ゼロトラストに終わりはない？ より強化するためにやるべきこと：ゼロトラストアップデートの秘訣（前編）

提唱されて15年がたったゼロトラストセキュリティ。多くの企業がこの構築を進めているが、これに終わりはない。AI時代でサイバー攻撃が高度化する今、ゼロトラストセキュリティにも進化が必要だ。より強化するためにやるべきことを解説しよう。

[福本淳，ITmedia]

　現在、日本企業はかつてないほどのサイバー攻撃にさらされている。フィッシング対策協議会が公開した「フィッシング報告状況（月次報告書）」によると、日本で報告されたフィッシング件数は2024年上半期から2025年上半期にかけて約1.9倍に増加している。

　この他、Illumioが2025年に発表したレポート「The Global Cost of Ransomware Study（ランサムウェアのコストに関するグローバル調査レポート）」では、ランサムウェア攻撃を受けた日本企業の51％が業務停止に追い込まれたことが記されている。この連載では、前編で最新の脅威動向と取るべき対策を紹介し、後編では意識すべきAI時代のサプライチェーンリスクなどを解説する。

筆者紹介：福本淳（イルミオジャパン　シニア システムズ エンジニア）

15年以上にわたって外資系ベンダーにおいてプリセールスエンジニアとして活動。マイクロセグメンテーション、WAF、EDR、UTMなどの先進的なセキュリティ製品から、仮想化、エンドユーザーコンピューティング、アプリケーションまで幅広く取り扱い日本のエンタープライズビジネスを支援してきた。現在は、セキュリティ侵害の封じ込めにおいて業界をリードするIllumio（イルミオ）の日本オフィスにおいて、シニア システムズ エンジニアを務めている。

生成AIで加速する脅威の高度化　最近攻撃者の間でホットな手法とは？

　生成AIの普及はサイバー攻撃における“日本語の壁”を破壊した。日本企業が持つ技術や個人情報はアンダーグラウンドマーケットなどで高値で取引される貴重な情報だったが、攻撃を実行する際には日本語が大きな障壁となっていた。フィッシングや標的型攻撃に使われる電子メールの文面は日本語の方が読まれやすいが、機械翻訳には違和感があり、日本語話者であれば容易にフィッシングであることを見抜けたからだ。

　以前、マルウェア「Emotet」が大流行した理由の一つに、攻撃者が被害者の電子メールの文面を再利用していた点が挙げられる。実際にビジネス上でやりとりした電子メールの文面を使えば違和感も少なく、だまされるケースが多かったと考えられる。生成AIはさらに出力結果をブラッシュアップできるため、電子メールの送信者と受信者それぞれの立場などの情報を加えることで、より精度の高い日本語の文章を作成できる。

　生成AIの特徴はそれだけではない。文章の生成や要約、作詞・作曲、絵を描くこともでき、プログラムの生成も得意技だ。既存の生成AIツールではマルウェアの作成など犯罪に悪用されるようなことは規制されているが、ダークWebでは攻撃者が独自の生成AIを開発してサイバー攻撃に使っている。マルウェアの作成以外にも、発見された脆弱（ぜいじゃく）性を悪用するコードを生成することも可能だ。

　一方で、企業側はDX推進やコロナ禍への対応などでデジタル化が進み、テレワークの普及によってクラウドシフトが進んだ結果、アタックサーフェス（攻撃対象領域）が拡大した。これまではサーバやクライアントPCも社内にあり、社内ネットワークによって守られていたが、インターネットとの境界が突然クライアントPCレベルまで短縮された。

　このように数年でサイバー空間は大きな変化を迎えたが、攻撃者が「システムの脆弱性」と「人の脆弱性」を狙っているという点で変わりはない。特に狙われているシステムの脆弱性はVPN起因のものであり、そこを侵入口として社内に忍び込み、「Active Directory」などのドメインコントローラーに侵入。特権ユーザーに昇格して重要なデータにアクセスした後にデータを窃取し、ランサムウェアを仕掛けるなど多重脅迫を実行する。

　これに加えてアンダーグラウンドマーケットでは、重要なデータにアクセスする直前で侵入を止め、その状態を売買するケースも確認されている。さらには量子コンピュータの一般化が見えてきたことから「Harvest now, decrypt later（今収集し、後で解読する）」攻撃も増加している。これは「今は暗号を解読できなくても、近い将来には量子コンピュータにより容易に復号できる」という考えに基づいて暗号化されたデータをそのまま窃取する攻撃だ。

　人の脆弱性とは、人間の行動や判断におけるミスを指す。これを悪用した攻撃の代表例がフィッシングで、その主な目的はクラウドサービスにログインする認証情報（ID／パスワード）の入手だ。特に「Microsoft 365」や「Google Workspace」はユーザーが多く、認証情報が得られればメッセージや会議、ドキュメント、タスクなどさまざまな情報にアクセスできる。

増加するフィッシング　自社に合った適切なASM製品を導入しよう

　こうしたフィッシングやランサムウェアを含むマルウェア攻撃に対応するため、最近では「アタックサーフェスマネジメント」（ASM）といった新たな各種ツールやサービスが登場している。

