1.ゼロトラストはテレワークセキュリティーの救世主になるのか(8.27 日経XTECH)
新型コロナウイルスの流行により緊急事態宣言が出た首都圏などでは、出勤者の7割減が求められている。このため、多くの企業がテレワークなどの新しい働き方へのシフトが要求され、業務を支える企業システムもその対応に迫られている。
そんな中、セキュリティーの仕組みとして「ゼロトラスト」が注目されるようになった。従業員が外部から社内ネットワークにつなぐテレワークでは、既存のシステムで採用される「境界型防御」よりゼロトラストのほうが攻撃を防ぎやすいといわれている。
では、ゼロトラストはテレワークセキュリティーの救世主になるのか。結論からいうと、境界型防御を採用するシステムではゼロトラストが救世主にならないだろう。ゼロトラストを短期間で導入するのは困難だからだ。これから新規でシステムを構築する企業であっても、境界型防御より導入コストがかかるゼロトラストの導入に迷う経営者はいるだろう。
今回は、ゼロトラストがテレワークセキュリティーにおいてなぜ境界型防御より優れるのか、境界型防御のシステムにゼロトラストを追加するのがどうして難しいのかを解説する。
ゼロトラストと境界型防御の大きな違いは、何を信用して何を信用しないかという点である。
ゼロトラストの議論は、2004年ごろに発足したセキュリティーの非境界化に関する国際標準化グループで始まった。この中で様々な議論が進み、2020年に米国国立標準技術研究所(NIST、National Institute of Standards and Technology)がゼロトラストアーキテクチャーのリポート「SP800-207」を発表した。これが、実質的なゼロトラストのレファレンスになっている。
SP800-207では次に示す7つの考え方を基本として、「すべてを信用しない」というコンセプトになっている。しかしこの考え方には概念的な部分が多く、直観的には理解しにくいだろう。
〔1〕すべてのデータソースとコンピューティングサービスをリソースと見なす
〔2〕ネットワークの場所に関係なく、すべての通信を保護する
〔3〕企業リソースへのアクセスをセッション単位で付与する
〔4〕リソースへのアクセスは、クライアントID、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
〔5〕すべての資産の整合性とセキュリティー動作を監視し、測定する
〔6〕すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する
〔7〕資産、ネットワークのインフラストラクチャー、通信の現状について可能な限り多くの情報を収集し、セキュリティー体制の改善に利用する
またゼロトラストを実現する前提として、社内ネットワークは信頼できる区間ではないこと、社内資産であっても企業所有の物ではない可能性があること、利用資産が社内ネットワークの外部にあること(例えばクラウドサービス)を意識すること、資産が移動する際に同一のポリシーを適用することなどを、SP800-207の中で挙げている。
SP800-207を満たすゼロトラストのシステムとは、簡単にいえば次をすべて実現するシステムのことである。
●パソコンやモバイル端末はすべて管理、監視、制御可能な状態とする
●社内ネットワーク、社外ネットワークに関わらずすべての通信を保護する
●社内データやクラウドサービスについても個人の認証・認可を動的なポリシーで(例えば接続環境の変化なども含めて)都度行う
2.デジタルツイン(Digital Twin)(7.25 日経XTECH)
「デジタルの双子」を意味する。IoT(インターネット・オブ・シングズ)などにより収集した物理空間の情報をデジタル空間に送ることで、現実世界を模した「双子」となる世界をデジタル空間内に再現したもの。
デジタルツインは特定のITプロダクトを指す言葉ではない。物理空間のデータを収集するセンサーや3Dスキャニング、デジタル空間の情報を現実世界に再現するAR(拡張現実)、VR(仮想現実)などの技術を総称する概念だ。
現実世界を再現したデジタル空間においてシミュレーションを実施し、その結果を現実世界の活動へフィードバックするといった形で活用する。センサー情報を基にエンジンの状況を推定する保守システムや、新型コロナ禍で活用されたウイルス飛散シミュレーションなどが一例である。
