ブログ | CTO オフィス

ハリウッドがゼロトラストについて教えてくれたこと

ケン・アローラ サムネイル
ケン・アローラ
2022年5月5日公開


もし私が、別の現実や空想の未来で宇宙艦隊のコンピュータ システムを設計する機会を得たら、兵器システムが生命維持サブルーチンに接続されていないことを確実に確認します。 あるいは、もし私が地球(ちなみに地球とはまったく異なる種族が住む惑星)を征服する任務を負ったエイリアンの侵略軍の指揮官だったとしたら、私はパスコードやトークンではなく、生体認証を主張するだろう。 そして最後に、私の部下や宇宙船の誰かが、あらゆる困難を乗り越えて奇跡的に捕虜から「逃げ出す」ことになった場合、私はまず彼らがトロイの木馬を運んでいないことを必ず確認するだろう。

それで、これはゼロトラストとどのような関係があるのでしょうか? おそらくもうお分かりでしょうが、ハリウッドは、健全な事前の妄想を少し控えることで生じる壮大な結末を描くストーリーラインが大好きです。 そして、サイバーセキュリティの専門家としての私の観点からすると、健全なパラノイアを維持するという同じ考え方が、ゼロトラストの本質なのです。

では、なぜゼロ トラストに特に重点を置くことにしたのでしょうか? 私の動機は、「ゼロ トラスト」という用語が現在どのように使用されているかという傾向に基づいています。 映画制作に関する別の逸話に戻りますが、これは 80 年代後半のことですが、当時はハリウッドがオーディオ、ビデオ、ポストプロセス編集において従来のアナログ技術からデジタル標準に移行していた時期でした。 当時、映画製作コミュニティの技術にあまり詳しくないメンバーの多くは、「デジタル」が実際に何を意味するのか理解しておらず、また、理解しようともしていませんでした。むしろ、彼らにとって「デジタル」という言葉は事実上「クラス最高」と同義語でした。 その結果、プロデューサーやディレクターは、一緒に仕事をした技術系の友人たちの残念な思いにもかかわらず、照明やセットの構築が「デジタル」かどうかを尋ね始めましたが、彼らが本当に意味していたのは次のことでした。 「これは最高の照明デザインなのか、それとも最高のセット構成なのか?」 さて、今日に戻ってみると、1990 年に映画プロデューサーが「デジタル」という言葉を使ったのとほぼ同じように、CSO コミュニティ内で「ゼロ トラスト」という言葉が使われているのを頻繁に耳にします。  

それとは別に、私は最近、サイモン・シネックの「Starts with Why」フレームワークを紹介されました。 このフレームワークは、ハリウッドが「デジタル」の初期の頃をどう考えていたか、映画がセキュリティの(不正な)慣行に基づいてストーリーをどのように作り上げたかという思い出とともに練り上げられ、ゼロ トラストに関する私の考えをまとめるのに役立ちました。 ゼロ トラストの核心にあるのは、冒頭で述べたハリウッド映画のストーリーの教訓です。重要なシステムを保護するための設計と運用において、思慮深いサイバー防御を少しでも怠ると、後になって多大な侵害と苦痛を被ることになります。 同様に、フレームワークの中心的な「なぜ」レベルでは、ゼロ トラストは次の一連の信念として表現できます。

A.     常に誰」であるかを明示的に検証します。 それ システムと対話しようとしているアクターです。

B.     必要な最小限の権限をデフォルトに設定します: ID が確立されたら、設計で列挙された必要な権限を使用して、実行されている特定のビジネス トランザクションのシステムと対話するために必要な権限のみをそのアクターに許可します。

C.継続的に監視し、(再評価する: 本人確認と特権の権利は、静的で一度限りのものではなく、継続的に評価および再評価される必要があります。

D.それでも、侵害されたと仮定します。 最後に、上記の 3 つの項目を実行したにもかかわらず、巧妙な敵が防御を突破したと想定します。 したがって、システムでは、侵害された要素または ID を識別して分離する方法と、システムへの影響を封じ込めて修復するための戦略も考慮する必要があります。

簡単に言うと: 暗黙的に信頼するのではなく、常に検証してください。 そして、必要な分だけ信頼してください。 そして継続的に評価します。 そして、すべてを捕まえられるとは思わないでください。 それがゼロトラストの「理由」です。

ゼロトラスト

もちろん、「なぜ」は物語の一部に過ぎません。 「どのように」、つまり「なぜ」が生み出す考え方を具体化するために使用されるテクニックとツールは、実践者に関連するもう 1 つのレンズであり、前述の信念の結果として生まれます。 ここでも、今日のサイバーセキュリティ専門家が利用できる現在のツールセットの文脈の中で、具体的に述べたいと思います。

  1. 認証: 保護されたシステムと対話するすべてのアクターは、何らかの ID、または場合によっては ID の組 (人間または自動化システムの ID、人間/システムが使用しているデバイスまたはプラットフォームの ID、さらにはアクセスを容易にするために使用されるブラウザーまたはツールの ID など) を持っていることを証明する必要があります。 ゼロ トラストの考え方では、そのような証明は、共有秘密、トークン、証明書、さらに最新のシステムでは、そのアクターの行動パターンを観察して検証するなど、1 つ以上の手段で検証、つまり「認証」される必要があります。
     
