トピック
サイバー攻撃にはMFAが有効
政府、経営、業界リーダーが率先してMFAを義務化すべき理由
- 提供:
- 株式会社インターナショナルシステムリサーチ(ISR)
代表取締役社長 メンデス・ラウル
2021年9月30日 09:00
2021年、この9ヶ月の間でサイバー攻撃が世界中で劇的に増え、日本もまた急激なランサムウェアの増加が見られています。
警察庁の今年上半期におけるサイバー攻撃調査によると、ランサムウェアによる被害は、昨年下半期の21件と比較して今年上半期は61件と約3倍に大幅に増加しているとのことです。またそのうち4割にあたる15件は、システム復旧など総額1000万円以上の費用を支出していることがわかりました。さらに当社ISRが独自に今年1月から8月の間に日本企業が公表した不正アクセス被害を調べたところ、「ランサムウェア(22件:12.9%)」が上位に挙がりました。
サイバー攻撃増加の背景として、新型コロナウイルスの感染拡大により十分なセキュリティ対策ができないままにリモートワークを導入する企業が多くあったことが要因の一つであると考えられています。
仮に、このような状況下に陥る前の2019年からの3年間で、WindowsやMacなどのパソコンあるいはスマートフォンに内蔵されているTPM(Trusted Platform Module:セキュリティチップ)機能をゼロトラストMFA(生体情報などを使った多要素認証、以下MFA)として利用することを進めていれば、現在起きているようなサイバー攻撃から守ってくれていたはずです。
この事実から、私はグローバルIT企業がMFAを必須にしていないこと、また企業が社員教育を含めたMFA導入に投資をしていないことが問題であり、サイバー攻撃の被害を拡大していると考えています。そして今後、政府、経営、IT業界のリーダー企業がMFAを義務化していくことが重要なポイントであると考えています。
今回の記事では、前回記事で挙げたシートベルト着用義務化の例を振り返りながら、サイバー攻撃から企業を守るMFAの義務化を進めるために必要なステップを含め、現在どのようなことが行われているのか政府や業界での活動をご紹介します。
政府の役割
ここでは、アメリカ政府が出した自動車メーカーへのシートベルト標準装備、そして消費者への着用の義務化を制定した例から、MFAの義務化において政府の役割がどれほどまでに重要なのかを考察します。
1.アメリカ自動車産業の事例から学べること
1960年代、アメリカ政府は国の発展を目的に全米に高速道路を広げる開発に投資を、それに伴い、自動車メーカーは高速道路のシステムを利用するために従来よりも速いスピードが出せるエンジンの開発に投資をしました。さらに、消費者は1日でサンフランシスコからロサンゼルスまで横断できる車を購入するようになりました。しかし、この高速道路と高性能車の普及が大きなリスクを生みます。車の衝突事故です。
その背景には身を守ってくれるシートベルトが装備されていなかったことがあり、自動車事故での死亡者は5万人と急増しました。
一方、このような事実があったにも関わらず、大手自動車メーカーといわれていた3社の経営には「安全は売れない(Safety Does not sell)」という考えがあり、シートベルトを装備することに難色を示していました。
2.アメリカ政府の安全性への規制
社会運動家のラルフ・ネーダーの推薦活動で、アメリカのジョンソン政府は1968年に自動車にシートベルトを標準装備する法律を制定しました。自動車メーカーはこの新しい法律に従い、1969年以降にアメリカで販売された全ての車にシートベルトが装備されています。しかし驚くべきことに、自動車事故での死亡率は少ししか減らず、依然として亡くなる人が多いという状況が続きました。その理由は、シートベルトが装備されていても消費者が抵抗があり、着用しなかったことにあります。
その後時間はかかりましたが、1984年ニューヨーク州が走行中のシートベルト着用を義務化、徐々に各州に広がり、2016年には90%のドライバーがシートベルトを着用するようになりました。そして、結果として自動車事故で亡くなる人は劇的に減少しました。