物理空間に変更を加えず迅速にシミュレーションできることから、不確実性の高い事業環境への対応や、顧客への個別最適化したサービス提供に寄与する概念として、デジタルツインに注目する企業が増えている。
日本政府が提唱する「Society5.0」においても、デジタルツインはキーテクノロジーの1つだ。経団連はデジタルツイン基盤を「センサーなどから得られる大量のデータ等を基にサイバー空間上へ精緻なモデルを組み上げることで、サイバー空間上でのより高精度の実証、予測精度向上、最適化を可能とし、超スマート社会を実現する基盤」と位置づける。
産業界でも活用が進む。例えば、JFEスチールでは銑鉄を作る高炉の内部状態をデジタルツインでシミュレートし、異常の予兆を検知する。コマツは建設現場のデジタルツインを作成、顧客の施工状況のリアルタイム共有などに役立てる。クボタはスマート農業の分野で、人工衛星を用いて取得した農地データを基にスマートフォンなどで作付け状況を管理できるサービスを提供する。
デジタルツインの今後について、野村総合研究所の小宮昌人主任コンサルタントは「人のデジタルツインが発展の鍵になる」と指摘する。例えば熟練した職人の動きをデジタル空間で正確に再現できれば、属人化した技術を見える化できる。企業のオペレーションそのものの商材化も可能となり、新しいビジネスを生み出す可能性を秘める。
3.スマホにIPv6アドレスだけを割り当てる、ドコモの大胆な施策は奏功するか(8.24 日経XTECH)
かつてIPv4アドレスがほぼ枯渇し、IPv6についての議論が盛り上がったとき、いずれはIPv6オンリーのネットワークが主流になるという移行シナリオが多くの識者から提唱された。確かに固定の家庭向け光回線などを中心にIPv6の普及は進み、海外の主要なコンテンツプロバイダーの対応は済んでいるが、国内のコンテンツプロバイダーはまだまだIPv6対応が進んでいないのが現状だ。
こうした状況を一変させる可能性のある施策にNTTドコモが取り組んでいる。スマートフォンにIPv6アドレスだけを割り当てる「IPv6シングルスタック」の運用を2022年春に開始する。スマホ向けインターネット接続サービス「spモード」とオンライン専用プラン「ahamo」が対象となる。2021年6月29日に報道発表し、アプリケーションやコンテンツの開発者が動作確認するための試験環境を提供することも併せて発表された。
疑問に思うのは、いまだに数多くあるIPv4で運用されているサービスに、IPv6アドレスだけを持つ端末がどうやってアクセスするのかということだ。さらにNTTドコモがこうした施策を始める狙いはどこにあるのだろうか。
NTTドコモが「IPv6シングルスタック」を始める動機は2つあるという。1つはやはりIPv4アドレスの枯渇にある。NTTドコモの資料によると、約10年前のspモード開始時は契約者が500万人だったのが、2020年度には4600万人を超えた。「IPv4アドレスの値段が高騰し、非常に入手しづらい状況だ。昨今は端末がどんどん増えているが、昔のようにIPv4アドレスをすぐに調達できるというわけにはいかない」(NTTドコモ サービスデザイン部 基盤方式担当部長の飯田和則氏)。
もう1つの理由は、IPv4とIPv6の両方を使う「デュアルスタック」は運用負荷が高いという点。NTTドコモはすでにIPv6に対応しているが、デュアルスタックのネットワークを使ってサービスを提供している。今後端末数がさらに増えてネットワークを増設する際、デュアルスタックでは負荷が高過ぎるという。
IPv4サーバーにIPv6アドレスしか持たない端末がアクセスする方法は、「DNS64/NAT64」と「464XLAT」という2つの技術を組み合わせるものだ。DNS64/NAT64は定番といえる技術。464XLATについては、同様の技術として固定網のIPoE方式でIPv4 over IPv6を実現するのに使われる「DS-Lite」や「MAP-E」などがある。これらではなく464XLATを採用したのは、「Androidが標準で採用しているから」(基盤方式担当 ネットワーク担当 主査の伊藤和樹氏)という。
ISP(プロバイダー)や携帯電話事業者(オペレーター)がIPv6対応する際、デュアルスタックでネットワークを構築するのが一般的だ。IPv6シングルスタックを商用サービスで導入するのは筆者が知る限り初めてで、かなり意欲的な試みといえそうだ。
コンテンツプロバイダーが利用できる検証環境をNTTドコモが提供しているが、実のところコンテンツプロバイダーがIPv6シングルスタックに対応する直接的なメリットはなさそうだ。
