ゼロトラストの将来はどうなるのか?
最近、私は最新のランサムウェア攻撃の 1 つ、この場合は医療サービス提供者の Lehigh Valley Health Network (LVHN) に対する攻撃に関する記事を読みました。 サイバー犯罪者が組織のシステムやデータを人質に取るのは常に憂慮すべき事態ですが、今回のサイバー攻撃は特に懸念すべきものでした。 ニュースメディア「ザ・レジスター」はこの事件について次のように報じている。
「[サイバーギャング] BlackCat(別名ALPHV)は、米国のリーハイバレーヘルスネットワーク(LVHN)の医師ネットワークの1つに侵入し、放射線腫瘍治療を受けている患者の画像やその他の機密医療記録を盗みました…LVHNは身代金の支払いを拒否し、今月初めにBlackCatは少なくとも2人の乳がん患者の上半身裸の画像を含む患者情報を漏洩し始めました。」
恐喝の試みはどれも、ネットワークと機密データのセキュリティを強化するという新たな目的意識を生み出す可能性がありますが、ランサムウェアやあらゆる形態のサイバー攻撃が個人に永続的な危害と精神的トラウマを引き起こす可能性があるという事実は、ゼロ トラスト セキュリティの取り組みにまだ着手していない組織にとって、大きな警鐘となるはずです。 機密性の高い個人情報を扱う重要なインフラ部門や組織は、ゼロ トラスト モデルの基本理念を統合する必要があります。
言うまでもないことですが、アプリのセキュリティに関して、私たちが現在よりも数歩先を見据えて考えなければ、サイバー犯罪者やその新たな脅威戦術との競争ですぐに遅れをとることになるでしょう。 ですから、ゼロ トラストの将来はどうなるのか、と自問するのは決して早すぎることではありません。 変化する脅威の状況だけでなく、デジタル世界やアプリ自体の絶え間ない変化に対応するために、どのように進化していくのでしょうか?
これらの質問に答えるために、私は F5 の 2 人のセキュリティ専門家と話をしました。 著名なエンジニアの Ken Arora 氏、および製品開発担当シニア ディレクターの Mudit Tyagi 氏。
この LVHN 違反により、組織が ZT 原則をどのように実装しているかについて真剣に考えるようになりました。 今はまるで審判の時のようなもので、侵害の影響を受けた消費者にとって、1年間の無料信用監視ではもはや十分ではないだろう。 今日、企業にとってのリスクははるかに大きくなっていると言えますか?
ムディット: 賭け金がさらに高くなったのは明らかです。 特に、企業や他の国に対して非常に的を絞った攻撃を研究し実行するための資金と技術的リソース、そして時間を持つ国家支援のハッカーの場合です。 言うまでもなく、社会全体の安定状態が乱れます。 2010年にGoogleや他の米国企業から知的財産が盗まれたAurora事件を私たちは覚えています。 10年後の2020年、SolarWindsのサプライチェーン攻撃は、多くの機密ネットワークに侵入するためのメカニズムとして利用されました。 「大きなリスク」を伴う影響の可能性から、ホワイトハウスはすべての政府機関にゼロトラストの原則に従うことを要求する大統領令を発令した。
ケン: 露出の範囲は時間とともに拡大するだけだということには同意します。 これは、オンラインで利用できるデータが増えるからというだけでなく、大規模な AI 導入に向けて進むにつれて、まったく新しい種類の侵害が明らかになるからです。 新しいテクノロジーのリスク管理に関する社会ガバナンスには常に時間がかかることを指摘しておきます。 たとえば、特に規制対象分野の企業が法的責任を負うようになるまでには、数年前まで時間がかかりました。 Experian と T-Mobile では、合計 10 億ドルを超える規模でこの現象が発生しています。 最近では、Uber の CSO のような個人が、重大な過失があった場合には不正行為に対して個人的に責任を問われるケースが見られます。 この例はヘルスケアにも当てはまります。 こうした展開により、セキュリティ専門家がベストプラクティスに従い、法制度がセーフハーバーガイドラインを策定することがさらに重要になると思います。
今日の状況を考えると、ゼロ トラストの将来はどうなると思いますか?
