【ゼロトラスト】
「ゼロトラスト」という言葉を最初に知った時は、「なにも信頼(トラスト)しない」とは一体何事だと思い、そういった「性悪説」に染められた世界に住みたくないとも思ったものです。しかし、急速に増大するサイバー空間の危険性に対して、従来の「境界型のセキュリティ対策」では十分に対応出来ない昨今、そういった先入観にとらわれるのでなく、その内容を改めて確認してみたいと思います。
この言葉はキンダーバグ氏がフォレスター・リサーチ社在籍中の2010年、その概念を提唱した時に使われたとのことですが、類似の考え方はそれ以前から存在していたようです。「非境界型の防御」を推進する業界団体(ジェリコフォーラム)が2004年に設立され活発に活動するなどする中で、サーバー空間での脅威が身近になり具体的な変化が求められるタイミングで出された概念が時流に乗って広まったとも言えます。
従来はネットワーク上で境界を定め高い「防護壁」を構築する事で、その内部では安全を保証する「境界型セキュリティ」が主流でしたが、サイバー攻撃の進化や広がりにより、そういった手法では有効な防御が難しくなってきました。境界の内外を含め、全てが「信頼出来ない」前提でいかにセキュリティを確保するかが求められ、ゼロトラストの重要性が急速に増しています。
「ゼロトラスト」の概念に沿った方式(アクセス要求元がリソースにアクセスする都度、可否を判断する)を具備した製品もリリースされ始めていますが、セキュリティ全体を一手に担えるような製品はいまだ見かけておらず、種々の製品を組み合わせ段階的に実現するなど、苦労・工夫しながら進めているのが現状であるとも言えます。
過渡期に混乱はつきものですが、そういった混乱を解決するために、概念を具体化する上での基本的な原則を「7つ」に整理して記述された「ゼロトラスト・アーキテクチャ(SP 800-207)」がNISTから2020年8月に正式に公開されており、今後一気に「ゼロトラスト」の実装化が進展する可能性もあるかもしれません。
興味をお持ちの方は、PwC社のホームページで日本語訳も公開されていますので、一読ください。
【フォレンジック:前編】
「フォレンジック」とは、もともとラテン語由来で、争い事の黒白を決める公開の場であった「フォーラム(広場)」という言葉から来ているそうです。裁判制度が確立した近代以降においては「警察の犯罪捜査や証拠などを入手する為の鑑定作業や科学的捜査(デジタル大辞泉)」という意味で使われていると思われます。
中でもIT分野においては、「犯罪の立証のための電磁的記録の解析技術およびその手段(警察白書)」を指していると言えます。セキュリティ分野に限定するなら「デジタルフォレンジック」という表現の方がより適していると思いますが、以降この項では上記の前提を踏まえた上で、短縮形として「フォレンジック」で記述を進めます。
フォレンジックは、近年のサイバー攻撃被害の拡大にともない、警察などの法的な執行機関が犯罪立証のために使用するだけでなく、サイバー防御のために一般の民間機関が使用するケースも増加しています。
それでは、そのプロセスについて、インシデント対応へのフォレンジック技法の統合に関するガイドであるNIST SP 800-86冒頭の要旨(収集/検査/分析/報告)に沿って解説していきます。
《収集プロセス》
NIST SP 800-86の要旨では「収集プロセス」について「データの完全性を保護する手続きに従いながら、関連するデータを識別し、ラベル付けし、記録し、ソースの候補から取得する」と記述されています。
まずは事前の「計画策定」が重要で、そこでは必要とするデータソース(PC、携帯等)と対象データを特定した上で、揮発性データについてはデータが消失する可能性を考慮しての収集タイミングや、インシデント発生後の封じ込め方法(外部影響からの遮断)に留意する必要があります。
次の手順として、十分な機能(全領域の複写機能、同一性検証機能、作業ログの自動生成機能など)を有するツールを使っての「データ取得」があります。
最後の手順として、以降のプロセスへデータを引き渡すために、作業実施のエビデンスとしての作業記録(日時、場所、従事者、保管経路など)や、可能なデータについてはハッシュ値などを使っての複写元と複写先での同一性検証の実施記録を取得する必要があります。
以降の「検査」「分析」「報告」プロセスについては、次号(フォレンジック:後編)で解説します。
【フォレンジック:後編】
「フォレンジック:前編」では言葉の由来や、NIST SP 800-86(インシデント対応へのフォレンジック技法の統合に関するガイド:IPAサイト2006年8月登録版。以下、86)を参照しながら解説を進めていくことをお伝えしました。
フォレンジックの実施において、86では主に(収集/検査/分析/報告)の4プロセスがあるとしており、最初の「収集プロセス」を前号で解説しましたので、今号は以降のプロセス(検査/分析/報告)を解説していきます。
《検査プロセス》
86の要旨では「検査プロセス」について、「データの完全性を保護しながら、収集したデータを自動的手法および手動的手法の組み合わせを使ってフォレンジック的に処理する事により、特に注目に値するデータを見定めて抽出する」と記述されています。
検査プロセスでは、直前の「収集プロセス」で収集したデータを判読する際、その完全性を保障しながら阻害となる機能(圧縮、暗号、消去など)に対して迂回・緩和し復元することで、目的(特定の人物、特定の事象などの選別)に沿った情報を評価して抽出するよう助言しています。
《分析プロセス》
86の要旨では「分析プロセス」について、「法的に正当と認められる手法および技法を使用して検査結果を分析することにより、収集と検査を行う契機となった疑問を解決するのに役立つ情報を導き出す」と記述されています。
このプロセスでは、検査プロセスで抽出した情報から、正当性を保障されたツールや手法を利用して各種要素(人、場所、リソース、事象など)の相互関連を判断した上で、結論(証拠としての採否)を導き出すとともに、結論に至った経緯と分析結果をエビデンスとして残すよう助言しています。
証拠として採用するには法的根拠が不十分な事象についても、この分析プロセスにおいてその内容と判断の経緯を記録する事は、法的対応以外のサイバー防御の強化(運用上問題やセキュリテイ弱点の除去)を図る上でも重要なポイントではないかと筆者は考えます。
また、この用語解説では検査と分析プロセスを分離して記述していますが、相互に繰り返し実施する場合も多く、両者を一つのプロセスとして考えることも可能です。
《報告プロセス》
86の要旨では「報告プロセス」について、「分析結果を報告する。これには、使用された措置の記述、ツールや手続きの選択方法の説明、実行する必要があるそのほかの措置の特定、フォレンジックプロセスのポリシー、手続き、ツールおよびそのほかの側面の改善に関する推奨事項の提示などが含まれる可能性がある。」と記述されています。
このプロセスでは、直前の「分析」プロセスで提示された情報(証拠となる事象や疑わしい事象)を判断した根拠を含めて報告しますが、その情報を抽出するに至った各「収集/検査/分析」プロセスにおいて作成された各種エビデンスも、整合性を持って作成する必要があると助言しています。
さらに直接的な内容に加えて留意する事項として、説明の正当性、報告相手の特定、今後の是正等も記載されていることが重要であり、担当者内外でのレビューでこれらの事項を含めて確認し、課題があれば解消されていることが必要であるとも助言しています。
また報告後の対応として付け加えるならば、報告で提示された各種の是正事項について対策を立案し、関与するメンバーに周知・徹底していく事も重要なポイントではないかと筆者は考えます。
(佃 2021.7~)
