世界中からの増え続ける脅威に晒される連邦政府機関に対し、サイバーセキュリティ能力の近代化を促す大統領令(EO:Executive Order)が発出されてから18カ月が経ちました。ゼロトラストの推進により、連邦政府のセキュリティチームは敵をよりよく理解し、インフラのどこに脆弱性があるかを特定し、標準化され調整された対応プロセスに基づいて作業することができるようになるはずでした。
実装の開始まであと数カ月となりましたが、達成の度合いはさまざまです。一部には、国防総省が国防情報システム局(DISA)のためにクラウドベースインターネットアイソレーション(CBII)の展開に向けて順調に進んでいるという話もあります。しかし最近のデータによると、国防総省のサイバーセキュリティ基準を満たす防衛コントラクターは4社に1社しかないことも分かっています。連邦政府機関が次々にサイバー犯罪の被害に遭い、ロシア-ウクライナ紛争が米国に対するサイバー攻撃のリスクを高めていることからも、連邦政府を標的としたサイバー脅威がすぐに沈静化することはなさそうです。
根強い楽観論
「Agency Guide to Zero Trust Maturity」によると、サイバーセキュリティを担当する連邦政府職員10人のうち9人以上が、自らの機関のサイバー脅威に対する防御能力に自信を持っており、3分の2近く(63%)がEOの要件を予定通りまたは早期に達成できると予想しています。すでに4分の3(76%)がゼロトラスト戦略を正式に導入しており、半数以上(52%)が積極的に導入しています。
しかし、課題はまだ残っています。連邦政府関係者の60%近くが、ゼロトラストアーキテクチャの導入における主な課題の1つは既存のレガシーインフラの再構築または置き換えであると答え、約半数が必要なテクノロジーを特定するのに苦労しており、48%が機関内のITスタッフの専門知識が十分でないと考えています。
従来のセキュリティアプローチは有効ではない
連邦政府機関は、EOに従ってサイバーセキュリティにゼロトラストアプローチを取り入れようと努力していますが、それが行き詰まっていることは明らかです。その原因は、これらの機関が未だに従来からの検知と対応型のセキュリティソリューションに依存していることにあります。ハブ&スポークの世界向けに設計されたセキュリティアーキテクチャでは、現代の分散した政府機関を保護するためにセキュリティを柔軟かつ動的に運用することは非常に困難です。
現代の脅威は高度に回避的な技術を活用してますます巧妙になっており、従来型のセキュリティツールを回避して脆弱なエンドポイントへの初期アクセスを獲得し、ネットワーク全体に拡散して機密データを盗んだり悪意のあるペイロードを展開したりします。これらの新しい脅威はHEAT(Highly Evasive Adaptive Threats:高度に回避的で適応型の脅威)と呼ばれ、デジタルトランスフォーメーションやクラウドへの移行、リモートワークの進展によって拡大した攻撃対象を狙い、他人を信頼してしまうという人間の本質につけ込んで、組織の最も弱い部分であるユーザーを狙っています。悪意のあるコンテンツを1回クリックしたりダウンロードしたりするだけで、ネットワークに侵入される可能性があるのです。国家安全保障のように機密性が高く、公共サービスのように影響が広範囲に及ぶIT環境では、このリスクはあまりにも大きく、無防備では済まされません。
連邦政府機関は、ネットワーク中心のセキュリティアプローチからユースケース中心のアプローチに進化する必要があります。セキュリティは、基盤となるインフラに関係なく、ユーザー、アプリケーション、およびそのワークロードに追従する必要があります。しかし、変革は困難で破壊的であり、持続不可能な技術的負債をもたらし、組織が以前よりも攻撃に対して脆弱になることもあります。
緩和の最初のステップはWebアイソレーション
連邦政府機関がゼロトラスト戦略への移行を進めるためには、時間を短縮する必要があります。連邦政府機関は、直ちにクラウドベースのWebアイソレーションソリューションを導入して、セキュリティを根本から見直すべきです。Webアイソレーションはゼロトラストアプローチにより、ユーザーと外部のインターネットとの間に仮想的なエアギャップを作り、悪意の有無にかかわらず、あらゆるコンテンツがエンドデバイスに直接アクセスすることを防ぎます。すべてのトラフィックをクラウド上の分離されたレイヤーにルーティングすることでアクセスを遮断し、実質的に無力化することで、ユーザーをHEAT攻撃から保護します。
