UserLockが、どのようにしてエアギャップ・ネットワーク上で強力な多要素認証の実施に役立つか見ていきましょう。
エアギャップ・ネットワークとは何か?
「エアギャップ」は日常よく耳にする言葉ですが、文脈に左右されることが多く、一概に明確な定義はありません。ネットワークのセキュリティでは、専門のエンジニアらは論理的かつ物理的にコンピュータ同士を分離することができ、論理的な分離はソフトウェアで定義したネットワークセグメント上にコンピュータを配置することで行います。
エアギャップ・ネットワークは、この考えをさらに一歩進め、コンピュータを物理的かつ論理的にも隔離します。他のLANや外部ネットワークと有線・無線どちらの接続を持たず、外部のインターネットとも接続がない状態となり、隔離のために専用の部屋や建物に設置されることもあります。
一方で、当然ながらこうしたネットワークに対する従業員による不正アクセスの制御は極めて重要になります。課題となるのが安全な認証の必要性です。もう少し内容を掘り下げて見ていきましょう。
エアギャップ・ネットワーク管理の課題
まず、エアギャップ・ネットワークを管理の2大課題である複雑さとコストについて見てみましょう。
エアギャップ・ネットワークの構築はセキュリティの上で重要なメリットをもたらしますが、その反面、システムの維持管理にかかるコストが大きくなるというデメリットがあります。さらに他のネットワークと同様、維持管理が必要ですが、エアギャップ・ネットワークは接続の利便性がないことから日常的な管理は難しくなります。具体的にはリモートアクセス、パッチ適用、アップデートなどができなければ、管理はより複雑になります。
また、隔離したネットワークでは、インフラがより複雑になるだけでなくコストもかかります。例えばWindows Active Directory (AD)のような基本的な基盤システムをすべて複製しなければなりません。さらに、組織内においてエアギャップ・ネットワークの数が増えれば増えるほど、複雑さもコストも急速に増大することになります。
エアギャップ・ネットワークを使う業界とその理由
エアギャップ・ネットワークは非常に大掛かりなものであるため、その使用は特定の利用シーンに限定される傾向にあり、セキュリティのレベルも少しずつ異なります。
よくある例としては、セキュリティが絶対の優先事項で、運用環境へのアクセスが米国のFIPS-140-2のような厳格なコンプライアンス基準を満たす必要がある軍や政府機関などがあげられます。また、エネルギー、工業製造、大量輸送、航空管制などの重要なインフラでは、エアギャップ・ネットワークが産業用ネットワークやIoTネットワークの耐障害性を高めるのに役立ちます。
さらに金融機関や証券取引所、そのほか規制の厳しい企業では、災害時の復旧や重要な金融システムの保護、脆弱なソフトウェアを使い続けている従来の産業制御ワークステーションを隔離するためにエアギャップを利用しています。医療施設では、ある種の医療機器を安全に操作するためにエアギャップが頻繁に使われています。
エアギャップのあるネットワークでは、他のネットワークとは異なり、いかなる機器もネットワークに出入りできません。そのため、セキュリティの適用方法に影響を与える可能性があります。また、従来のエアギャップ・ネットワークは、旧い技術や仕組みで構築されたシステムに基づくものと考えられてきましたが、今日では、Google Distributed Cloud※のようにプライベートクラウド型のインフラを使う組織も見られるようになりました。
※Google社が提供する分散型クラウドシステムのこと
エアギャップ・ネットワークは、見ためほど安全か
理論的に、エアギャップはセキュリティの脅威を防ぎます。『結局のところ、ネットワークがあらゆる種類の接続やリモートアクセスから遮断されていれば、攻撃されることもないから安全だろう?』と考えている方もいると思いますが、残念ながらそれは誤りです。
2010年に公表されたあの有名なStuxnetマルウェア事件は、エアギャップ単体だけでは決して魔法の盾にはならないことを露見させました。単なるUSBメモリがマルウェアを持ち込んだからです。また、イランのナタンツに所在するウラン濃縮施設も、同様にエアギャップのあるWindowsのネットワークを使用していました。これら事件から得られる教訓は、エアギャップ環境のセキュリティを確保するには、複数の予防措置を講じる必要があるということです。エアギャップのみで十分とは決して考えてはなりません。
結局のところ、隔離されたネットワークであっても、管理やソフトウェアの適用を行うためには誰かがアクセスしなければなりません。アクセスがあるところには必ずリスクが存在します。不正な内部関係者がネットワークへのアクセスを悪用したり、マルウェアが偶然または意図的に外部から侵入したり、部外者がエアギャップのあるネットワークのアカウント認証情報にアクセスしたりする可能性があります。
実際に、攻撃者が認証情報、それも高度に特権化されたアカウントの認証情報を簡単に入手できてしまう現実を私たちは何度も目にしています。ごく最近も、2022年11月にウクライナとポーランドの物流業界を狙った型破りなランサムウェア事件が発生しました。この攻撃は、最初に攻撃者が高度に特権化された認証情報へのアクセスを獲得し、その後でハッカーによって展開されたランサムウェアのペイロード※が使われました。
※不正な動作を行うコード本体のこと
もはや必要不可欠な多要素認証
そもそも、エアギャップ・ネットワークには多要素認証を適用できないと考えている人もいます。確かに、二要素認証を提供する多要素認証のソリューションの多くは外部のインターネット接続がなければ機能せず、接続可能なネットワークでも、多要素認証の手法の選択肢は限られています。代替策として専用のスマートカードを使う方法もありますが、この場合は実装が複雑でコスト高になる可能性があります。FIDO2対応のハードウェアトークンもうまく機能しますが、使っている基礎プロトコルが常に既存のシステムやネットワーク、ワークステーションと常に互換性があるとは限りません。
