[go: up one dir, main page]
More Web Proxy on the site http://driver.im/
連載 :
  インタビュー

ゼロトラストに基づく権限管理を社内、そして外部委託事業者にも拡大するCyberArk

2020年1月29日(水)
高橋 睦美

権限管理で注目を集める「ゼロトラスト」

近年、セキュリティ分野で注目度を高めてきたキーワードが「ゼロトラスト」だ。クラウドサービスの普及やテレワークの拡大といったIT環境の変化も相まって、2020年には日本国内でもこのアプローチを採用する企業は増加することだろう。

セキュリティ対策では長らく、ファイアウォールなど何らかの「境界」を設けて内と外を分け、内部は信頼しつつ外部からの不正アクセスを防ぐアプローチが主流だった。しかし、「こうしたシステムはもはや非常に脆弱なものとなっている。外部の攻撃者は境界を乗り越え、内部関係者になりすますのが当たり前。2017年に発生したEquifaxでの情報漏洩事件が示した通り、攻撃者はひとたび内部に入り込んだらクレデンシャル(認証情報)を盗み出し、あらゆる操作を行ってしまう」と、イスラエル生まれのセキュリティ企業、CyberArkの会長兼CEO、ウディ・モカディ氏は指摘した。

CyberArk 会長兼CEO ウディ・モカディ氏

このような背景を踏まえて注目されつつあるのが、前述のゼロトラストというアプローチだ。「侵害はあり得る」という前提に立ち、内側にいるユーザーを無条件に信頼するのではなく、常にユーザーやデバイスの認証・認可を行い、信頼できると判断できた場合にのみアクセスを許可する。それも、何でもかんでもアクセスを許すのではなく業務上必要な範囲のみに限定し、万一脅威の兆候が見つかった場合には迅速に調査できるよう監査ログを残す。

内部の従業員を信頼しないわけではないが、継続的に検証し、確認していくことでセキュリティを保っていくゼロトラストというアプローチは、マルウェア感染やなりすましによる侵害はもちろん、米VerizonがまとめるDBIRで情報漏洩の大きな要因として毎年指摘されている内部犯行に備えることにもなる。

あらゆる操作が可能な特権IDもコントロール

CyberArkでは、こうしたゼロトラストのアプローチを支援する特権ID管理基盤として、「Core Privileged Access Security」ソリューションを提供してきた。

データベースや基幹システムといった社内の重要なシステムに対し、「root」など特権権限でのアクセスをダイレクトに許すのではなく、プロキシ的にアクセスを集約して一元管理し、必要に応じてIDを払い出す仕組みだ。パスワードなどを自力で維持管理する必要もなく「いつ」「誰が」「どのような権限で」「どのような作業を行ったか」も全て記録されるため、後々の監査も容易となる。

こうした特権管理が求められるのは、人とシステムの間だけとは限らない。システムとシステム、アプリケーションとアプリケーション、あるいはRPAで置き換えた自動プログラムとの間でも、ゼロトラストの考え方に基づき、認証に基づく権限管理が求められることになるだろう。Core Privileged Access Securityはこうしたニーズにも対応していくとモカディ氏は説明した。

新製品「ALERO」で外部委託事業者にも適切な権限管理を拡大

さらに、ゼロトラストが求められるのは社内関係者に限らない。内製化の動きが広がっているとはいえ、ITシステムの構築・運用を全て自社で賄える企業はほとんど存在しない。おそらくどの企業も多かれ少なかれ、何らかの形で外部委託業者やパートナーの力を借りているはずだ。

だがこの数年、そのメンテナンス経路が侵害の糸口となるセキュリティ事故が発生している。リモートメンテナンスなどによく使われるWindowsのRDP(リモートデスクトッププロトコル)に脆弱性が発覚し、実際にそれを悪用してコインマイナーやランサムウェアに感染するケースが報告されているのだ。VPNに用いられるIDとパスワードが詐取されるリスクもある。このように、パートナーも含めたサプライチェーン全体のリスクについても、近年対応が叫ばれているところだ。

ここでも「相手を信頼するのは大切なことだが、信頼のスコープに入れるための検証が必要だ」とモカディ氏は述べた。

そこでCyberArkでは、外部委託事業者向けアクセスコントロールツールの新製品「ALERO」をリリースしている。ALEROはクラウドベースのソリューションだが、Core Privileged Access Securityのアドオンの形で利用する。価格はオープンプライスだ。

外部委託事業者を「招待」するとQRコードが送られてくる。そのリンク先では、FIDOと似た仕組みでスマートフォンの顔認証などパスワードレスで認証を行えるようになっており、成功すればALEROに接続できる仕組みだ。あとは社内向けの場合と同様にCore Privileged Access Securityから特権IDを払い出し、限定された範囲でアクセスを許可する。

CyberArk ALEROにおけるパスワードレス認証

特権IDを組織横断的に守る仕組み

こうした仕組みにより「特権ユーザーにとって使いやすく、また外部からリモートアクセスしてくる外部ベンダーにシンプルさを提供する。それでいて、ゼロトラストアプローチに基づく高いセキュリティも提供する」(モガディ氏)。

今後、デジタルトランスフォーメーションの流れの中で、外部のさまざまなサービスやサードパーティと連携しながらDevOps的にサービス開発に取り組む企業も増えていくだろう。「DevOpsではスピードがモノを言うが、ALEROではそうした環境で、サードパーティに対し数分程度で認証・プロビジョニングを行うことができる」(モガディ氏)。

Jenkinsのようなツールやコンテナを活用し、モダンなアプリケーションを開発していく上でも、アジリティを損なうことなく適切な認証・認可を実現し、大きな力になれると説明した。

●関連リンク
CyberArk(https://www.cyberark.com/ja/)

一橋大学社会学部卒。1995年からインターネット/ネットワーク関連誌にて、ファイアウォールやVPN、PKI関連解説記事の編集を担当。2001年にオンライン媒体に転籍し、10年以上に渡りセキュリティ関連記事の取材、執筆ならびに編集に従事。2014年8月に退職しフリーランスに。

連載バックナンバー

運用・管理インタビュー

本当に役立つプロダクト開発を目指し、ユーザーとなる社内の営業に向き合う

2024/11/13
15分という限られた時間で印象を残すには? KDDIアジャイル開発センターの、アジャイルな営業ツール開発とは
設計/手法/テストインタビュー

現場の声から生まれた国産テスト自動化ツール「ATgo」が切り開く、生成AIを駆使した次世代テスト自動化の最前線

2024/11/6
六元素情報システム株式会社のテスト自動化ツール「ATgo」概要と開発の背景、今後のロードマップについて、同社の石 則春氏と角田 聡志氏に聞いた。

Think ITメルマガ会員登録受付中

Think ITでは、技術情報が詰まったメールマガジン「Think IT Weekly」の配信サービスを提供しています。メルマガ会員登録を済ませれば、メルマガだけでなく、さまざまな限定特典を入手できるようになります。

Think ITメルマガ会員のサービス内容を見る

他にもこの記事が読まれています