TOUCH THE SECURITY Powered by Security Service G
IT業界に身を置いていると、「ゼロトラスト」という言葉を耳にしたことがある方も多いかと思います。しかしながら、ゼロトラストという言葉は知っていても、どんなものかはあまり知らないという方もいらっしゃるのではないでしょうか。本記事では、ゼロトラストおよびゼロトラストを踏襲したアプローチであるスレットハンティングについてご紹介します。
ゼロトラストとは
ゼロトラストという言葉をWeb検索すると、『全てを信用しない』を前提に対策を講じるセキュリティの考え方が多くヒットします。しかしながら、IPAのゼロトラスト導入指南書にも記載がある通り、基本的な考え方としては『全てのデバイス、ユーザ、 通信、ネットワークを監視し、認証・認可を行うこと』とされており、全てを信用しないということではなく、全てを確認するということを表しています。[ⅰ]ゼロトラストという言葉自体はアメリカの企業が2010年に提唱したものですが、クラウドサービスの利用やテレワークの増加など、環境の変化により内部と外部の境界線を対策するだけでは限界が来ていることから、ここ数年でより注目されるようになりました。
私も数年間にわたってIT業界に携わっていますが、ゼロトラストという言葉を耳にするようになったのは、直近数年の出来事のように思います。そのため、今のうちにセキュリティ関連のバズワードの一つとして押さえておいても遅くはないでしょう。
[ⅰ]ゼロトラストという戦術の使い方 - IPA
ゼロトラスト導入指南書 「2.3 ゼロトラストの基本的な考え方」より
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/zero-trust.html
ゼロトラストのメリット・デメリット
ゼロトラストが注目され始めてから、様々な企業がゼロトラストを謳う製品やサービスを提供するようになりました。現代の環境の変化に適応した、全てを確認してセキュリティ対策を施すソリューション、というと聞こえが良く万能なようにも思えますが、メリットだけではなくデメリットもあります。利用環境により異なる部分もありますが、ゼロトラストを謳う製品やサービスにおけるメリットおよびデメリットの一例を以下にご紹介します。
ゼロトラストのメリット
・安全なクラウドサービスの利用内部と外部の境界線が曖昧なため、従来の境界線にセキュリティ対策を施す手法では安全性の確保が難しかったクラウドサービスも、全てを確認してセキュリティ対策を施すゼロトラストでは、比較的安全に利用することができます。
・安全なテレワークの遂行
ゼロトラストネットワークは許可された端末だけがアクセスできるため、自宅やサテライトオフィスなど、場所を問わずどこでも安心してテレワークを遂行できます。
ゼロトラストのデメリット
・業務上の利便性の悪化全てを確認してセキュリティ対策を施すため、アクセス制限などにより認証の回数が増え、業務上の利便性は悪化してしまう場合があります。
・コストの増加 セキュリティレベルを上げるために、複数の製品の導入が必要になるため、その分コストもかかります。セキュリティ対策を実施する上でコストをかける部分とかけない部分をしっかり見極めて、得られる効果とコストが釣り合うようにすることが重要です。
ゼロトラストを導入したり提供したりするような立場でもない方にとっては、メリットよりもデメリット(主に業務上の利便性の悪化)の方が体感する機会が多いかもしれません。脅威がなかなか見えないように、安全もなかなか見えづらく体感しづらいものであるというのも、セキュリティ導入において難しいところだと思います。
個人的な話になりますが、セキュリティ業務に携わる前はインフラ保守業務に携わっていたこともあり、表面的には見えづらい部分で実は守られていることの重要性というのはなかなかユーザー側には伝わりづらいものだと改めて感じました。そのため、ゼロトラストを導入したり提供したりする側においては、セキュリティインシデントの削減数など、導入によってどんな成果が得られたのかをユーザー側にも明示的に周知していくことも大事だと思いました。
ゼロトラストを踏襲したスレットハンティング
