2021 年 10 月 29 日
ウイズコロナ時代におけるゼロトラストセキュリティ実現のカギとは
~ サイバー攻撃による ID/ パスワードの漏えいに対処するための認証強化策 ~
利活用が進むクラウドサービス
新型コロナウイルス感染症(COVID-19)のパンデミックによって、多くの企業・組織がリモートワーク、テレワークを推進したと思います。この状況下において働き方を変革する必要があり、 企業 IT 利活用動向調査 2021 」のクラウドサービスの利用状況の推移を見ても、クラウドサービスの活用が進んでいます。
クラウドサービスの利用状況の推移
(出典)JIPDEC/ITR「企業 IT 利活用動向調査 2021」
クラウドサービスでは、ID/ パスワードのみによる認証によって、サービスへのログインを行うのが一般的ですが、昨今のサイバー攻撃の手口から不正アクセスを防ぐためには、ID/ パスワードのみによる認証には限界があります。
ID/ パスワード漏えいによる不正アクセスのリスク
クラウドサービスを利用する際に入力する ID/ パスワードを「認証情報」と言います。この認証情報がサイバー攻撃によって漏えいし、悪用されることで不正アクセスなどのセキュリティインデントの発生が後を絶ちません。同じ認証情報を複数のクラウドサービスで使い回すと、どれか 1 つのサービスでその認証情報(ID/ パスワード)が漏えいした場合に、他のサービスに不正アクセスされる危険性があります。
また、第三者になりすまして不正ログインするための手口として、ブルートフォースアタック(総当たり攻撃)、ディクショナリアタック(辞書攻撃)やパスワードリスト攻撃といった攻撃手法があります。
ブルートフォースアタックは、英数字や記号などで考えられるパターンを総当たりに試行する手法で、ディクショナリアタックは、パスワードに使用されることの多い単語や人名を組み合わせ、繰り返し試行する手法です。
パスワードリスト攻撃は、フィッシングや標的型攻撃などで流出した実在する「ID/ パスワード」のリストを使用し、通信経路を隠蔽するプログラムによって送信元を偽装して、巧妙にログイン試行する手法です。
パスワードリスト攻撃の被害事例としては、QR コード決済サービスでの不正アクセスによる金銭的な被害が発生しサービス廃止せざるを得なくなった例や、キャッシュレス決済サービスを不正利用して他人の預金口座からお金を引き出すというインシデントが発生しています。
また、攻撃手法は不明ですが、緊急的なテレワークによりネットワークの負荷が高まったことから、緊急対応で予備の VPN 機器を利用したところ、VPN 装置の脆弱性を悪用され不正アクセスを受け、ランサムウェアに感染したというインシデント事例がありました。どのインシデント事例の場合も、ID/ パスワードのみによる認証で、多要素認証を用いた認証強化が行われていませんでした。
「テレワーク等のニューノーマルな働き方を狙った攻撃」について サイバートラスト BLOG でも解説していますように、VPN 機器などの脆弱性を悪用した不正アクセスによって、業務情報等を窃取する事例が発生しています。
クライアント認証強化による堅牢化
リモートワークやデジタルトランスフォーメーション(DX)を推進するうえで重要なのが、ゼロトラストという考え方のセキュリティ対策です。企業・組織が DX を実現するために、クラウドサービスの利用が進む一方で、前述したようなサイバー攻撃への対応が急務です。
ゼロトラストセキュリティとは、「すべてを信頼しない」というコンセプトです。社内ネットワークやクラウドと言ったネットワークの境界線にとらわれない厳密な認証を行い、守るでき「データ」へのアクセスを「すべて信頼しない」ことを実現する情報セキュリティの考え方です。
データにアクセスする全てのデバイスを信頼するのではなく、クライアント証明書やセキュリティトークンなど所有するものや、生体認証などを組み合わせた多要素認証による対策が重要です。
| 認証要素 | 代表例 | 想定される攻撃や課題 |
|---|---|---|
| 知識 | PIN 、パスワード、パスフレーズ | 総当たり攻撃、辞書攻撃、漏洩パスワードの悪用 |
| 生体 | 顏、指紋、静脈 | 他人誤認識があり、確率的で確定的でない、漏洩した場合の代替がない |
| 所有 | PKI ハードウェアトークン、ワンタイムパスワード生成トークン | 盗難、紛失の際、失効する仕組みが必要 |
(出典)Software ISAC「 情報システム開発契約のセキュリティ仕様作成のためのガイドライン 」
また、総務省「 テレワークセキュリティガイドライン第 5 版 」には、テレワークにおけるセキュリティ対策として、情報システムにアクセスするためのアカウント管理や認証手法について示しています。
システムやクラウドサービスへのアクセスで必要となる利用者認証機能について、技術的な基準(多要素認証方式の利用、パスワードポリシー規定等)を明確に定めることや、接続元の端末の正当性を認証する仕組みとして、クライアント証明書を用いた仕組みを備えることを対策として示しています。
(出典)総務省「テレワークセキュリティガイドライン 第 5 版」
また、「 企業 IT 利活用動向調査 2021 」の調査結果では、高機密システムへのアクセス認証手段として、電子証明書(クライアント証明書)や多要素認証、IDaaS などを利用または今後利用したいと回答しています。
高機密システムへのアクセス認証手段
(出典)JIPDEC/ITR「企業 IT 利活用動向調査 2021」
認証強化の事例
クラウドサービスの利用状況が進むなか、「 企業 IT 利活用動向調査 2021 」の調査結果では、クラウドサービスの利用方法について回答しています。「コンテナサービス上で自社アプリを開発または使用」がもっとも多く、次いで「SaaS を使用」と回答しています。
クラウドサービスの利用方法
(出典)JIPDEC/ITR「企業 IT 利活用動向調査 2021」
リックソフト株式会社は、プロジェクト管理ツール「Jira Software」や社内情報共有ツール「Confluence」などのアトラシアン製品をフルマネージドで稼働するクラウドサービス「RickCloud」を提供しています。よりセキュアな環境で RickCloud を利用するため導入されたのが、「 サイバートラスト デバイス ID」による端末認証の機能でした。利用できる端末として厳格な認証をクリアしたもののみに制限できるため、クラウドの利用に不安をもつお客様にもより安心してサービスを利用できると評価されています。特に製造業をはじめとするお客様から寄せられていたクラウド利用への不安に対して、デバイス ID を「RickCloud」のオプションとして活用することで、安心という価値を提供できています。
