TeamViewerのCISOに聞く、リモート接続のゼロトラストやSBOMの見解

今回は「TeamViewerのCISOに聞く、リモート接続のゼロトラストやSBOMの見解」についてご紹介します。

関連ワード (CIO/経営、トップインタビュー等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 リモート接続ソフトウェアを手掛けるドイツのTeamViewerは、ゼロトラストのアプローチによるセキュリティの強化を推進しているという。同社の最高情報セキュリティ責任者(CISO)を務めるRobert Haist氏に、製品や開発などにおけるセキュリティの取り組みを聞いた。

 同社のツールは、さまざまな企業や組織の業務の現場などで広く利用されている。例えば、データセンターにある機器やシステムの管理、保守などでは、拠点から遠隔で作業を行うことにより、移動の手間や時間を節約でき、効率的で生産的な仕事ができる。他方で、万一悪意のある人物がリモート接続を悪用すれば、接続先の機器やシステムが不正アクセスの脅威にさらされることにもなるため、セキュリティの確保、強化が重要なテーマとなる。

 Haist氏は、「われわれのツールは、PCなど約25億台ものさまざまなデバイスに導入されており、重要なシステムや機器の管理といった業務で使われている。ユーザーの利便性を担保しつつ、サイバー攻撃などに狙われる領域(アタックサーフェス)をできるだけ小さくし、ユーザーや資産を脅威から守らなければならない」と述べる。

 Haist氏によれば、同社には約50人の専門家で構成されるセキュリティ専任チームがあり、社内のセキュリティ対策から製品開発、コンプライアンス、法務面での対応に至るまでさまざまな取り組みをしている。また、業界標準や認定、国・地域ごとの規制への順守、対応にも日夜取り組んでいるという。

 同社がセキュリティの強化で重視しているのが、「ゼロトラスト」のアプローチになる。「われわれは10年ほど前からゼロトラストを重要なテーマとして位置付け、推進してきている。守るべきさまざまな領域を“小さい島”として捉え、それぞれの“島”の安全を確保し、“小島”を全体として束ね、セキュリティポスチャー(セキュリティ対策の状態を把握、管理すること)を実践している」(Haist氏)

 TeamViewerでのゼロトラストのアプローチは、(1)信頼するのではなく常に認可・認証する、(2)権限を最小化し「拒否」を原則とする、(3)全体の可視性を確保し検査を行う、(4)一元的に管理する――ことを基本にしているという。ただ、「われわれの仕組み全体で講じた強固なセキュリティが、ユーザーの利便性を損なうものであってはいけない。ユーザー視点でセキュリティの状態を簡潔に把握できるようにしつつ、ゼロトラストのアプローチによってユーザーの安全を確保する」とHaist氏は説明する。

 ゼロトラスト型のセキュリティでは、まずユーザーのアイデンティティーが鍵になる。サードパーティーのID管理ツールやソリューションとも連携して、リモート接続を行うユーザーの属性や所有デバイスといったさまざまな情報から正しいユーザーであることを認可・認証し、アクセスを許可する。一方で、ユーザーにはシングルサインオン(SSO)の利用を推奨しており、利便性を担保している。

 リモート接続時は、クライアントベースでエンドツーエンド(E2E)による通信の暗号化を行い、通信内容を保護する。「われわれはもちろん、外部からユーザーの通信内容を見ることは(事実上)不可能であり、通信の機密性を担保している」(Haist氏)

 TeamViewerでは、ユーザーのリモート接続の通信の中継や管理を行うルーターを世界の約80地域に1300以上設置しているとのこと。Haist氏は、「このルーターは、いわば『電話交換機』になる。ここでは、過去のデータなどを基にしたモデルを利用して、常に不審な接続が疑われる兆候を監視、検知しており、必要な対応を実施している」と説明する。

 ユーザーの接続に関する情報をログとして記録しており、管理者はウェブベースの管理コンソール上で履歴の確認や追跡調査などを行える。APIなどを利用してログデータをセキュリティ情報・イベント管理(SIEM)システムに取り込み、より詳しい分析なども実施できる。この管理コンソールをベースとして管理者は、業務でリモート接続を行う従業員などの管理やアクセスの設定などを実施する

 先述のように、リモート接続ツールは利便性を高める手段だが、万一悪用されれば危険な状態になってしまう。コロナ禍で在宅勤務が広まったことなどもあり、オフィス以外の場所からシステムへアクセスする機会が増えている昨今では、リモート接続環境の脆弱(ぜいじゃく)性がサイバー攻撃での侵入口となってしまい、重大なインシデントに至るケースが少なくない。

