IoTセキュリティにおいてゼロトラストが重要な理由とは

ゼロトラストの基本

IoT/OTデバイスがさまざまな業界に普及することで、攻撃対象領域が劇的に拡大し、従来の境界ベースのモデルでは対処できない複雑なセキュリティ上の課題が生じています。スマート ファクトリー、医療、コネクテッド インフラなどに使用されるデバイスの多くは、組み込みのセキュリティを備えておらず、旧式のシステムで運用され、さらには重要な業務に利用されているため、サイバー攻撃者にとって格好の標的となっています。このような急成長するエコシステムを効果的に保護するには、ゼロトラスト アーキテクチャーを採用し、あらゆる場所のすべてのデバイス、ユーザー、アプリケーションから暗黙の信頼を排除する必要があります。

簡単に言えば、ゼロトラストとは、信頼を前提とせず、すべてのユーザー、デバイス、サービスがシステムに属しているかを常に検証することです。以下のような中核概念を通じて、ネットワーク セキュリティの強力な基盤を構築します。

• 決して信頼せず、常に検証する：ユーザーやデバイスをデフォルトで信頼しないようにします。
• 最小特権アクセス：各エンティティーには業務を遂行するための必要最低限のアクセスのみが許可されます。
• コンテキストとリスクに基づくアクセス制御：セキュリティ対策の適用にあたっては、アクセスを許可または拒否する前に、デバイスのコンテキスト、脅威レベル、運用上のニーズを考慮します。
• 継続的な監視とリスクの調整：不審なアクティビティーが検知された場合、リアルタイムでアクセス権の再評価を行い、必要に応じて権限を調整します。
• パブリックIPアドレスの不使用：パブリックIP経由でサービスを直接公開すると不正侵入の可能性が高まるため、安全なIoTデバイスやプロキシの背後に隠します。

ゼロトラストIoT:従来のセキュリティが機能しない理由

最新のIoTネットワークとそこに展開された幅広いスマート デバイスは、膨大な攻撃対象領域を生み出す可能性があります。これらのデバイスの多くは軽量のオペレーティング システム上で動作し、インターネットに常時接続されているため、攻撃者にとって格好の標的となります。1台のデバイスが侵害されるだけで、エコシステム全体のネットワーク セキュリティが脅かされ、アプリケーションやデータの乗っ取り、業務の中断につながる恐れがあります。

さらに、IoT環境には、複雑なサプライ チェーン、頻繁なソフトウェア アップデート、セキュリティ システムの重複といった問題が付きまといます。堅牢なゼロトラスト アプローチがなければ、侵入者はラテラル ムーブメントを通じて、境界ベースの制御に依存するセキュリティをかいくぐることができます。ゼロトラスト ネットワーク アクセス(ZTNA)を活用することで、攻撃者が1つのレイヤーを突破しても、他のリソースからは隔離された状態を維持できます。

IoTセキュリティにおけるゼロトラストの基本原則

IoTセキュリティにゼロトラストを適用することは、デバイスや接続のそれぞれに対してプロアクティブな姿勢を取ることを意味します。システム全体でデバイスや接続を精査することで、組織はネットワークとそこに接続された重要な資産をより適切に保護できます。

• 動的なデバイスのアイデンティティー管理：検証可能な資格情報に基づき、すべてのIoTノードを継続的に認証および承認します。
• 自動化されたポリシーの施行：セキュリティ ソリューションによってルールを自動的に適用することで、リスクの高い接続を減らし、異常が脅威に発展する前に検知できるようにします。
• アイデンティティーベースのマイクロセグメンテーションと安全な接続：アイデンティティーおよびコンテキスト認識型の暗号化された接続をデバイスごとに確立し、承認されたリソースへのアクセスのみを許可します。
• 通信経路の分離：IoTデバイス間に論理的な分離を適用し、不正アクセスの試みが環境全体に拡散しないようにします。
• 継続的な監視と異常検出：デバイスの振る舞いを継続的に監視することで、確立されたベースラインからの逸脱を検出し、侵害の兆候となる不審なアクティビティーを迅速に特定し、警告します。

ゼロトラストのIoTセキュリティにおけるセグメンテーションの役割

ネットワーク セグメンテーションは、ゼロトラスト アプローチにおける要の1つです。インフラをより小さなゾーンに分割することで、各IoTデバイス間のネットワーク トラフィックの綿密な管理が可能となります。これにより、攻撃者がネットワーク内でラテラル ムーブメントを通じてより多くのデバイスを侵害する能力が大幅に制限され、効果的な封じ込めが可能となるほか、ランサムウェアの拡散やデータ流出などのインシデントの拡大を防止できます。

また、セグメンテーションを行うことで、必要な場合にのみアクセスを許可し、IoTネットワークの分離された部分を効果的に保護します。異なるワークロードやデータ セットを独立して実行できるため、1つのセクションが攻撃されても完全性を確保できます。堅牢なセグメンテーションを通じて、壊滅的な侵害を恐れることなくデバイスを拡張し、確実に統合することが可能です。

最終的に、セグメンテーションは、重要度の高いシステムとそれほど重要でないシステムを明確に分け、機密性の高いアプリケーションやデータを追加の保護層の背後に置くことで、防御を強化します。攻撃者が侵入口を突破したとしても、その先に効果的な防御層と監視が待ち構えているため、それ以上の侵入の意欲を削ぐことができます。ゼロトラストが進化するなかでも、セグメンテーションは引き続きIoTセキュリティの鍵として機能します。

IoTネットワークでゼロトラストを展開する際の課題

IoT環境におけるゼロトラストの導入は、慎重な計画を要する課題を伴います。一定の労力が必要になるのは当然ですが、適切な準備を行うことで以下のような課題を軽減できます。

