ニュース
ISR、新時代のセキュリティに必要なデバイス証明書について説明 米国におけるゼロトラスト戦略の現状も紹介
2022年6月13日 08:00
株式会社インターナショナルシステムリサーチ(以下、ISR)は10日、「セキュリティ強化のために欠かせない、現在の証明書が抱えるリスクとは?」をテーマにした記者説明会を開催した。今回の説明会では、米国におけるゼロトラスト戦略の現状、および新時代のセキュリティに求められる新たなデバイス証明書について紹介した。
米国連邦政府が、サイバーセキュリティの向上に関する大統領令を発令してから約1年が経過した。この大統領令にともない、連邦政府では、現行のサイバーセキュリティプログラム、サービス、および能力を近代化し、ゼロトラストアーキテクチャを採用したクラウドコンピューティング環境で完全に機能するようにする「ゼロトラスト戦略」を推進している。今年1月には、ゼロトラスト・サイバーセキュリティ原則への移行についての覚書を公表。2024年度末までに、ゼロトラストへ全面移行させることを目標としている。
MeriTalkが、連邦政府の公務員および国防省のサイバー担当者に実施した調査レポート「Impact Assessment:Cyber EO Year One」によると、連邦政府のゼロトラスト戦略が「非常に役立っている」、または「ある程度役に立っている」と感じている人は96%、人員と予算をゼロトラストに移行することが「国家安全保障に不可欠」だと感じている人は82%を占めた。一方で、67%が、3年間の実施期間を非現実的と感じている実態も明らかになった。また、ゼロトラストの導入効果については、「すでに成果が現れている」が15%、「6か月後」が27%、「6か月から1年後」が27%という結果となった。
こうした状況の中、サイバーセキュリティ・インフラストラクチャー・セキュリティ庁(CISA)では、ゼロトラスト戦略の目標達成に向けて、6月7日に「Cyber Innovation Fellows」を立ち上げることを発表した。これは、民間企業の専門知識を活用して、国家のサイバーセキュリティ強度を高めていく政策で、第1期「Cyber Innovation Fellows」の候補者推薦の受付を開始したという。
ISR 代表取締役のメンデス・ラウル氏は、米国におけるゼロトラスト戦略をめぐる動きを踏まえて、「米国では、ゼロトラストの考え方が主流になっており、ベンダーは利便性よりも安全性を重視したサービスを提供することが求められている。特に、顧客情報を扱うサービスを提供しているベンダーでは、セキュリティを第一に考える『Security First』の思想が非常に重要になる」と指摘する。
「当社では、この『Security First』の考えのもと、利便性よりも安全性を意識したサービスの開発・運用に取り組んでいる。また、脆弱性のあるプラットフォームや端末を社内で使用しないなど、セキュリティリスクに敏感に対処している。提供サービスについても、2014年10月にFIDO Allianceに加盟し、2021年7月から、SSO(シングルサインオン)ソリューション『CloudGate UNO』にゼロトラストアーキテクチャを採用している」と述べた。そして、「今後、ハイブリッドな働き方が定着し、ゼロトラストが必須となる新時代のセキュリティでは、生体情報などを利用したMFA(多要素認証)による本人確認とともに、デバイス証明書による端末認証をさらに強化していく必要がある」との考えを示した。
現在のデバイス証明書が抱える問題点としては、外部認証局で証明書を発行した場合、その中に秘密鍵も含まれているため、インターネット経由で端末に運ぶ際に攻撃者に窃取されるリスクがある。また、秘密鍵を端末にインストールした後も、安全に保管されていない場合、攻撃者に証明書をコピーされてしまう危険性があるという。
これに対して同社では、「CloudGate UNO」において、端末の固有識別情報を元に、厳密な端末制限を実現するデバイス証明書発行機能を、ChromeOS向けに提供している。この機能では、Chromebook端末内のセキュアなエリアで秘密鍵を生成・保管することで、秘密鍵が絶対に外部に漏れない仕組みとなっている。これにより、万が一、証明書がコピーされても、秘密鍵がないため攻撃者による不正な端末認証を防ぐことができる。今後は、ChromeOS以外にも対応OSを拡大していく予定だ。
