BLOG | OFFICE OF THE CTO

ゼロ トラストについてハリウッドが教えてくれたこと

Ken Arora サムネール
Ken Arora
Published May 05, 2022
  • Share via AddThis


もし私が別の現実や空想の未来で、艦隊のコンピュータ システムを設計する機会があるとしたら、まず間違いなく、兵器システムと生命維持装置のサブルーチンを接続しません。また、もし私が異星人の侵略部隊の司令官で、まったく異なる種族が住む惑星、つまり地球を征服する任務を任されたら、パスコードやトークンではなく、生体認証を求めるでしょう。そして最後に、もし私の部下や宇宙船があらゆる予想を覆して奇跡的に敵の手から「逃れた」としたら、私はまず彼らがトロイの木馬を運んでいないかどうかを確認するでしょう。

では、それがゼロ トラストとどう関係があるのでしょうか。もうおわかりだと思いますが、ハリウッドでは、健全で直接的なパラノイアを無視した結果として生じる壮大な結末を描くストーリーが人気です。そして、サイバーセキュリティ専門家としての私の見解では、同じ考え方、つまり健全なパラノイアを維持することが、本当の意味でゼロ トラストの核心となるのです。

私がゼロ トラストに注目した理由は、「ゼロ トラスト」という言葉が現在、どのように使われているか、その傾向に基づいています。映画制作の話に戻りますが、80年代後半は、音響、映像、ポストプロセス編集においてハリウッドが従来のアナログ技術からデジタル規格に移行していく時期でした。その当時、映画制作に携わる技術に詳しくない多くの人たちは、「デジタル」が実際に何を意味するのかを理解するどころか、理解しようともしていませんでした。彼らにとって「デジタル」とは、「そのクラスで最高のもの」と実質的に同じでした。その結果、彼らと仕事をしていた技術者の友人たちは悔しがっていましたが、プロデューサーやディレクターたちは照明やセットの構成が「デジタル」かどうかを尋ねるようになり、その質問は本当は「これは最高の照明デザインか」、「これは最高のセット構成か」という意味だったのです。さて、話を現代に戻しますが、CSOのコミュニティでは、1990年に映画プロデューサーが「デジタル」という言葉を使っていたのとほぼ同じように「ゼロ トラスト」という言葉が使われているのをよく耳にします。

一方、私は最近Simon Sinek氏の「WHYから始めよう」というフレームワークに出会いました。このフレームワークは、ハリウッドが初期の「デジタル」をどのように考えていたか、また、映画がセキュリティの(誤った)慣行に基づきどのようにストーリーを作り上げていたかを思い出させ、私がゼロ トラストに関して抱いていた多くの考えをまとめるのに役立ちました。ゼロ トラストの核心は、私が冒頭でお話ししたハリウッドのストーリーの教訓と同じです。重要なシステムを保護するための設計と運用において、慎重なサイバー対策をわずかでも無視すれば、後にたくさんの妥協と苦痛をもたらすことになります。同様に、フレームワークの中心となる「WHY(なぜ)」の段階で、次のような一連の考え方としてゼロ トラストを表すことができます。

A.     常に誰が」を明示的に検証する。すなわち、あなたのシステムとやり取りを行おうとしている行為者です。

B.     必要最小限の権限をデフォルトとする。IDが確立されたら、実行する特定のビジネス トランザクションのために、その行為者がシステムとやり取りするのに必要な権限のみを、設計により必須に設定されている権限とともに許可します。

C.     継続的に監視し、(再評価する。ID検証と権限は、1回限りの静的なものではなく、その決定の評価を継続的に繰り返し行う必要があります。

D.    そしてそれでも、侵入された場合を想定する。最後に、上記の3つの項目を行った上で、巧妙な攻撃者が防御を突破した場合を想定します。したがって、侵害された要素やIDをどのようにして特定し、分離するかと、システムに与える影響を封じ込め、修復するための戦略も考慮しなければなりません。

わかりやすく言い換えると、むやみに信用せず、常に検証すること。必要な分だけ信頼すること。評価し続けること。すべてを把握できると思い込まないこと。これがゼロ トラストの「WHY(なぜ)」です。

ゼロ トラスト

もちろん、「WHY(なぜ)」はストーリーの一部に過ぎません。「HOW(どのように)」、すなわち「WHY(なぜ)」が生み出す考え方を具体化するための技術やツールは、その専門家が持つ別の視点であり、前述の考え方の結論として出てくるものです。ここでもまた、今日のサイバーセキュリティ専門家が利用できる現代のツール セットという観点で、具体的に説明します。

  1. 認証:保護されたシステムとやり取りを行ういかなる行為者も、何らかのID、または場合によってはIDのタプル(人間または自動化システムのID、人間/システムが使用するデバイスやプラットフォームのID、そしてアクセスを容易にするために使用されるブラウザやツールのIDなど)を持つことを証明する必要があります。ゼロ トラストの考え方は、そのような証明はすべて、共有シークレット、トークンまたは証明書、さらに最新のシステムではその行為者の行動パターンの観察と検証という、1つ以上の手段によって検証、つまり「認証」されなければならないことを意味します。
     