• 従来のデバイス：古いデバイスは最新のファームウェアやオペレーティング システムの機能を備えておらず、保護が難しくなる場合があります。
• リソースの制約：軽量のIoTデバイスはメモリーや処理能力が限られていることが多く、高度なセキュリティ対策を講じるうえで制約となる場合があります。
• 進化する脅威環境：攻撃者は防御を回避する手口を常に生み出しているため、継続的な警戒とタイムリーな更新が必要です。
• セキュリティと使いやすさの両立：厳格なポリシーはユーザー エクスペリエンスを妨げる可能性があり、生産性を維持するには慎重な調整が必要です。

IoTのゼロトラスト通信のユース ケース

ゼロトラスト アーキテクチャーを導入することで、さまざまな業界の組織がIoT環境を保護し、運用効率とビジネス アジリティーの向上を実現しています。ゼロトラストの原則によってIoTセキュリティの課題を解決し、競争優位性を獲得した企業の例を以下に紹介します。

製造業

Kubota Australiaは、4G SIMカードを搭載したAndroidベースのRFスキャナーにゼロトラスト接続を導入することで倉庫の運用に革新的な変化をもたらしました。各拠点に専用のワイヤレス インフラを設置する必要がなくなったのです。Zscaler Private Accessによって、同社のスキャナーはあらゆる種類の接続を介して中央のSAP ERPシステムと安全に通信できるようになり、インフラなしで倉庫の運用を即時開始することが可能になりました。

物流

XPOは、従来のVPNとファイアウォールをゼロトラスト アーキテクチャーに置き換えることで、300か所以上のサービス センターのセキュリティを変革しました。運転手やドック作業員が貨物のスキャンや追跡に使用する約20,000台のAndroidハンドヘルドIoTデバイスを保護しています。これにより、現場とビジネス環境の両方ですべてのIoTトラフィックを対象にマルウェアの脅威を検査できるようになり、10億件以上の脅威がブロックされ、5,000万件のポリシー違反が防止されました。

エネルギー

MOL Groupは、スマート本社ビル、製油所、小売ネットワーク、データ センターのデバイスなどのすべてのIoTトラフィックをゼロトラストでルーティングすることで、サイバー レジリエンスを強化しました。エネルギー大手である同社は、一元的なロトラスト ポリシーにより、インフラ全体のサーバーやIoTデバイスからのインターネット トラフィックをフィルタリングし、1か所で包括的に可視化しています。

ゼロトラストIoTアーキテクチャーを効果的に導入する方法

ゼロトラストの実現にあたって、すべての組織に適した万能な手段は存在しませんが、以下の基本に従うことでIoTセキュリティを大幅に強化できます。

1. 資産の徹底的なインベントリー化：すべてのデバイスをカタログ化し、システム全体における各ノードの権限、機能、役割を把握します。
2. スマート セグメンテーションの導入：明確に定義されたゾーンにより、環境内での不正なラテラル ムーブメントを防止します。
3. コンテキスト認識型のポリシーの活用：デバイス ポスチャー、ユーザー アイデンティティー、場所、脅威レベルに関するリアルタイムのデータに基づいて意思決定を行います。
4. 継続的な監視の採用：ネットワーク トラフィックとユーザーの行動を追跡し、異常が発生した場合に権限を迅速に調整します。
5. AI/MLを活用したユーザー行動分析：人工知能(AI)と機械学習(ML)を活用することで、ユーザーの行動を詳細に確認し、進化するIoT環境に適応します。
6. ZTNAソリューションの導入：接続の試行をすべて検証するツールを展開し、許可されたエンティティーのみが重要なリソースにアクセスできるようにします。

これらの手順を採用することで、IoTインフラを保護し、常に進化する脅威に対応しながら、接続が進む世界を形作るテクノロジーへの信頼を高めることができます。

ZscalerのゼロトラストIoTセキュリティによるデバイスの保護

Zscalerは、IoT/OT環境に対応した包括的なゼロトラスト セキュリティを提供しています。継続的な検証、最小特権アクセス、動的なセグメンテーションなどの基本原則に完全に沿った形で、コネクテッド デバイスを進化する脅威から保護します。

Zscalerは、AI/MLを活用した振る舞いベースのアイデンティティーを活用して、エージェントレスですべてのIoTデバイスの検出と分類を可能にします。これにより、従来の境界型セキュリティや脆弱なパブリックIPに依存することなく、継続的な監視とリスクへの適応を可能にします。ZscalerのZero Trust Exchange™プラットフォームは、デバイスを安全な「1つのネットワーク」に分離することで、ラテラル ムーブメントを防止するとともに、完全なガバナンスの下での特権リモート アクセスを実現し、以下のようなメリットを提供します。

• 包括的な可視性：行動分析によって組織全体のIoT/OTデバイスを自動的に検出、分類し、死角を排除することで、デバイスの振る舞いやリスクを常にリアルタイムで把握できるようにします。
• 攻撃対象領域の削減：ゼロトラスト ポリシーを施行することで、侵害されたデバイスの分離、コマンド＆コントロール通信のブロック、ランサムウェアの拡散防止を可能にし、重要インフラの安全性を強化します。
• 管理の簡素化：ファイアウォールやVPNなどの従来の複雑なツールをリプレースし、自動化された一元的なポリシー施行および監視を導入することで、運用を効率化し、エージェントやセンサーを使用せずに生産性を向上させます。
• 事業継続性：拠点、工場、キャンパス内のデバイスに高速かつ安全な接続を提供し、ダウンタイムやベンダーのリスクを最小限に抑えながら、インダストリー4.0の俊敏性をサポートします。

デモを依頼して、ZscalerがゼロトラストでIoTセキュリティを強化する仕組みをご確認ください。