ムディット: 歴史的に見ると、Google は Aurora 攻撃後にゼロ トラストの初期の具体化の 1 つとして Beyond Corp を導入しましたが、このアイデアはさらに古いものです。 現在では、ユーザーとデバイスのアクセスにゼロ トラストの原則を適用する、ZTNA や SASE などのサービスが登場しています。 ただし、ワークロードが相互に作用してビジネス プロセスとユーザー エクスペリエンスを実現するネットワーク自体の内部にゼロ トラストの原則を適用するには、さらに多くの努力が必要です。 私たちはこれをワークロード間のゼロ トラストと考えています。 簡単に言えば、アクセス関連のアプローチは侵害の発生を阻止しようとするのに対し、ワークロード レベルのゼロ トラストは進行中の侵害の影響を最小限に抑えることに重点を置いています。
業界は、「侵害を想定」というゼロトラスト原則に従った制御を実装するのに苦労しています。 侵害後のシナリオに対処するには、ユーザーやデバイスと同様に、ワークロードにも「ID」が必要です。 また、ネットワーク内にすでに存在するマルウェアが害を及ぼすのを防ぐために、これらのワークロードを継続的に監視する必要があります。 これは、今日のモバイル ワーカーとインフラストラクチャ環境において、アプリがプライベート クラウド、パブリック クラウド、およびレガシー システムに分散していることを考えると、特に重要です。
ゼロ トラストでは「侵害を想定する」という考え方が必要となるため、アクセス制御だけにとどまらないセキュリティ対策が必要になります。
ケン: その通り。 また、脅威インテリジェンス、セキュリティ情報とイベント管理、継続的な診断と軽減なども含める必要があります。 アプリの性質が変化し、AI 駆動型トラフィックがますます増加しているため、ゼロ トラストに対する総合的なアプローチをとるだけでなく、ワークロード自体などのインフラストラクチャの新しい領域にこれらの原則を適用することが必要になります。
Mudit 氏が指摘したように、ゼロ トラストの中核となる原則は、セキュリティ専門家には昔から知られており、内面化されています。ここで言うセキュリティとは、サイバー セキュリティだけでなく、幅広いセキュリティのことです。 最新の ZTNA は、基本的に、ネットワークにアクセスするユーザーとデバイスの ID に「常に検証する」および「継続的に監視および評価する」という原則を適用することを目的としています。
サイバーセキュリティに適用されるゼロトラストの進化における次の論理的なステップは次のようになると思います。 1) ネットワーク アクセスからapplicationアクセスへのレベルアップ、つまりネットワーク層ではなくアプリケーション層の抽象化と保護を使用する。2) ゼロ トラストの原則のapplicationをユーザーとデバイスを超えてワークロードに拡張する。
なぜワークロードがそれほど重要なのでしょうか? そして、そこまで深く考えると、ゼロトラスト原則を開発プラクティス自体(コードリポジトリなど)にも適用することになるのでしょうか?
ケン: 簡単に答えると、ワークロードは新たな内部脅威であるため、重要です。
クラウド ネイティブapplicationsのコードの大部分は、application所有者の組織の管理外のオープン ソース環境で開発されていることを考慮してください。 そのコードを開発するために使用されるソフトウェアプラクティスの成熟度は、一般的に緩く管理されており、文書化も不十分です。 コードをインポートした後に実行されるテストは、主に機能とパフォーマンスに関するもので、セキュリティ評価は軽視されています。 その結果、ほとんどのapplicationコードは「暗黙的に信頼」され、ゼロ トラストが阻止しようとしている動作とまったく同じになります。 そして、それは善意のコード供給者を前提としています。 さらに、オープンソース コードをバックドアとして使用しようとしているアクティブな敵対者が存在することを考慮すると、これは第一級の脅威面として浮上します。 ちなみに、最近注目を集めた攻撃の多く、log4j、SolarWinds、3CX はすべてサプライ チェーン攻撃の例であり、ZTNA とユーザー ID ベースのセキュリティ ソリューションの両方の範囲外です。
最後に、オープンソース コードがバックドアとしてどのように使用されるかという点に焦点を当ててみましょう。 これは、ゼロ トラストには脅威インテリジェンス、セキュリティ情報とイベント管理、継続的な診断などの対策が必要であるという先ほどの指摘に戻ります。
