DigiCertが、現実の問題を解決するために、デジタルトラストの確立、管理、拡大をどのように支援しているかをご覧ください。
世界のIT・情報セキュリティリーダーたちが、デジタル技術の信頼性を欠いたセキュリティはセキュリティではないと考えている理由とは?
2023年8月15日よりCertCentralのサインインではユーザ名とパスワードのほかにワンタイムパスワード(OTP)もしくはクライアント証明書の二要素認証による提示が必要となりました。 設定等についてはこちらのKnowledgeを参照ください。
サイバーセキュリティ業界では、4 つのゼロ戦略でにぎわっています。つまりゼロトラストモデル、ゼロパスワード、ゼロ境界(Software Defined Perimeter)、ゼロタッチプロビジョニングという 4 つの「ゼロ」が話題になっています。そんななか、情報技術(IT)と運用技術(OT)の予算およびサービスサイクルは、ユーザーパスワードの強度に関するポリシーや監査、境界ベース防御のために収集されたゼロデイ脅威インテリジェンスのサブスクリプション、デバイス検出を中心に回っています。
IT 部門がまだ発見していないデバイスをどのようにプロビジョニングし、検出された IoT/OT デバイスの保護をどのように強化するのでしょうか。現状はまだ「ハードエッジとソフトコア」という考え方です。マネージドセキュリティサービスのプロバイダーやアウトソーシング IT が、ネットワークトラフィックの検査に基づいた監視やフォレンジック分析を行っています。今こそ、「ソフトウェア定義のエッジと強化されたコア」へのパラダイムシフトが必要なときではないでしょうか。
ゼロトラストモデルは、本質的に 2 軸のトラストチェーンです。水平軸では、トランザクションの中で人やデバイスはアイデンティティの証明と、危殆化していない事の証明を示す必要があります。信頼性を測るとは、すなわち検証可能な完全性を測ることです。垂直軸でも、人やデバイスのアイデンティティを検証する必要があります。検証可能な完全性には、一連の活動が信頼されるための信頼の基点となるトラストアンカーが必要です。
ゼロパスワードモデルでは、アイデンティティは生体認証(指紋、顔認証など)を用いて、これまでより迅速に実行されます。それ以外のゼロトラストモデルでは、認証と認可にセキュリティトークンを使用し、これは多くの場合、サービスプロバイダーやホストアプリケーション(SaaS)で実装されています。生体認証や 二要素認証は対話型のユーザーになら有効ですが、人ではないデバイスには通用しません。IoT デバイスは、製造元とデバイス所有者によって発行された不変のアイデンティティを確立できる必要があります。
このようなデバイス認証には、保護された鍵や信頼できる認証局からの関連証明書など、暗号化されたクレデンシャルが必要になります。さらに、常時接続の自律型デバイスとなると、対話型ユーザーに有効な、切断による自動ロックを利用することができません。そのため、デバイスのライフサイクルに対する信頼管理がなされないと、マルウェアやサイバー犯罪者に永続的な攻撃対象を与えてしまいます。
したがって、ゼロタッチプロビジョニングの目的は、稼働中のデバイスをデバイス管理システムに全面導入し、セキュリティオペレーションセンターのオペレーターが継続的に監視しながらタイムリーに介入できるようにすることです。そうすれば、技術者とデータセンターのセキュリティ管理者が手作業で大量にデバイスを特定し、導入する作業に関わるコストも複雑なやり取りも軽減されます。遊休化デバイスや稼働中デバイスの償却には、デバイスの耐障害性と耐改ざん性を強化するワンタッチプロビジョニングが必要になります。
ゼロ境界(Software Defined Perimeter)という概念自体は、数十年前から存在しています。エンドポイントのファイアウォールや、ユーザーのラップトップまたはワークステーション上の仮想プライベートネットワーク(VPN)ポリシーによって、リモートアクセスやローミング特権を許可する形をとっていました。しかし、数百万台という規模で分散している信頼できない IoT/OT デバイスのコンテキストにおける境界レスの概念は、本格的に再考しなければなりません。ヘッドレスデバイスには、ネットワークアクセス権限のデータダイオードモードによるロックダウン、デバイス機能による最小限のアクセス、データ共有のためのコネクテッドサービスへの認可された発信が必要です。デバイスは、デバイスからクラウドへのエコシステムにおいてエッジとなります。
デバイスのゼロトラスト目標を達成するために、メーカーはデバイスのライフサイクルの初期段階から安全な要素を組み込む必要があり、相互運用性の標準をさらに採用しなければなりません。稼働中および遊休化デバイスでは、データ保護をエミュレートするために、セキュアエレメント機能をソフトウェアベースの PUF(Physical Unclonable Function)で改修する必要があります。ビジネスアプリケーションの再構築を避けつつコンプライアンスを達成するために、デバイスベンダーは稼働中および遊休化デバイス専用のプラグアンドプレイクライアント(またはエージェント)を必要とします。
デジタルトランスフォーメーションにおけるビッグゼロに取り組むには、デジタルセキュリティ担当者と製品セキュリティ設計者が、危殆化ゼロのための 4 つの柱を構築すべく、デバイスの変革に着手することが必要です。デジタルトランスフォーメーションがゼロトラストネットワーキングを乗り越えていくためには、データの完全性と機密性を補完し、データの出所を確実に保証できるゼロトラストデータが必要とされるでしょう。
データ主導の AI/ML エンジンは、IT 運用者が現在想像し提供できる規模をはるかに超えて、IoT および OT で信頼できるデバイスを必要とするようになります。つまり信頼できるデバイスは、信頼できる分析のための信頼できるデータの大元であり、それがなければ、結果は全て信頼できなくなってしまうということです。
© 2024 DigiCert, Inc. All rights reserved.
リーガルリポジトリ Webtrust 監査 利用条件 プライバシーポリシー アクセシビリティ Cookie 設定 プライバシーリクエストフォーム