2019年からゼロトラストアーキテクチャの考えに基づいて、約2年という歳月をかけ開発に取り組み、ついに2021年7月5日、新しいCloudGate UNOをリリースしました。
ClouGate UNOはゼロトラストモデルへと変化を遂げますが、これまでと変わらない姿勢があります。それは、グローバル環境の変化によって進化するサイバー攻撃の対応を行いながらも、日本企業を守るため「認証維新を起こす」という姿勢です。
今回のリリースに伴い、コロナ時代に進化してきたサイバー攻撃の流れをみながら、ISRが認証維新に向けた取り組みとなるゼロトラストアーキテクチャ採用に至るまでの歩みをお伝えします。
パスワードの問題に取り組む
2010年1月12日、GoogleへのAPT攻撃があったことが発表されました。後にオーロラ作戦(Operation Aurora)と呼ばれるこのサイバー攻撃は、Google以外の大手IT企業でも確認され、攻撃の始まりは一つのパスワード漏洩からだったと考えられています。
ISRは、この時代からCloudGateを利用されているお客様の情報資産を守るにはパスワードのみの認証では不十分であるということを再認識し、パスワードの問題の解決に取り組み始めました。
2014年から安全なMFA(多要素認証)の機能提供を開始しました。2014年のFIDO Alliance(パスワードに依存しない生体認証などを用いた安全なオンライン認証の標準化を目的として設立)への加盟を皮切りに、2015年の秋にはFIDO認証仕様のMFAをCloudGate UNOオプションに追加、またスマートフォンの生体認証機能を使った専用アプリケーション「Pocket CloudGate」の提供を開始しました。そして、2019年、FIDO2認証仕様に基づいて、ついに安全なパスワードレス認証の提供まで漕ぎ着けました。
2020年世界が変わり、ランサムウェア攻撃の被害が増加
2020年、世界でCOVID-19のパンデミックが起こります。リモートワークが普及、それに伴いサイバー攻撃がさらに進化し、その被害は悪化の一途をたどりました。アメリカでは、2020年12月に米SolarWinds社を悪用したサイバー攻撃、そして2021年5月には米大手パイプラインのColonial Pipeline社へのランサムウェア攻撃と、大規模なサイバー攻撃が立て続けに起きました。特に、ダークウェブの脅威の広がりや暗号通貨の浸透により、ランサムウェア攻撃が高度化、Colonial Pipeline社を攻撃した犯罪者グループDarkSideは、2021年最初のたった3ヶ月で4,600万ドルを集めています。またアメリカのある調査では、2020年に被害者が支払った身代金総額は4億ドルと、2019年の見積額の4倍以上の金額になり、被害が深刻化しました。
これは、窃取されたパスワードといった資格がダークウェブ上で簡単に手に入るようになり、攻撃者はその情報を用いて直接企業の情報へアクセスしデータを暗号化するだけでなく、データを公開すると脅す二重恐喝と呼ばれる手法が用いられ、暗号通貨を利用した足のつかない取引が可能になったことが考えられます。
サイバーセキュリティにゼロトラストの考えが求められるように
Colonial Pipeline社のランサムウェア攻撃を受け、アメリカ南東部で深刻なガソリン不足を招きました。バイデン政権は準備を進めていたサイバーセキュリティ向上に関する大統領令を最優先で進めることを余儀なくされ、2021年5月12日、国家のサイバーセキュリティの近代化を図る大統領令を発令しました。つまり、アメリカではこのようなランサムウェア攻撃やその他のサイバー攻撃を、もはや犯罪としてではなく、国家安全保障の問題と捉え始めたということです。
バイデン政権はこの発令で政府機関のシステム内だけでなく、ソフトウェアがサービスを提供するベンダーに対しても調達の条件としてゼロトラストアーキテクチャの導入を要請し、MFA(多要素認証)やデータ暗号化を必須にするといった条件を制定しました。
日本でもリモートワークなど大きな環境の変化に伴い、拡大するサイバー攻撃の猛威から企業を守るためにはサイバー攻撃対策の優先度をあげるゼロトラストアーキテクチャの採用が強く求められています。
2019年からゼロトラストの考えを取り入れた開発を開始