  2. アクセス制御:IDが確立されると、そのIDには、そのIDに付与されたアクセス制御権が表す信頼レベルが割り当てられます。アクセス制御ポリシーは最小権限の原則に従うものとし、付与される権限は、行為者がシステム内でその役割を果たすために必要な最小限の権限セットです。理想的なアクセス制御の実装は、「役割には、API<1>、<3>、<4>へのアクセスと、クラスおよびのオブジェクトの読み取り権限を許可する」など、付与される権限を詳細に指定できるようになることです。留意すべきベスト プラクティスは、アプリケーション リソースを対象とした複雑なアクセス制御シナリオをAPIの背後で抽象化することであり、オブジェクト、ファイル、ネットワーク リソースへの直接的なアクセスを許可することではありません。
  3. 可視性:「継続的な再評価」の前提条件である「監視」の部分に話を進めますが、システムは、各行為者のシステムにおける行動を継続的かつリアルタイムで可視化できなければなりません。この文脈において、「見えていないことは起きていない」という言葉が大前提となります。さらに、収集された「テレメトリ」は可視化されるだけでなく利用可能でなければならず、その意味において、報告された内容の共有とコンテキスト化ができるフレームワーク内にテレメトリが存在しなければなりません。これにより、複数のソースのデータを有意義に組み合わせ、相関させることができ、より堅牢で、より有効なリスク評価が可能になります。
  4. コンテキスト分析、MLの活用:前述の可視化の動機は、「継続的な再評価」の原則を実現できるようにすることです。この原則を実現するには、可視化だけでなく、通常は複数のデータ ソース(前述の共有しやすいフレームワークが必要)をほぼリアルタイムで分析できる必要があります。そのためには、システム侵害の可能性を特定するために、多くの場合、異常な行動をとる行為者を検出するAI機械学習システムによる継続的な評価が必要になるでしょう。最後に、堅牢な分析エンジンは、単純な「はい/いいえ」のバイナリではなく、よりニュアンスのある回答、理想的には、関連する信頼性スコアとともにリスク評価を提供できるものでなければなりません。
  5. リスク認識型の自動修復:最後に、巧妙な攻撃者が依然としてシステムに侵入する可能性があるという信念のもと、より詳細に監視し、必要に応じてそのような行動や行為者を封じ込め、阻止するために、システムが対応できなければなりません。システムの対応は、単なるログの記録から、より詳細な検査や行為の阻止、さらには疑わしい行為者を欺くことまで、より高度なビジネス コンテキストにおいて検討されなければなりません。誤検出や見逃しの可能性と影響、そしてその行動のビジネス リスクも考慮しなければなりません。例えば、製品カタログの閲覧をブロックすることが適切なのは、その行為者が悪意のあるサイトスクレーパーであるという強い確信がある場合に限られますが、追加の認証を要求することは、銀行取引でその確信が中程度である場合に適しています。最後に、最新のサイバー攻撃は巧妙かつ高速であるため、運用の修復操作は自動化が可能でなければならず、人間が指定するポリシーはその意図に基づく目標という観点から策定されていなければなりません。

「WHY(なぜ)、HOW(どのように)、WHAT(何を)」のフレームワークの最後の要素は、「WHAT(何を)」です。つまり、上記のツールやテクニックを使用することで、達成できる目標であり、防止または緩和できるさまざまな攻撃です。サイバー攻撃の分類の全容については、今後の記事で取り上げる予定ですが、その予告として、ここで説明した「WHY(なぜ)」と「HOW(どのように)」は、巧妙で「高度な脅威」の範囲に対応しています。その一例として、ゼロ トラストの考え方は、たとえ「信頼できる」ソフトウェア コンポーネントによって引き起こされたランサムウェアの脅威(「サプライチェーン攻撃」ともいいます)にも対応することができます。具体的には、アクセス制御ポリシーが表す最小権限の原則を適用して、ファイルの読み取り/書き込み権限を、その権限を必要とする行為者のみに制限し、ファイル リソースの暗号化を防止します。さらに、何らかの行為者、おそらくファイルの書き込み権限を持つ既存のソフトウェア コンポーネントが(前述のサプライ チェーン攻撃ベクトルを使用して)侵害され、多くのファイルで高速データ暗号化を試みた場合は、継続的な再評価と分析により、アクセスされたファイルの範囲とアクセス速度に注目して、異常な動作を短時間で検出します。この検知と自動的な緩和を組み合わせることで、このような行為を迅速にブロックできます。

冒頭の別世界の話に戻りますが、もし艦隊のすべてのコンピュータ サブシステムが最小権限の原則に基づいて動作するなら、光子魚雷を発射するAPIを重力制御サブシステムから起動することはできないはずです。また、異星人の母艦の制御はバイオメトリクスに基づくMFAを実行するだけでなく、母艦のセキュリティ制御も違反が発生することを前提としていれば、継続的に監視と再評価を行い、艦内を飛行する戦闘ドローンの異常を検知し、その異常なドローンがエンジン コアに向かった場合に脅威を緩和させることができます。このような重要な予防策をいくつか講じることで、結果として生じる多くのドラマを回避することができます。これはハリウッドにとっては悪いことですが、サイバーセキュリティの専門家にとっては良いことです。

ゼロ トラストに関する幅広い概念を包含するフレームワーク、既存のビジネスの背景との関連、アプリケーション ビジネス リーダーが受け入れるべきセキュリティの考え方については、ホワイトペーパー「ゼロ トラスト セキュリティ:ゼロ トラストが重要な理由(単なるアクセスにとどまらない)」をお読みください。