3.現在の世界中のサイバー攻撃は、アメリカの1960年代の自動車事故に似ている
今年世界で急増したサイバー攻撃は、1960年代の自動車事故で死亡する人が急増したことに似ています。この両方が環境変化による結果からきているからです。
国の発展のために高速道路を開発、これは現在ブロードバンドインターネット普及のために国が投資しているのと同等だと言えます。そして、速いスピードで走る車は、現在の高性能なパソコンであり、これらの普及に伴い1つの大きなリスクが上がってきました。それがサイバー攻撃です。ブロードバンドインターネットのもと、高性能なパソコンを使い、たとえ1万キロ離れたところからでもサイバー攻撃を可能にしてしまったのです。
今年7月に起きたKaseya社への事件の場合、1人の攻撃者が1台のパソコンを使い2時間で40台のサーバーを乗っ取りました。そしてそのサーバー下にあった1500社のパソコンをランサムウェアに感染させたのです。もし、それらのパソコンの管理者がゼロトラストMFAを採用していたならば、攻撃は成功しなかったはずです。
MFA導入でランサムウェアから守る
1万キロ離れたところから攻撃者がログインしようとしているのか、はたまたリモートワークで社員がログインしようとしているのか、それを区別するにはMFAが必要です。ここでは、MFAの中でも安全性の高い認証となるパソコンに内蔵されたTPMを使った認証、またMFA導入におけるそれぞれのレイヤーで必要なステップについて、実際の政府、業界の活動を含めご紹介します。
1.安全性の高いゼロトラストMFAについて
まず、安全な認証として公開鍵暗号方式により2つのステップに分けられるFIDO2が挙げられます。まずはパソコンに内蔵されているTPMを使い生体情報でユーザーを特定、そしてTPMに入っているユーザーの公開鍵を利用してユーザーを最終的に特定します。
そのためこの方法を利用することで、例えば1万キロ離れている攻撃者が、攻撃対象であるユーザーのパソコンに搭載されたカメラを使って顔認証をすることはできず、ログインは失敗、侵入できなくなります。
パソコン自体がTPMを内蔵していないものであってもMFAを利用できる方法もあります。それがユーザーのスマートフォンに内蔵されているTPMやカメラを利用した認証です。企業での活用であればクラウドサービスへのログインにMFAを利用する場合、会社支給されるスマートフォンの数は限られているため、ユーザー自身のスマートフォンの利用を許可するBYOD(Bring Your Own Device) の適用がセキュリティポリシーとして考えられます。
2.ゼロトラストMFAを利用してサイバー攻撃から守るためには2つのステップが必要になる
サイバー攻撃から企業を守るためのMFA導入には2つのステップが必要となります。まず、ステップ1は「政府がITベンダーにMFAの適用を必須にさせる」ことです。これは先ほどのシートベルトの例にあった「自動車にシートベルトを標準装備させること」と同様です。ステップ2は「政府また企業において、ユーザーのMFA利用を必須にする」ことです。先ほどの例で言うと、シートベルト着用を義務化したことにあたります。
ステップ1:アメリカ政府ではMFA導入を必須に
2020年12月8日のSolarWinds社から2021年5月1日のコロニアルパイプライン社に至るまで、サイバー攻撃が相次いだことを受け、バイデン政権は5月12日に大統領令を発令し、ゼロトラストへのシフトやMFAの導入を主な政府機関、そして政府機関に導入されているITシステムを運営するベンダーにも必須としました。
大統領令には上記の導入を2021年11月8日までに完了するようにとの記載があります。これに向け、サイバーセキュリティ・インフラセキュリティ庁(CISA)は移行のためのガイダンス草案を作成し、現在パブリックコメントを募っています。CISAは2021年10月1日のコメント期間終了後に、集まったコメントを考慮したガイダンス草案の新バージョンを作成し、安全でスムーズにゼロトラストへシフトするための準備を着実に進めています。
