IoTデバイスにもゼロトラストを導入する4つのベストプラクティス

This post is also available in: English (英語)

ゼロトラスト セキュリティモデルは、拡大しつづける組織ネットワークの境界全体を包含できるよう設計されています。ゼロトラストでは「信頼するな、常に検証せよ」の原則に基づいて認可されたユーザーやデバイスに限定的なアクセスを許可し、その許可も権限付与するにあたり厳密にそれぞれの「身元」を認証できた場合に限られます。

そのにくわえ、ゼロトラストでは認証後もユーザーやデバイスのアクセス権限の継続的検証を求めます。組織内の各リソースへの特権アクセスも当該ユーザー・デバイスが「実務上どうしてもアクセスが必要」なリソースに限られます。ユーザーにせよデバイスにせよ無制限のアクセス権限が与えられることはありません。 

こうした特徴から、全ユーザー・デバイスの「身元」を特定し、アプリケーションレイヤ、つまりレイヤ 7で制御していくことは、数あるゼロトラスト セキュリティ モデルの成功要因でもとくに重要な要素であるといえます。

IoTデバイスへのゼロトラストポリシー導入の障壁となるもの

これまで筆者は「ゼロトラスト」を「ユーザー」や「ITデバイス」の文脈からお話してきましたが、ここでは「IoT デバイス」という、これらと似て非なる文脈からお話してみたいと思います。

まず、組織ネットワークに接続された管理外IoTデバイスについてはほとんどの企業が「標準的なゼロトラストの原則を守ることが難しい」と感じています。その理由は、「ユーザー」や標準的な「ITデバイス」と異なり、「IoTデバイス」には可視性において高い壁が立ちはだかっているからです。IoTデバイス導入加速につれ、導入側である企業にとっては、いかにネットワーク接続済みデバイスの全識別情報を取得するかが課題となってきていますが、それが課題となる主な原因の1つが「ほとんどのIoTデバイスが802.1Xやシングル サインオンなどの従来企業が行っている認証・認証プロセスをサポートしていない」ということにあります。

デバイス フィンガープリントに基づくアプローチはオペレーティング プロトコルや規格が多種多様であるがためにIoT デバイスではうまく機能してくれません。くわえてIoT デバイスは(IT デバイスとちがい)一度に大量に生産されることから、一意なハードウェア識別子が割り当てられていないことも少なくありません。それにより多くのIoTデバイスがIT 部門の機器管理台帳の記載から漏れたまま管理者不明の状態となってしまっています。

ところがIoT デバイスはそもそもワイヤレスネットワークへの接続を前提に設計されていますから、一度ネットワークに接続されてしまえば、IT デバイスにまじってあちこちに転がり、脆弱性スキャンの目をかいくぐっては好き放題にネットワークにアクセスできるようになります。そんなIoT デバイスが存在すれば、セキュリティ レベルはそのなかでも一番脆弱な部分と同じレベルまで下がってしまい、ひいては攻撃面拡大やネットワーク内でのラテラルムーブメントの影響拡大へとつながってしまいます。

クラウド配信型セキュリティService「IoTセキュリティ」ならIoT環境でもゼロトラストを実装できる

パロアルトネットワークスのクラウド配信型セキュリティサービス「IoT セキュリティは、セキュリティ対策が難しいそれら IoT デバイスであっても、ほかと同じゼロトラスト セキュリティ モデルの枠組みで対応できるよう、サイバー攻撃からネットワークを安全に保つ 4 つのベストプラクティスを実装しています。これによって、IoT デバイスのもたらすセキュリティ リスクは最小化され、お客様のネットワークは安全にたもたれます。すでにパロアルトネットワークスの次世代ファイアウォールをご利用中のであれば「IoTセキュリティ」サービスをそれらのファイアウォール製品上で有効化できますし、いまのところ弊社製品を利用されておられない場合でも、「IoTセキュリティ」は独立した配信型サービス ソリューションとしてのご利用が可能です。

1. 「IoTセキュリティ」で可視性をあげ、IoTセキュリティへのゼロトラスト戦略導入を支援してもらう

見えないものは守れません。 ゼロトラストの原則を拡張するには「ユーザー」や標準的「ITデバイス」だけでなく、ネットワーク内すべての管理外IoTデバイスも対象に含めることが大事です。弊社「IoTセキュリティ」ソリューションの場合、IoTデバイス上にエージェントを常駐させる必要がないので、標準的なシグネチャによるアプローチをとらずとも、それまでIT部門がまったく気づいていなかったデバイスも含め、ネットワーク内に接続されているあらゆるIoTデバイスを発見することができます。

IoTセキュリティは、各デバイスのIPアドレスをその種類・ベンダ・モデルと正確に照合し、そのデバイスのもつ数々の重要属性を明らかにすることにより、対象デバイスをあますところなくプロファイリングできるようにしています。正確で粒度の高いデバイス分類は、管理対象外のIoTデバイスと管理対象IT資産を区別する上での必須要件です。それによってIoT 環境でも承認されたトラフィックのみを許可するというゼロトラスト セキュリティ ポリシーをエンフォースできるようになるからです。

