロ トラスト セキュリティの核心は概念です。

その概念には一連の前提が含まれており、テクノロジの利用はこれらの前提の結果です。

したがって、SDPやAPIセキュリティのようなテクノロジを実装するからといって、ゼロ トラストを採用したことにはなりません。1つの製品を導入するだけで、直ちに「ゼロ トラスト準拠」となり、攻撃、侵害、悪用に対する免疫ができるわけではありません。

SDPおよびAPIセキュリティは実際に、ゼロ トラスト アプローチを採用するうえで適切な戦術的対策となり得ることは事実です。しかし、そのためには、まず根本的な想定から始めて、そこから論理的に続く最適なツールとテクノロジを決定する必要があります。

これを具体化するために、例をいくつか見てみましょう。この例を見ると、そのタイトルが示すように、ボット対策とWebおよびAPIセキュリティは「ゼロ トラスト」ツールボックスの一部であるという結論に達します。

  1. ゼロ トラスト アプローチでは、侵害を想定しています。アクセスを許可された正規のユーザーが実際に侵害され、想定外の、極めてコストの高い脅威となる場合があります。攻撃者は、正面玄関(企業のネットワーク)から侵入するよりも窓(ユーザー)から侵入するほうが通常容易であることを知っています。ユーザーは常に侵害される脅威にさらされているため、彼らはすでに侵害されていると想定することが、考えられる最も安全な道筋です。侵害された社用ノートパソコンや携帯電話から可能性のある行為の範囲は多岐にわたります。Webサイトやアプリケーションに対する攻撃を開始して、悪質なソフトウェア(マルウェア、ランサムウェア、その次のウェアを含む)を共有したり、脆弱性を利用してアクセスすることが含まれます。APIの使用により、モバイルやWebベースのアプリケーションから、企業のアプリケーションやシステムにアクセスする「方法」が増えているため、認証された正規のユーザーからのコンテンツでも、検査を行い悪意のあるものでないかどうかを調べることが重要になっています。そのため、WebおよびAPIセキュリティは、このリスクへの対策を実装するための論理的な選択肢となります。

  2. ゼロ トラスト アプローチでは、認証情報が十分でないと想定しています。ユーザーが人間、マシン、ソフトウェアのいずれであっても、ゼロ トラスト アプローチでは、正規の認証情報が提示された場合でも、実際のユーザーは正規ユーザーでない可能性があると想定しています。結局のところ、正規の認証情報ではあるが、盗まれた認証情報を利用するクレデンシャル スタッフィングは、常に懸念となります。毎日平均で100万個のユーザー名やパスワードが漏れたり、盗まれたりしていることがよく知られています。F5の分析侵害された認証情報のリストの0.5~2%は、攻撃対象のWebサイトやモバイル アプリで有効になるという調査結果が出ています。したがって、ゼロ トラスト アプローチでは、認証情報の確認だけでなく、ユーザーの本人確認を行うステップが必要です。これには、正規のユーザーを装うボットの検出が含まれます。戦術的に、これはゼロ トラスト アプローチにおいて重要な役割を果たす、ボット対策(ボット検出とも呼ばれる)につながります。

  3. ゼロ トラスト アプローチでは、常に変化すると想定しています。ゼロ トラストでは、正当なユーザーであることが確認され、許可されたリソースにアクセスした後はリスクがない、という想定を受け入れません。すべてのトランザクションにリスクがあると考えられ、それがもたらすコンテンツと、それを送信するユーザーに関して評価が行われます。結局のところ、実際の攻撃方法はセッション ハイジャックです。継続的な監視がゼロ トラストのモットーです(その必要があります)。これは、悪意のあるコンテンツを継続的に探し出すことを意味します。そのため、WebおよびAPIセキュリティは、ボット検出とともに、ゼロ トラスト アプローチの重要な要素となります。

このアプローチは現在、SDP、IDアクセス制御、ネットワーク ファイアウォール、CASBのような他のツールおよびテクノロジと、これらの想定から自ずと生じる既知のリスクを軽減する多くの他のソリューションにもつながります。しかし、そのうちの1つを実装するだけでゼロ トラスト構想が完了したとは言えません。それは、骨折した足を治療するために、医者に診てもらう代わりにタイレノールを飲むようなものです。この薬は、痛みには効きますが、残りの問題の解決には役に立ちません。

ゼロトラストを採用して考え方を変え、緩和策を講じるだけでは完璧ではありませんが、しかし、適応性を高め、新たな攻撃に迅速かつ確実に対応し、進化することができます。

安全を確保してください。

ゼロ トラスト アプローチによるセキュリティのモダナイズに関する詳細については、当社のブック『デジタル ビジネスのためのエンタープライズ アーキテクチャ』の第5章をご覧ください。