ムディット: はい。 「侵害を想定する」という観点から始める場合、セキュリティについてどのように考えるかを検討することが重要です。 ネットワーク中心のコントロールは、何らかの役割を果たします。コマンドとコントロールのための通信を探すことができます。 しかし、目的は侵入したマルウェアが被害を及ぼすのを阻止することです。 マルウェアが動作するときには、その存在を明らかにする必要があります。 すべてのワークロードを監視してその特性を理解すると、マルウェアの活動に関連する悪質なワークロードを検出できる可能性が高くなります。
MITRE の研究者は、MITRE ATT&CK フレームワークで説明されている戦術、手法、手順 (TTP) の組み合わせの観点からほとんどの攻撃を理解できる分類法を作成することで、セキュリティの世界に大きな貢献をしました。 また、MITRE D3FEND フレームワークで TTP を検出するのに役立つ一連の対策についても説明します。 このフレームワークの重要な部分は、そのワークロード レベルでゼロ トラストの原則を適用することを必要とするプロセス分析です。
開発サイクル中に、静的applicationセキュリティ テスト (SAST) ツールと動的applicationセキュリティ テスト (DAST) ツールによって、ワークロードを構成するコードの脆弱性をスキャンすることが非常に重要です。 また、開発サイクル中に「システム コール」などの低レベルのワークロード特性のベースラインを構築することで、ワークロード レベルのゼロ トラストを実装する準備をすることもできます。 このベースラインにより、ワークロードが本番環境で実行されるときに異常を検出して分析することが容易になります。 D3FEND フレームワークは、開発サイクル中に実行する必要がある強化に重点を置いた一連の対策を提案します。
一般的なセキュリティと特にゼロトラストにおける AI の役割について触れてみましょう。 AI はどのようなセキュリティ上の課題と機会を生み出すのでしょうか? また、ChatGPT はニュースでよく取り上げられています。 2026 年までにインターネット トラフィックの 90% が AI によって生成されるという予測を見ました。 これによってセキュリティは変わりますか? もしそうなら、どうやって?
ムディット: 自動化された攻撃を防御するのはすでに非常に困難です。 攻撃者は攻撃を変形したり変更したりし続けることができるため、SOC にとって大きなノイズが発生します。防御側はすでに自動化を使用して、これらの自動化された攻撃に対抗しています。 自動化された攻撃の特徴がわかってきても、誤検知は大きな問題です。 AI を使用すると、現在の自動化された攻撃よりもはるかに簡単に、通常のユーザーを模倣できるようになります。 これにより、異常の検出が難しくなり、誤検知を最小限に抑えるために非常に高度なコンテキスト分析が必要になります。
ケン: AIは今後もセキュリティに大きな影響を与え続けると思います。 まず、これは明らかに、悪意のある人物が攻撃を実行する方法と、防御側がそれらの攻撃を検出して修復する方法に大きな影響を与えます。 簡単に言えば、人間が手動でできることを AI が指数関数的に高速かつ機敏に代行することで、猫とネズミの追いかけっこは続くでしょう。
特に ChatGPT に関して言えば、盲目的に信頼しないというゼロトラストのマントラがここで機能すると思います。 ZTNA の前提が「ユーザーとデバイスを盲目的に信頼しない」ことであり、それがワークロードにも適用されるべきであるのと同様に、AI コンテンツ生成によって、私たちはコンテンツを盲目的に信頼しなくなると思います。 多くの点で、これは社会の仕組みと完全に一致しています。つまり、特定のコンテンツにどれだけの信頼を寄せるかは、その信頼がどこから来るかによって決まります。 たとえば、私は自分の銀行から発行された小切手の整合性に関する声明を、街角の無作為の人からの同様の声明よりも信頼するかもしれません。 つまり、データの帰属が重要なのです。 そして、AI がより多くのコンテンツを生成するにつれて、現実世界では長い間存在してきたこのアイデアが、デジタル世界における重要な考慮事項として浮上するでしょう。
新たな脅威が出現するペースが加速していることを考えると、ゼロ トラストの将来に関する議論は、特に内部脅威の影響を最小限に抑え、ワークロードにゼロ トラストの原則を適用するという点では、今後も重要な意味を持ち続けるでしょう。 AI によって生成された素材がインターネットに溢れるようになるにつれ、業界のゼロトラストへのアプローチは必然的に進化し、今後さらに多くの視点を取り上げていく予定です。 ご参加いただきありがとうございます。
____
「違反を想定」についてさらに詳しく知りたい方は、Ken の最新記事をこちらでお読みください。