この新たな基準はIT業界に大きな変化をもたらすとされていますが、ISRはこのような状況に陥る前の2019年から、パスワードの課題解決だけでなく、「ゼロトラスト」の考えに基づいたサービスの必要性を感じ、その開発に取り組みました。
CloudGate UNOはSSO(シングルサインオン)を提供していますが、この時からより柔軟な制御ポリシー設定を可能に、そして特定の情報に対して「誰が」「どこに」「どのように」アクセスできるかをよりシンプルに、より明確に、厳密な手順で認可を行えるサービスを目指しました。
さらに開発を進めていく中で、日本でもCOVID-19によるリモートワーク普及、また企業が利用するクラウドサービスの増加といった働き方の変化から、管理する情報資産の取り扱いレベルが異なるなど、サービスプロバイダごとにセキュリティ強度を変えるといった企業の方の利用シーンを想定したサービス設計を考えました。サービスプロバイダごとのアクセスコントロールに、従来の機能である役員/一般社員など利用者の属性ごとのアクセスコントロールを掛け合わせることでセキュリティ強度を変える新たな機能も組み込み、ゼロトラストアーキテクチャに基づいたCloudGate UNOを再設計、再開発しました。
ゼロトラストの考えのもと、すべてのアクセスを疑い、すべての安全性を確認するため、パスワードのみの認証から、デバイス上で生体情報などを利用した本人検証で、突破されにくい強固な認証を実現するゼロトラストMFAの提供を強化。また、これまでのSSOの利点であり課題であった「一度の認証で複数のサービスが利用可能」の考えから、各サービスにアクセスするごとに認証が要求される仕組みや、認証強度も各サービスごとに設定が必要になるゼロトラストSSOを適用しました。あわせて、認証保持状態機能を新たに適用することで、それぞれの認証要素に対して、認証を保持する有効時間の設定を可能とし、わざわざパスワードを何度も入力する手間をなくし、SSOの利便性も確保しました。
2021年 ゼロトラストのCloudGate UNOとCloudGate Premium Supportでお客様のセキュリティレベルを上げていく
ISRはゼロトラストアーキテクチャに基づいたCloudGate UNOと一緒にご利用いただくことを前提に、2021年7月5日、ゼロトラストMFA(多要素認証)の導入支援、ゼロトラストSSOのプロファイル設定のご支援からサイバーセキュリティ強化に至るまで幅広いサポートを提供する「CloudGate Premium Support」も同時にリリースしました。
CloudGate Premium Supportは、より高いセキュリティレベルを求める企業様に向け、CloudGate UNOと同時にご利用いただくことを前提に、専門的な知見を利用したMFAを含めたプロファイル設定のアドバイスや詳細なログ分析結果を提供し、データの裏付けをもとに最適な設定の支援を行います。特に、これまでもお客様自身でCloudGate UNO のログの確認や分析は可能でしたが、何が問題なのかをどう分析したら良いかがわからない、といったお問い合わせもいただいていた点では、「ログインできなかった履歴などをもとに、悪意ある第三者からのアタックをかけられている可能性があること」、「1年以上使われていない認証器をリスト化、削除のご提案」などログ分析レポートから判明したリスクをお客様とご一緒に改善することで、セキュリティの穴を塞ぐことのお役立てができると考えています。
認証維新始まる。
ランサムウェア攻撃などサイバー攻撃から日本企業を守る
ISRは、2014年から安全なMFAの提供を開始して以来、パスワード認証に代わる安全な認証とパスワードレス認証の普及に努めてきました。そして今年2021年、これまで2年かけゼロトラストアーキテクチャに基づいて再設計・再開発したCloudGate UNOとともに、ランサムウェアなどの攻撃から企業を守るために、仕組み自体の提供ではなく支援する部隊として、幅広いサポートを行う「CloudGate Premium Support」を用意し、認証維新に向けた準備が整いました。これを皮切りに、パスワード認証に頼る企業文化を変革し、ISRが掲げる「認証維新」を加速させていきます。
