TeamViewerのCISOに聞く、リモート接続のゼロトラストやSBOMの見解
今回は「TeamViewerのCISOに聞く、リモート接続のゼロトラストやSBOMの見解」についてご紹介します。
関連ワード (CIO/経営、トップインタビュー等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
リモート接続ソフトウェアを手掛けるドイツのTeamViewerは、ゼロトラストのアプローチによるセキュリティの強化を推進しているという。同社の最高情報セキュリティ責任者(CISO)を務めるRobert Haist氏に、製品や開発などにおけるセキュリティの取り組みを聞いた。
同社のツールは、さまざまな企業や組織の業務の現場などで広く利用されている。例えば、データセンターにある機器やシステムの管理、保守などでは、拠点から遠隔で作業を行うことにより、移動の手間や時間を節約でき、効率的で生産的な仕事ができる。他方で、万一悪意のある人物がリモート接続を悪用すれば、接続先の機器やシステムが不正アクセスの脅威にさらされることにもなるため、セキュリティの確保、強化が重要なテーマとなる。
Haist氏は、「われわれのツールは、PCなど約25億台ものさまざまなデバイスに導入されており、重要なシステムや機器の管理といった業務で使われている。ユーザーの利便性を担保しつつ、サイバー攻撃などに狙われる領域(アタックサーフェス)をできるだけ小さくし、ユーザーや資産を脅威から守らなければならない」と述べる。
Haist氏によれば、同社には約50人の専門家で構成されるセキュリティ専任チームがあり、社内のセキュリティ対策から製品開発、コンプライアンス、法務面での対応に至るまでさまざまな取り組みをしている。また、業界標準や認定、国・地域ごとの規制への順守、対応にも日夜取り組んでいるという。
同社がセキュリティの強化で重視しているのが、「ゼロトラスト」のアプローチになる。「われわれは10年ほど前からゼロトラストを重要なテーマとして位置付け、推進してきている。守るべきさまざまな領域を“小さい島”として捉え、それぞれの“島”の安全を確保し、“小島”を全体として束ね、セキュリティポスチャー(セキュリティ対策の状態を把握、管理すること)を実践している」(Haist氏)
TeamViewerでのゼロトラストのアプローチは、(1)信頼するのではなく常に認可・認証する、(2)権限を最小化し「拒否」を原則とする、(3)全体の可視性を確保し検査を行う、(4)一元的に管理する――ことを基本にしているという。ただ、「われわれの仕組み全体で講じた強固なセキュリティが、ユーザーの利便性を損なうものであってはいけない。ユーザー視点でセキュリティの状態を簡潔に把握できるようにしつつ、ゼロトラストのアプローチによってユーザーの安全を確保する」とHaist氏は説明する。
ゼロトラスト型のセキュリティでは、まずユーザーのアイデンティティーが鍵になる。サードパーティーのID管理ツールやソリューションとも連携して、リモート接続を行うユーザーの属性や所有デバイスといったさまざまな情報から正しいユーザーであることを認可・認証し、アクセスを許可する。一方で、ユーザーにはシングルサインオン(SSO)の利用を推奨しており、利便性を担保している。
リモート接続時は、クライアントベースでエンドツーエンド(E2E)による通信の暗号化を行い、通信内容を保護する。「われわれはもちろん、外部からユーザーの通信内容を見ることは(事実上)不可能であり、通信の機密性を担保している」(Haist氏)
TeamViewerでは、ユーザーのリモート接続の通信の中継や管理を行うルーターを世界の約80地域に1300以上設置しているとのこと。Haist氏は、「このルーターは、いわば『電話交換機』になる。ここでは、過去のデータなどを基にしたモデルを利用して、常に不審な接続が疑われる兆候を監視、検知しており、必要な対応を実施している」と説明する。
ユーザーの接続に関する情報をログとして記録しており、管理者はウェブベースの管理コンソール上で履歴の確認や追跡調査などを行える。APIなどを利用してログデータをセキュリティ情報・イベント管理(SIEM)システムに取り込み、より詳しい分析なども実施できる。この管理コンソールをベースとして管理者は、業務でリモート接続を行う従業員などの管理やアクセスの設定などを実施する
先述のように、リモート接続ツールは利便性を高める手段だが、万一悪用されれば危険な状態になってしまう。コロナ禍で在宅勤務が広まったことなどもあり、オフィス以外の場所からシステムへアクセスする機会が増えている昨今では、リモート接続環境の脆弱(ぜいじゃく)性がサイバー攻撃での侵入口となってしまい、重大なインシデントに至るケースが少なくない。
Haist氏は、「RDP(リモートデスクトッププロトコル)を使ったリモート接続が今でも多く利用されている。しかし、企業の多様なデバイスからリモート接続を利用するならセキュリティの担保が必須だ。アタックサーフェスを減らし、安全なリモート接続を管理できるようにしなければならない」と、ゼロトラストのアプローチの必要性を述べる。
また、米国や日本などで政府レベルの取り組みが進む「SBOM」(ソフトウェア部品表)についてHaist氏は、「とても素晴らしい考え方だと思う」と話す。
業務利用されるソフトウェア製品の脆弱性を悪用したサイバー攻撃によって企業や組織で大きな被害が度々発生している事態を踏まえ、米国では大統領令によって、ソフトウェアのサプライチェーンセキュリティが推進されている。日本でも経済産業省や厚生労働省がSBOMの導入活用に向けたガイドラインを整備するなどしている。SBOMによるソフトウェアの構成を可視化、管理する業界標準として「SPDX」「CycloneDX」「SWID tags」の整備も進む。
Haist氏は、同社では製品開発段階から脆弱性発生などを抑止する「Secure by Design」を徹底しているとし、「基本的にSBOMが注目される以前から多くのソフトウェア企業が開発で用いるサードパーティーのライブラリーなどの把握や管理を実施している。その上でマシンリーダブルな仕組み(SPDXなどによりSBOMの情報をシステムで管理できること)があるのは、とても有用だ。われわれもSBOMの考え方で管理しており、例えば、製品リリースなどのタイミングでライブラリーや情報を自動更新するなど、社内においては管理を効率化している」と説明した。
ただ、サプライチェーンセキュリティの観点では、SBOMを開発側だけでなくユーザー側でも利用できることが求められ、両者が円滑で効率的に情報を共有、活用していく方策が議論の途上にある。
「実際に、顧客から製品に使用しているライブラリーのリスト提供を求められることがある。SBOMは社内利用の範囲なら難しくはない。しかし、外部に提供するとなると、人手や手間がとてもかかり負担が大きい。近い将来に外部に提供できるよう準備を進めているところだ」とHaist氏。「CI/CD(継続的なインテグレーション/デリバリー)の開発スタイルも普及してきているので、ここにマシンリーダブルなSBOMが組み込まれるようになれば、より安全な環境が整っていくと期待したい」とも話している。