ゼロトラストを踏襲したアプローチとして、"スレットハンティング" というものがあります。ゼロトラストに比べると、あまり耳にしたことがないという方も多いかもしれませんが、ゼロトラストというセキュリティモデルが浸透していく中で、同様に注目され始めたセキュリティ用語です。スレットハンティングは能動的な活動により脅威を探し出すプロセスの総称です。その具体的な方法として、サーバのイベントログ分析やネットワークのトラフィック分析が行われます。一般的なSOCによる分析がアラートログだけを対象とするのに対して、スレットハンティングでは大多数の正常なログを分析の対象とするため、隠れた脅威を発見できる可能性があります。
スレットハンティングでは、悪質なサイトへの通信や誘導元サイトへの通信などを確認できるため、セキュリティ対策を施す際の貴重な情報源にもなり、セキュリティレベルの向上に貢献できるものだと考えています。
ゼロトラストとスレットハンティング
各企業でもゼロトラストが着実に普及しており、PwC社が約300社を対象に調査を実施したところ、企業の半数以上がゼロトラストを実装中との調査結果が出ています(2021年5月頃時点)。また、実装済み企業の多くが成果を実感していることから、今後も更に普及していくことが予想されます。[ⅱ]スレットハンティングはゼロトラストに比べるとまだ普及していないものの、全てのデバイス、ユーザ、 通信、ネットワークを監視するゼロトラストと、大多数の正常なログを分析の対象とするスレットハンティングは親和性が高く、分析対象のログがあればあるほど隠れた脅威を発見できる可能性も増えるため、各企業のセキュリティ意識がどんどん高くなってきている現状を踏まえると、今後更に注目され、普及していくのではないでしょうか。
しかしながら、ゼロトラストの実装による、分析する側への影響もあります。スレットハンティングは自動化されたシステムによる調査もありますが、現状はセキュリティアナリストによる分析で品質が保たれている部分も大きいです。『ゼロトラスト実装→ログの増加→脅威を発見できる可能性の増加』という流れはメリットではあるのですが、同時にセキュリティアナリストの作業量の重さにも直結していく部分になります。そのため、ゼロトラストの普及によりどんどん分析対象が増える中で、知識や経験をもとに「重点的に守りたい領域」、「サイバー攻撃の兆候が表れる領域」について仮説を立て、いかに工数を減らして脅威の検出を試みることができるか、というのも、今後スレットハンティングが普及していくうえで重要な要素となるかもしれません。
[ⅱ] 企業の半数以上がゼロトラストを実装中--PwC調べ
下記リンクページ内1行目より
https://japan.zdnet.com/article/35171249/
まとめ
セキュリティ需要が高まり、今後もゼロトラストは更に普及していくことが予想されます。また、ゼロトラストを踏襲したアプローチであるスレットハンティングについても同様です。ただ、どちらもあくまでセキュリティに関する課題を解決する手段の1つであることを認識しなければなりません。最終的には各個人のセキュリティ意識によるところも大きいため、『ゼロトラスト』のマインドを持って日々のセキュリティ意識を高めてみるのも良いかもしれません。私も一人前のセキュリティアナリストになるべくスレットハンティングの経験を積んでいますが、まだ見ている範囲が大して広くないにも関わらず、『検知されていないが脅威になりうる可能性があるもの』をたくさん目にしてきているので、世の中の人が思っている以上に隠れた脅威は存在しています。一方で、協業によるスレットハンティングの自動化など、ゼロトラストの普及により増加した分析負荷も改善されてきており、よりスレットハンティングが普及しやすくなる進歩を遂げているように感じます。[ⅲ]
今後もゼロトラストとスレットハンティングの更なる普及による、よりセキュアな社会の実現に期待です。
[ⅲ] 「スレハンしようぜ!」APRESIA Systems、ソフォス、ディアイティのマルチベンダーで、 サイバー攻撃を見つけて、捕まえて、調査し、ブロックする、 すべてが自動化された「スレットハンティング」ソリューションを提供開始
下記リンクページ内「3社の技術を結集した「スレットハンティング」ソリューション」より
https://www.sophos.com/ja-jp/press-office/press-releases/2019/01/apresia-systems