大手ITベンダーでは3年前からPCにTPMを内蔵しており、2年前にはWindows OSやMac OSがFIDO2に対応しています。しかし、会社が支給するパソコンがこれらに対応していない場合、対応した新しいパソコンを支給する、あるいはTPM内蔵のスマートフォンを導入する必要があり、投資が必要です。
アメリカ政府が出した今年約3兆ドルとなるインフラ投資計画の予算には、政府機関のIT近代化に向けたパソコンのリプレイス費用も含まれています。
今後日本でも政府にこのような施策を進めていただきたいと考えています。
ステップ2:ユーザーのMFA利用を必須にする
自動車にシートベルトが装備されていても利用者が着用しないことと同様の問題として、MFAの実装にはTPMがパソコンやスマートフォンに内蔵されていても、ユーザーがMFAを利用しないということがあります。
アメリカ政府のような措置がない日本では、経営的な判断が必要になります。つまり、企業のCEOやCISOが全社的にMFAを利用することを決断し、ログイン時にはゼロトラストMFAを必須にするというポリシーを作る必要があります。
つまり、全社的にこのような体制を作り実装するためには、予算と時間への投資が必要になります。経営者は、現在被害が増加するランサムウェア攻撃から企業を守るために、この投資への覚悟を決めるほかないのです。
3.大手IT会社の役割:MFA必須が業界に与えるインパクト
今年2月、Salesforceは2022年2月1日からSalesforce製品へのログインにMFAを必須にすることを発表しました。これにより、シングルサインオンを提供するSSOベンダーの製品経由でのログインでもMFA(ゼロトラストMFAとの指定はされていない)が必然的に必須になります。
クラウドサービス大手となるSalesforceがMFAを必須にする理由は、セキュリティ環境変化への対応です。このイニシアティブやIT業界へのインパクトは大きいでしょう。エンドユーザーからSSOベンダーまでMFAの対応準備をしなければいけないですし、ユーザーへの教育も必要になってきます。私は、Salesforceのこのイニシアティブが、市場全体でのMFA対応に多大な貢献をもたらすと考えています。
そしてこのSalesforceの対応を皮切りに、グローバルIT企業にもMFAを必須化とするような動きが見られることを期待しています。
まとめ
今年ランサムウェア攻撃は件数、規模ともに激増し、世界的に大きな影響がありました。一方でランサムウェア攻撃を防ぐために有効だと考えられているMFAが、2、3年前からパソコンに内蔵されているにも関わらず、一般的に導入されていない、あるいは導入されていてもユーザー認証としての利用が必須になっていません。
その結果として、ランサムウェア攻撃の被害が極めて大きくなったのだと考えています。
アメリカではバイデン大統領による大統領令の発令によって、政府機関や政府機関にITシステムを提供するベンダーにMFA(発令後180日以内に採用)を含むゼロトラストへのシフトに対応しなければいけないことが示されました。
日本ではまだこのような政府による取り組みが進んでいないため、各経営者がMFAを導入し必須にするという判断を下さなければ、ランサムウェア攻撃を受けるリスクは増すばかりです。そんな中、クラウドサービス大手Salesforceの『MFA必須』は、今後市場に大きなインパクトを与え、MFAが広がっていく希望だと考えています。少し時間はかかるかもしれませんが、日本政府によるMFA導入推進のための動きにも期待しています。
ISRでは、セキュアなMFAとして「CloudGate Authenticator(*1)」を推奨しております。普段使用しているスマートフォンの生体認証機能を利用した認証システムアプリのため、FIDO2に対応したパソコンやセキュリティキーの購入といった導入費用をかけることなく、ゼロトラストMFAによる認証を実現します。
(*1)CloudGate Authenticatorは、CloudGate UNO専用の認証システムアプリです。
※CloudGate Authenticatorは、Pocket CloudGateに名称変更予定です。