- Column
- IoTが求めるモノのアイデンティティ管理とOTセキュリティ
爆発的に増加しているマシンアイデンティティの8タイプとセキュリティ課題【第2回】
タイプ4:市販ソフトウェアとISVアプリケーション
商用のオフザシェルフ(COTS:Commercial Off-The-Shelf)ソフトウェアと独立系ソフトウェアベンダー(ISV)が提供するアプリケーションは、いずれも業務を遂行するうえで高いレベルの特権アクセスを必要とする。これらアプリケーションは企業・組織の所有物ではないため、セキュリティツールとの連携を確実に実装し、セキュリティーを強化する対応が必要だ。
セキュリティ上の課題
・ベンダーのソフトウェアサプライチェーンやCI/CDプロセスに存在する脆弱性の影響を受ける
・攻撃者の侵害経由で、高いレベルのアクセス権限が危険にさらされる可能性がある
・業務用アプリケーションに保管される個人情報がデータ侵害で流出する可能性がある
タイプ5:OT/IoT
OT(Operational Technology:制御技術)システムは、企業情報システムのセキュリティを守るCISO(Chief Information Security Officer:最高情報セキュリティ責任者)の管轄外である。システムの稼働時間や効率といった目標の達成が重視されるため“セキュリティーファースト”の考え方で設計・運用されておらず、脆弱な状態になっているケースが多い。
セキュリティーカメラやウェアラブルデバイスといったIoT(Internet of Things:モノのインターネット)デバイスの数は爆発的に増えており、2024年時点で数百億個が存在している。それらの多くは、セキュリティ対策が不十分か、デバイス自体に固有の脆弱性を含んでいることが多い。
セキュリティ上の課題
・組織のセキュリティポリシーが適用されていないサードパーティ製のデバイスを経由しOTシステムを遠隔操作される可能性がある
・パスワードのみで保護されたセキュリティー対策が不十分なデバイスを利用しOTにつながるアプリケーションや端末にアクセスされる可能性がある
・ICS(Industrial Control System:産業用制御システム)やSCADA(Supervisory Control And Data Acquisition:監視制御)システムなどのデータやインフラに対し、リスクの高いアクセスを実行するマシンIDを埋め込んだデバイスが存在する
・IoTデバイスに設定されている不適切なパスワード(工場出荷時の初期値)が、そのまま利用されている
・IoTの脆弱性を示しているCVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)への対策が不足している
タイプ6:RPAのワークロード
RPAボットは、開発・運用チームが日常的に実行していたタスクの多くを自動化し、ワークフローにかかる時間の短縮に役立っている。そのようなボットが利用している資格情報は定期的なローテーションが必要だ。だが、それを手作業で実施することは、特に多数の無人ボットを使用している場合など、困難であり拡張性に欠ける。セキュリティチームにとって最大の課題は、RPAによる効果を損なわず、コンプライアンスを維持し、攻撃から防御するポリシーの一元管理である。
セキュリティ上の課題
・手作業の資格情報ローテーションや管理プロセスに起因して拡張性が低下する
・セキュリティが展開や運用効率を妨げる要因と見なされる可能性がある
・セキュリティ問題を最小限に抑え、展開を迅速化するために必要な使い勝手の良い連携が必要になる
タイプ7:多層/静的な自社製アプリケーション
現在のアプリケーションの多くは現在、クラウドや自動化などの新しいデジタル技術を利用している。だが多くの組織は、依然として自組織で開発した、さまざまアプリケーションに依存している。これらアプリケーションには、Javaなど旧来の環境や、UNIX/Linux などの基本ソフトウェア(OS)が含まれており、オンプレミスで展開・実装していることによる異なる課題が存在する。
セキュリティ上の課題
・埋め込み、またはローカル保存されている資格情報が漏洩する危険性がある
・アプリケーションが使用している資格情報を自動ローテーションできない可能性がある
・過剰なアクセス権限がアプリケーションに許可されている危険性がある
・他システムやアプリケーションとの簡易的な接続が必要な可能性がある
タイプ8:メインフレームアプリケーション
多層アプリケーション同様に、メーカー製の独自OS(zOSなど)を持つ大型サーバーのメインフレーム上で動作するアプリケーションが、特定の用途において、企業では今も広く利用されている。これらアプリケーションの多くは、ミッションクリティカルな存在であり、「停止しない」「セキュリティの手続きによりプロセスが中断しない」ことが組織にとって極めて重要な要件になっている。
セキュリティ上の課題
・資格情報ローテーションにより、大量のトランザクション処理が中断する可能性がある
・埋め込み、またはローカル保存されている資格情報が漏洩する危険性がある
資格情報などを組織で一元化して管理・保護することが重要に
いかがだろうか。ヒト以外の多種多様なアイデンティティを扱うためには、その資格情報・シークレットの管理がいかに重要をイメージいただけたと思う。
上述した8つのタイプそれぞれに、セキュリティポリシーを作成する上で検討すべき、独自のニュアンスや利害関係が存在している。マシンアイデンティティを守るためには、資格情報とシークレットを組織で一元化して管理・保護することが重要だ。そのための最初のステップは、組織内の全てのアイデンティティ種別を識別し、考慮すべき異なるセキュリティニーズの全てを把握し理解することである。
次回は、OTとIoTを取り巻く環境の変化について解説する。
佐野 龍也(さの・たつや)
CyberArk Softwareソリューションズ・エンジニアリング本部 本部長。入社以来、ソリューションズ・エンジニアリング本部のマネジメントを担うとともに、日本市場において、組織のセキュリティレベルをさらに高めるアイデンティセキュリティの浸透・拡大に貢献している。CyberArk Software入社前は、アバイア、日本マイクロソフト、A10ネットワークス、ドキュサイン・ジャパンなどの外資系企業において、コールセンター、ユニファイドコミュニケーション、ロードバランサー・ネットワークセキュリティ、電子署名・契約管理SaaS製品に関わるビジネス開発やプリセールスとして事業成長に尽力した。