　サイバー攻撃に適切に対処するには、自社のIT資産を管理してリスクを洗い出すことが必要だが、全てのIT資産を管理するのは困難が伴う。ただASMを利用すれば、組織の外部（インターネット）に公開されているサーバやネットワーク機器、IoT機器の情報を収集・分析することで、侵入経路となり得るポイントを把握できる。

　2023年5月には、経済産業省が「ASM（Attack Surface Management）導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」を公開した。同ガイダンスによると、ASMは「組織の外部（インターネット）からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」であり、「ASMの継続的な実施により、組織管理者の未把握の機器や意図しない設定ミスを攻撃者視点から発見でき、脆弱性管理活動において、リスク低減の効果が期待される」としている。

　これは従来の脆弱性診断とは異なり、攻撃者視点で外部から継続的にIT資産を把握し、リスクを検出できる点が特徴だ。脆弱性診断にはアプリケーション診断やプラットフォーム診断、API診断の他、クラウドやソースコードを対象とする診断もあるが、実際には半年ごとなど実施間隔が長いことが課題となっている。ASMの活用により、診断の翌日に脆弱性が発見されるといった時間的なギャップを埋める効果も期待される。

　なお、ASMの定義はベンダーによって広範になる場合もある。経済産業省の定義する外部からの視点に加え、内部ネットワークも含めての攻撃対象領域の管理や、人的リスクを対象に内部不正の検知、SNSのレピュテーション調査までカバーするソリューションも登場している。利用する際には検知対象や提供される機能を確認して、自社の状況に合ったソリューションを選んでほしい。

ゼロトラストセキュリティに終わりはない？　より強化するには

　攻撃者がシステムに侵入した後の手法についてはここ数年大きな変化はない。そのため基本的な対策としても企業が使用するネットワークの可視化が依然として重要になっている。どこで何が起きているかを把握することで怪しい動きをあぶり出し、迅速な対応が可能になるが、現在は企業ネットワークの多くの資産がクラウドにあり、可視化が難しくなっているのが現状だ。

　そこで重要になるのが、「何も信頼せず、都度検証する」という「ゼロトラストセキュリティ」の考え方だ。

　2010年にゼロトラストを提唱した“名付け親”として知られ、現在Illumioでチーフ・エバンジェリストを務めるジョン・キンダーバーグ氏は、提唱から15年たったゼロトラストの状況について、ゼロトラストを構築するためのツールや技術は進化してきたが、その根本的な戦略は変わらないと強調して次のように述べている。

　「“孫子の兵法”が今も語り継がれているのと同様に優れた戦略というのは、時代を超えて有効だ。ゼロトラストは戦略として設計されているため、その中核原則は今も変わっていない。変化し続けるのは、その戦略を実行するために使用されるツールやテクノロジーの方である」（キンダーバーグ氏）

　そしてゼロトラストをさらに生かすための重要な技術がクラウドを含む企業ネットワークをセグメント化（区切る）するマイクロセグメンテーションだ。マイクロセグメンテーションでは、細かくセグメントした企業ネットワークのセグメントを超えようとする通信に対して検証を実施する。この手法は継続的な検証を確保し、攻撃者によるラテラルムーブメント（水平移動）を最小限に抑え、全体的なセキュリティ体制を強化する。

　ゼロトラストの検証は、一般的に使用される正規の通信であっても、その通信のユーザー情報やアプリケーション情報、デバイス情報、ネットワーク情報などを複合的にチェックすることで正しい通信かどうかを判断する。例えば、マルウェアによる通信はユーザー情報をなりすませてもデバイス情報がないケースがあるため、不正な通信であることを見抜けるというわけだ。

　こうした検証は、Identity and Access Management（IAM）を活用することでさらに強化できる。IAMとは企業におけるユーザーの識別や認証、認可を管理する仕組みだ。ユーザーごとにアクセス可能な対象を細かく設定でき、ユーザーにはシングルサインオン（SSO）によって一度のログインで業務システムにアクセス可能となり利便性を損なわない。もちろん、多要素認証の対応も可能だ。

　IAMとゼロトラストに対応した細分化（マイクロセグメンテーションやゼロトラストセグメンテーションと呼ばれる）を組み合わせることで、組織はゼロトラスト戦略を強化できる。この手法により、異なるネットワークのセグメント間を移動しようとする不正な通信を検知し遮断でき、より厳密な制御と強化されたセキュリティを実現する。近年は、内部で検知された脅威については封じ込めとレジリエンスを考慮する必要がある。米国立標準技術研究所（NIST）のセキュリティガイドライン「NIST SP800」でもゼロトラストに対応した細分化が有効とされている。

　日本でもNIST SP800は浸透しており、業界ごとのセキュリティガイドラインでもしばしば記載されている。アップデートされた金融庁のガイドラインにおいても、ゼロトラストに対応した細分化の例としてマイクロセグメンテーションが推奨されている。企業のIT環境を細分化することで脅威を隔離された領域内に封じ込めて他のセグメンテーションへの拡散を食い止めることが可能だ。これにより、レジリエンス能力を高めるだけでなく、広範な業務混乱や高額な損害を回避し、事業継続性と全体的なセキュリティ強化を実現する。

　次回は、意識すべき新たなサプライチェーンリスクとして、ソフトウェアサプライチェーンやAIサプライチェーンにおけるリスクと対策について紹介する。