オフライン多要素認証(MFA)を使えば、従来のインターネット接続LANと同じように、エアギャップ・ネットワークでもこれら重要なセキュリティ階層の恩恵を受けることができます。
UserLockが解く多要素認証のパズル
解決方法は、ずばりオフライン状態で多要素認証とアクセス制限の両方を維持するように設計されたUserLockのような多要素認証(MFA)ソリューションを使うことです。インターネットの接続なしでアクセスポリシーと多要素認証を施行し続けることができます。
UserLockのエージェントを従業員の業務用コンピュータやノートパソコンにインストールすると、Windowsプロトコルを介してエージェントがエアギャップ・ネットワーク内にインストールされたUserLockサーバと通信を行います。そして、ユーザーがローカルのActive Directory (AD)に対して認証を行うと、UserLockはインターネットに接続することなく多要素認証とアクセス制御のポリシーを適用します。UserLockなら、すぐにエアギャップやオフライン環境をサポートできます。
一方、ユーザー側から見ると、UserLockの多要素認証はどの業務用コンピュータでも同じように動きます。ユーザーは Windowsの認証情報を入力し、多要素認証の入力を促す画面を受け取るだけです。UserLock では、以下をプライマリまたはバックアップ認証タイプとして実装できます。
- TOTP または HOTP トークン
(YubiKey 5/YubiKey 5 FIPS シリーズ、Token2 T2F2 ALU、Token2 Programmable Tokenなど) - 時間ベースのワンタイムパスワード(TOTP)
(Google Authenticatorなどのスマホ認証アプリ、またはUserLock Pushアプリ※で生成したTOTP)
※スマホの同期維持のため、事前にインターネット接続が必要です。プッシュ通知はインターネット接続がある場合のみ利用可能ですが、インターネット接続がない場合もTOTPコードで認証が可能です
UserLockを通じ、管理者は通常のインターネットに接続された外部ネットワークと同様に、エアギャップ・ネットワークに多要素認証(MFA)を導入するだけでなく、より柔軟にアクセス制御を行うことができます。UserLockは、エアギャップ・ネットワーク環境において以下の点で非常に有効です。:
きめ細かなアクセス制御
UserLockのきめ細かなアクセス制御は、内部の攻撃範囲を制限するのに役立ちます。管理者は時間で区切ったアクセス制限を有効にすることで、ユーザーが業務用コンピュータにアクセス可能/不可能な時間を定義できます。ユーザーやグループ、ADの組織(OU)単位で設定することも可能です。
リアルタイムのモニタリングとアラート
セッション管理により、管理者はログインを時系列でモニタリングし、カスタムのアラートを設定することで何重にもセキュリティを強化できます。管理者はリモートで危険な行動に対応したり、1クリックでセッションをブロックしたり、スクリプトを作成して対応を自動化できます。
業務用コンピュータの制限
セッションタイプの制限により、ユーザーまたはユーザーグループが特定の端末を使用できないように設定できます。例えば、管理者はユーザーが既知のドメインマシンからのみアクセス可能にできます。
エアギャップ・ネットワークの監査とレポート
エアギャップの利用は、往々にして厳しい監査とコンプライアンスチェックを必要とします。UserLockは多要素認証、セッション履歴、ユーザーアクセスに関するイベントをログに記録して文書化することで、包括的な監査とレポート作成を実現し、厳しいコンプライアンス要件を満たします。
プライベート、クラウドアクセスのための同時セッション制限
近年、プライベートクラウドおよびエアギャップ・クラウドは、機密性の高い業務をサポートしています。例えば、Google Distributed Cloudは完全に分離されたクラウドサービスですが、機密性が高く業務内容の保護が必要な防衛・規制産業などの分野で重要なNIST SP 800-53やFedRAMPなどの高セキュリティ管理に準拠しています。
GDC(Google Distributed Cloud) の構築パートナーとして、UserLockはGDCと互換性があります。UserLockはエアギャップのあるGDC環境で、ユーザーと管理者の同時セッションを制限できます。
多要素認証とアクセス制御で守る
エアギャップ・ネットワークへのアクセス
多要素認証は、あらゆる組織のアクセス管理において重要な役割を果たします。企業は、ネットワーク上の他のすべてのコンピュータとWindowsユーザーアカウントを保護する方法と同じやり方で、エアギャップ・ネットワーク上の業務用コンピュータとユーザーアカウントへのアクセスを保護しなければなりません。
多要素認証ソリューションの多くがエアギャップ環境での多要素認証をサポートしていないため、多くの組織が最も機密性の高いネットワークへの導入を完全に見送っています。これでは安全性が低いだけでなく、組織がコンプライアンスや規制要件に違反する可能性があります。
以上のような状況をふまえ、UserLockはインターネット接続なしで多要素認証を迅速にサポートできるよう設計されました。また、UserLockの多要素認証は、従業員が既にITネットワークへの認証で使っているものと同じ認証アプリやハードウェアトークン、セキュリティキーを使うことができます。
このように、UserLockはコストと複雑さを抑えながら、セキュアなアクセス制御とすべてのエアギャップ・ネットワーク上のユーザーアクセスに多要素認証を導入することで、セキュリティの水準を高めることができます。
フランソワ・アミゴレーナ
IS Decisions社 代表取締役兼CEO
出典:https://www.isdecisions.com/en/blog/mfa/secure-air-gapped-networks-with-mfa-and-access-controls