  2. アクセス制御: アイデンティティが確立されると、そのアイデンティティに付与されるアクセス制御権限によって具体化される信頼レベルがそのアイデンティティに割り当てられる必要があります。 アクセス制御ポリシーは、最小権限の原則に従う必要があります。最小権限の原則では、付与される権限は、アクターがシステム内でその役割を果たすために必要な最小限の権限セットのみです。 理想的なアクセス制御の実装では、次のような付与される権限のきめ細かい指定が可能になるはずです。 ロール は、API <1>、<3>、<4> へのアクセスと、クラス および のオブジェクトへの読み取り権限を許可します。 注意すべきベスト プラクティスは、アプリケーション リソースを対象とする複雑なアクセス制御シナリオは、オブジェクト、ファイル、およびネットワーク リソースへの直接アクセスを許可するのではなく、API の背後に抽象化する必要があるということです。
     
  3. 可視性: 「継続的な再評価」の前提条件である「監視」の考え方に移ると、システムは各アクターのシステム動作を継続的にリアルタイムで可視化できる必要があります。 この文脈では、「見なければ、起こらなかったことになる」という主張は自明です。 さらに、収集された「テレメトリ」は、可視化されるだけでなく、報告内容の共有とコンテキスト化を可能にするフレームワーク内に存在する必要があるという意味で、利用可能でなければなりません。 これにより、複数のソースからのデータを意味のある形で組み合わせて相関させることが可能になり、より堅牢で有効性の高いリスク評価が可能になります。
     
  4. コンテキスト分析、ML支援: 前述の可視性の目的は、「継続的に再評価する」という原則を実行できるようにすることです。 この原則を実装するには、可視性だけでなく、通常は複数のデータ ソース (前述の共有しやすいフレームワークが必要) にわたるほぼリアルタイムの分析も必要になります。 そのためには、継続的な評価において、異常な行動をしている行為者を検出し、システム侵害の可能性を特定するための AI 機械学習システムの支援が必要になることがよくあります。 最後に、堅牢な分析エンジンは、単純な二者択一の「はい/いいえ」ではなく、より微妙な答え、つまり、リスク評価とそれに関連する信頼スコアを提供できる必要があります。
     
  5. リスクを考慮した自動修復: 最後に、一部の洗練された敵対者は依然としてシステムに侵入するだろうという信念体系の一部であるため、システムは、より深く監視し、必要に応じてそのような行動や行為者を封じ込めたりブロックしたりするために行動できなければなりません。 システムの対応は、単なるログ記録からより詳細な検査、試行されたアクションのブロック、さらには不正行為者の疑いのある人物を欺くことまで、より高レベルのビジネス コンテキストで考慮する必要があります。 誤検知や誤検出の可能性と影響、およびアクションのビジネス リスクも、これらの考慮事項の一部です。 たとえば、製品カタログの閲覧をブロックするのは、行為者が悪意のあるサイトスクレイパーであるという確信が非常に高い場合にのみ適切である可能性がありますが、確信度が低い銀行取引の場合は追加の認証を要求することが適切である可能性があります。 最後に、現代のサイバー攻撃は高度かつ高速であるため、運用上の修復アクションは自動化可能でなければならず、人間が指定したポリシーは意図に基づく目標に基づいて記述される必要があります。

「なぜ、どのように、何を」フレームワークの最後の側面は「何を」、つまり上記のツールとテクニックを使用して目標を達成し、攻撃の種類を防止または軽減できるかどうかです。 サイバー攻撃の完全な分類法については、今後の記事で取り上げる予定ですが、今後の注目点の予告として、ここで説明する「理由」と「方法」は、洗練された「高度な脅威」の範囲に対応しています。 一例として、ゼロ トラストの考え方では、たとえ「信頼できる」ソフトウェア コンポーネントによって開始されたとしても (「サプライ チェーン攻撃」とも呼ばれます)、ランサムウェアの脅威に対処できます。 具体的には、アクセス制御ポリシーに組み込まれている最小権限の原則を適用して、ファイルの読み取り/書き込み権限をその権限を必要とするユーザーのみに制限し、ファイル リソースの暗号化を防止する必要があります。 さらに、何らかの行為者(おそらくファイル書き込み権限を持つ既存のソフトウェア コンポーネント)が侵害され(前述のサプライ チェーン攻撃ベクトルを使用)、多数のファイルに対して高速データ暗号化を試みた場合、アクセスされたファイルの範囲とアクセス速度を記録することで、継続的な再評価と分析によって異常な動作を短期間で検出できるはずです。 自動緩和機能と組み合わせた検出により、このようなアクティビティを迅速にブロックできます。 

それで、私が最初に始めた別の世界に戻って... 宇宙艦隊のすべてのコンピュータ サブシステムが最小権限の原則に基づいて動作している場合、光子魚雷を発射する API は重力制御サブシステムによって呼び出すことができないはずです。 そして、エイリアンの母船の制御装置は生体認証ベースの MFA を実行するだけでなく、母船のセキュリティ制御では侵入が発生することも想定しているため、継続的に監視と再評価を行い、船内を飛行する戦闘ドローンの異常を検出し、その異常なドローンがエンジンコアに向かう場合は脅威を軽減します。 こうした重要な予防策を少しでも講じれば、その後に起こる多くの悲劇を回避できるだろう。これはハリウッドにとっては悪いことだが、サイバーセキュリティの専門家にとっては良いことだ。

ゼロ トラストに関する幅広い概念を網羅するフレームワーク、既存のビジネス背景との関連、およびアプリケーション ビジネス リーダーが採用すべきセキュリティの考え方について詳しくは、弊社のホワイト ペーパー「ゼロ トラスト セキュリティ」をお読みください。 ゼロ トラストが重要な理由 (アクセスだけの問題ではない)