4.Cisco製品に複数の脆弱性 セキュリティアドバイザリの確認を(8.28 ITmedia)
iscoは、複数の製品に関するセキュリティドバイザリを発行した。今回発表された脆弱性の中には深刻度が緊急(Critical)に分類されるものもあるため注意が必要だ。必要に応じてアップデートを適用してほしい。
米国のコンピュータ緊急事態対策チーム(US-CERT:United States Computer Emergency Readiness Team)は2021年8月26日(現地時間)、複数のCisco Systems(以下、Cisco)の製品に脆弱(ぜいじゃく)性が存在すると伝えた。これを利用されると影響を受けたシステムの制御権が乗っ取られる可能性がある。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、特に次のセキュリティアドバイザリをチェックし、ユーザーと管理者に必要に応じたアップデートを呼びかけている。深刻度が緊急(Critical)に分類される脆弱性もあるため注意が必要だ。
Ciscoは数日といった短いスパンで新たなセキュリティアドバイザリを発行することがあり、数日前に発行したセキュリティアドバイザリの中身を一部更新したものを新たに掲載することもある。該当の製品を使用しているかどうかを小まめにチェックしてほしい。今回発表された脆弱性情報の一覧については、Cisco Security Advisoriesに記載されている。
5.スマホの利用料金は平均4845円、データ通信量は平均8.72GB MM総研の調査(8.26 ITmedia)
MM総研は、NTTドコモ、au、ソフトバンク、楽天モバイル(以下、MNO4社)、Y!mobileとUQ mobile(以下、サブブランド)、およびMVNO各社それぞれの音声通話サービス利用者に対するアンケート調査を実施し、携帯電話の月額利用料金と音声通話・データ通信サービスの利用実態について発表した。
MNO4社のスマートフォン利用者の月額利用料金は5351円
携帯電話の月額利用料金について、端末代金の分割支払い分を含まない実際の支払総額を分析した結果、スマートフォン利用者全体では4845円となった。楽天モバイルを含むMNO4社のスマートフォン利用者の月額利用料金は5351円、MNO3社のフィーチャーフォン利用者は2589円となった。サブブランド利用者の月額利用料金は3331円、MVNO利用者の月額利用料金は2049円となった。
また、端末購入金額について質問した結果、スマートフォン利用者全体では6万1079円となった。MNO4社のスマートフォン利用者では6万4739円、MNO3社のフィーチャーフォン利用者は2万406円、サブブランド利用者は4万8757円、MVNO利用者は4万2920円だった。
月間データ通信量は平均8.72GB、中央値は3GB
スマートフォンによるWi-Fiデータ通信量は17.45GB
データ通信量の構成比としてはモバイルデータ通信量33.3%に対し、Wi-Fi通信量は66.7%となった。
1週間の通話時間はMNO4社38.6分、サブブランド33.6分、MVNO17.6分
スマートフォン利用者に携帯電話番号とIP電話・アプリ電話それぞれの音声通話時を質問した。その結果、1週間の平均通話時間は携帯電話番号からの場合、MNO4社は18.4分、サブブランドは18.3分、MVNOは7.5分となった。IP電話・アプリ電話からの場合は、MNO4社は20.2分、サブブランドは15.3分、MVNOは10.1分となった。携帯電話番号とIP電話・アプリ電話からの通話時間を合算すると、MNO4社は38.6分、サブブランドは33.6分、MVNOは17.6分となった。
スマートフォンの利用時間は953分/週
1週間あたりのスマートフォン利用時間は953分だった。通信事業者別に見ると、MNO4社は962分、サブブランドは958分、MVNOは903分だった。
1週間の利用時間を用途別に分析した結果、スマートフォン利用者全体では「インターネット検索・情報収集」209.8分(22%)が最も多く、次いで「SNS」144.9分(15.2%)、「動画視聴」115.9分(12.2%)、「オンラインショッピング」49.3分(5.2%)となった。「メール・メッセージの送受信」を除く6項目全てで利用時間が増加した。特にSNS、ゲーム、音楽視聴で前回調査に比べ10分以上増加しており、在宅時間の増加が影響しているとみられる。
ホームページへ