 Haist氏は、「RDP(リモートデスクトッププロトコル)を使ったリモート接続が今でも多く利用されている。しかし、企業の多様なデバイスからリモート接続を利用するならセキュリティの担保が必須だ。アタックサーフェスを減らし、安全なリモート接続を管理できるようにしなければならない」と、ゼロトラストのアプローチの必要性を述べる。

 また、米国や日本などで政府レベルの取り組みが進む「SBOM」(ソフトウェア部品表)についてHaist氏は、「とても素晴らしい考え方だと思う」と話す。

 業務利用されるソフトウェア製品の脆弱性を悪用したサイバー攻撃によって企業や組織で大きな被害が度々発生している事態を踏まえ、米国では大統領令によって、ソフトウェアのサプライチェーンセキュリティが推進されている。日本でも経済産業省や厚生労働省がSBOMの導入活用に向けたガイドラインを整備するなどしている。SBOMによるソフトウェアの構成を可視化、管理する業界標準として「SPDX」「CycloneDX」「SWID tags」の整備も進む。

 Haist氏は、同社では製品開発段階から脆弱性発生などを抑止する「Secure by Design」を徹底しているとし、「基本的にSBOMが注目される以前から多くのソフトウェア企業が開発で用いるサードパーティーのライブラリーなどの把握や管理を実施している。その上でマシンリーダブルな仕組み(SPDXなどによりSBOMの情報をシステムで管理できること)があるのは、とても有用だ。われわれもSBOMの考え方で管理しており、例えば、製品リリースなどのタイミングでライブラリーや情報を自動更新するなど、社内においては管理を効率化している」と説明した。

 ただ、サプライチェーンセキュリティの観点では、SBOMを開発側だけでなくユーザー側でも利用できることが求められ、両者が円滑で効率的に情報を共有、活用していく方策が議論の途上にある。

 「実際に、顧客から製品に使用しているライブラリーのリスト提供を求められることがある。SBOMは社内利用の範囲なら難しくはない。しかし、外部に提供するとなると、人手や手間がとてもかかり負担が大きい。近い将来に外部に提供できるよう準備を進めているところだ」とHaist氏。「CI/CD(継続的なインテグレーション/デリバリー)の開発スタイルも普及してきているので、ここにマシンリーダブルなSBOMが組み込まれるようになれば、より安全な環境が整っていくと期待したい」とも話している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
「Linux」マシンに新しいユーザーを追加するには
IT関連
2022-06-17 15:12
「健康になるにはどうすれば?」 目標実現の道のりを教えるAI、富士通が開発
ロボット・AI
2021-02-05 20:12
[速報]「AWS大阪リージョン」正式オープン。大阪ローカルリージョンを拡張し3つのアベイラビリティゾーンから構成、事前申し込みなど不要に
AWS
2021-03-03 23:54
NEC、行政向けクラウド統制サービスを発表–ベースはAWS標準
IT関連
2022-07-29 21:27
濃飛倉庫運輸、業務アプリ開発をローコード化して工数を半減
IT関連
2023-02-09 16:35
CISOの仕事に役立つ「セキュリティアウトカムキャンバス」–ウィズセキュア「SPHERE23」
IT関連
2023-05-27 14:26
仕事でAIを導入するには–AI活用による生産性向上をデスクワーカーの81%が実感
IT関連
2024-07-20 11:34
ネット風評リスクへの警戒–二重脅迫型ランサムウェアの影響も
IT関連
2022-11-22 15:15
OpenAI、AIの「壊滅的」リスクに備え専門家チームを創設–核攻撃などを想定
IT関連
2023-10-31 21:24
経産省とIPA、中小企業に向け「サイバーセキュリティお助け隊サービス」を発表
IT関連
2021-04-16 22:35
日経平均株価構成企業のDMARC導入が加速–グーグルの迷惑メール対策強化で
IT関連
2024-02-10 19:32
NTT Com、上司の1on1スキル向上をAIで支援する新サービス
IT関連
2022-07-29 12:28
知名度は低いが魅力的なウェブブラウザー5選
IT関連
2024-11-10 02:32
ツイッターがお気に入りのツイートに投げ銭できる「Tip Jar」機能搭載、まずは英語で
ネットサービス
2021-05-09 13:48