ここでは、連邦政府機関がクラウドベースのWebアイソレーションソリューションを導入することで即座に得られる、5つのメリットを紹介します:
1. 初期アクセスの防止
Webアイソレーションにより、連邦政府機関はMITRE ATT&CKフレームワークの最初のステップである初期アクセスの防止に注力することができます。攻撃者がエンドデバイスに最初の足場を築くのを阻止することで、攻撃者が潜伏してネットワークを調査し、重要な標的を探すのを防ぐことができます。そもそも初期アクセスができなければ、脅威がネットワークを通じて拡散することもできません。Webアイソレーションは、分散したノートパソコン、モバイルデバイス、SaaSプラットフォーム、マルチクラウド環境、その他の脆弱なエンドポイントにおける脅威への扉を根本から閉ざしてしまうのです。
2. 保護的なセキュリティレイヤーを追加する
従来からの検知と対応型のセキュリティソリューションは、全体的なセキュリティ戦略における重要な要素ではありますが、防御的なソリューションで補強する必要があります。Webアイソレーションは既存のセキュリティスタックに加えて実装することができ、追加のセキュリティレイヤーとして機能します。他のセキュリティツールと統合する必要は無く、エンドポイントの設定も不要で、複雑なルールやポリシーエンジンの管理も不要です。Webアイソレーションはユーザーとインターネット上のあらゆるコンテンツとの間の仮想的なエアギャップとして機能し、脅威がエンドポイントに近づくことを完全に防ぎます。
3. セキュリティアーキテクチャの近代化
ユーザーとエンドポイントが保護されていることを確認できれば、ユーザーとアプリケーションの90%がファイアウォールの内側に存在することを前提とした、明らかに時代遅れのセキュリティアーキテクチャの近代化に着手することができます。より多くのビジネスがWebに移行したことで、セキュリティインフラをネットワーク重視からユーザーおよびアプリケーション重視に更新することの重要性が、より高まってきました。Webアイソレーションは、完全にドアを開けて組織を危険にさらすわけではなく、古いアーキテクチャを取り壊して置き換え、安心を提供します。
4. コードとしての動的なセキュリティの構築
クラウドベースのWebアイソレーションソリューションは、オフィス、自宅、休暇中のプールサイドなどのビジネスのさまざまな場所に、セキュリティ保護を拡張します。また機能と共に拡張でき、保護を中断することなく、迅速かつシームレスに変更することができます。これにより、企業はセキュリティをコードとして展開することができるのです。しかしポリシーやセキュリティ上の理由から、オンプレミスのソリューションが必要な場合もあります。多くのWebアイソレーションソリューションは、クラウドやクライアントとして導入することができ、あらゆる要件に対応する柔軟性を備えています。
5. ネイティブなユーザーエクスペリエンスを維持する
最悪のセキュリティソリューションは、ユーザーに負担を強います。別のブラウザーを使用する必要に迫られたり、パフォーマンスの低下を体験したり、インターネットの一部のセグメントから遮断されたりする可能性があります。このようにしてワークフローが中断や変更されると、ユーザーはセキュリティを回避するなどの危険な行動に出る可能性があります。最高のWebアイソレーションソリューションは、ユーザーに対して透過的であり、ブラウザーのネイティブな操作性を維持します。複雑なツールやルールを使うことなく、リスクを伴わない方法で組織の意図を決定することができ、インターネットを「本来のインターネット」として見せ、感じさせ、実行させることができます。
Webアイソレーションはゼロトラストへの第一歩
連邦政府機関は、大統領令で定められたゼロトラストサイバーセキュリティ戦略の実装開始を間近に控えています。Webアイソレーションにより、各機関はシームレスな方法で中断無くこれらの実装を開始することができます。既存のセキュリティスタックに追加することで、各機関はますます巧妙になる脅威からユーザーを積極的に保護できるようになり、リスクを増大させずにセキュリティインフラを再考/再構築する機会を得ることができます。また、世界のどこにでもコードとして配備できる機動的で動的なセキュリティポリシーを作成し、連邦政府の職員が必要とされる場所で任務を遂行できるようにする道も開けるでしょう。