2. 「IoTセキュリティ」で継続的に振る舞い上のアノマリ(異常)を監査し、リスクスコアを検証する

ゼロトラストの背後にある中核原則は「ネットワークの内外いずれで識別されたデバイスであろうとリスク評価や平時の振る舞い設定パラメータに基づく承認がおりるまでは他のデバイスやアプリケーションへのアクセスを許可しない」という点にあります。

これはIoTデバイスが対象の場合でも申し分なく当てはまる原則です。IoTデバイスの振る舞いとは本来限定的で安定し予測可能なものなのです。そして識別後もネットワーク内の他のデバイス、アプリケーションへのアクセス許可前には、ベースラインとなる振る舞いに対する検証がなされねばなりません。

弊社機械学習をベースとするIoTセキュリティはデバイスの「身元」を自動的に確認しその「平時の振る舞い」を検証してくれます。そしてひとたび「平時の振る舞い」が決定すれば、アノマリ検出処理に入って、ベースラインからの潜在的逸脱を見つけ出して優先順位を付けてくれます。

3. 「IoTセキュリティ」のマイクロセグメンテーションでITデバイスとIoTデバイスとをセグメント化して攻撃面を縮小し、エクスプロイトによるラテラルムーブメントから受けるリスク範囲を低減する

次世代ファイアウォールではネットワーク境界をマイクロセグメンテーション化して組織内の境界制御に使うことができます。「IoTセキュリティ」はデバイス プロファイル ベースのマイクロセグメンテーション アプローチを採用し、セグメンテーション有効化にあたり複数の要因(デバイスの種類、機能、ミッションクリティカル度、脅威レベルなど)を考慮してくれます。これでITデバイス・IoTデバイス間の相互感染発生で生じる潜在的影響を大幅に緩和できます。こうしたアプローチは次世代ファイアウォールにシームレスに実装されているので、ITデバイス・IoTデバイス間のラテラルムーブメントの抑制が可能です。

IoTデバイスをパーティション分割することで、最小特権でのアクセスと必要最小限のアプリケーションへの接続が確保できます。「IoTセキュリティ」はIoTデバイスをゲスト ネットワークやプロダクション ネットワークから隔離してシステム間の互換性に起因する問題の発生を緩和することにより、重要IoTインフラの運用ダウンタイムも最小限に抑えます。

4. 「IoTセキュリティ」で次世代ファイアウォールの機械学習・デバイスIDを活用しゼロトラスト ポリシーを自動でエンフォースする

ゼロトラストは「すべての拒否」に始まります。そしてゼロトラスト ポリシーは、許可された内容のみに基づいてレイヤー7で構築・定義されます。次世代ファイアウォールは、ポジティブイネーブルメントの考えかたを採用して、ゼロトラスト主導のセキュリティポリシーの記述を容易にしています。

「IoTセキュリティ」の場合「平時のデバイスの振る舞い」と「疑わしいデバイスの振る舞い」とを手作業でエンフォース用ポリシーに変換する必要はなく、ファイアウォールが機械学習を使ってゼロトラストポリシーを自動生成・エンフォースします。機械学習がレイヤー7レベルでのIoTデバイスの振る舞い(アプリケーションやネットワーク トポロジの振る舞いなど)のベースラインを確立し、あるデバイス単体で見た「正常な振る舞い」とはどのようなものかを識別することで、ゼロトラストアーキテクチャにフィットしたデバイスごとの推奨ポリシーを提案してくれるのです。

こうして新しいデバイスIDポリシーが構成されると、ネットワーク全体で個々のデバイスがトラッキングされます。この後はデバイスのIPアドレスが変わっても設置場所が変わっても、機械学習ベースの次世代ファイアウォール ML-Powered NGFWが発生しうるすべてのアラート、インシデント関連情報をコンテキストごとにまとめて提供してくれるようになります。しかも場所や特定済みリスクに変化が生じればポリシー ルールやレイヤー7コントロールも自動的に更新されます。

インフラ全体にゼロトラストを

これまでは、ネットワーク境界の内側にある識別可能なユーザー、アプリケーション、デバイスの保護が「当たり前にやるべきこと」でした。ところが企業内で管理外IoTデバイスが爆発的に増加しネットワークセキュリティの境界が拡大し続けているいまは、新しいパラダイムが生まれてきています。ですから企業にとっては、ゼロトラストのベストプラクティスに基づいて堅実にモデル化したIoTセキュリティへの新しいアプローチ採用が不可欠となっています。

IoTデバイスのセキュリティ対策は、エンタープライズにおけるゼロトラスト戦略の一部に含まれねばなりません。これをふまえ、ぜひ『インフラ全体にゼロトラストを』シリーズもあわせて確認してください。パロアルトネットワークス創業者兼CTOのNir Zukが、先にあげた一連のテクノロジを弊社がどのように組み合わせて製品に活かしているかについてビデオで説明していますので、こちらをご覧いただくのもよいでしょう。

このほかIoTセキュリティのライフサイクルというアプローチを実践してIoT投資を保護する方法については『IoTセキュリティ用購入者向けガイドで詳しく確認できます。また、デモをリクエストして弊社「IoTセキュリティ」がIoTセキュリティ ライフサイクルの可視性・保護をどのように高めてくれるのかを実地でご体験いただくのもおすすめです。

本稿は『Zero Trust Throughout Your Infrastructure(インフラ全体にゼロトラストを)』シリーズの一部です。