ユーザ真正性を検証可能なゼロトラストネットワーク
テレワークの普及により,業務に必要なデータへの遠隔アクセスが急増しています.従来のセキュリティモデルである境界型防御では,社内ネットワークとインターネットとの間にDeMilitarized Zone(DMZ)という境界領域を設定し,ここにファイアウォールや侵入検知システムを設置することで外部からのアクセスを拒否してきました.しかしモバイル/IoT端末やクラウドの活用が一般化したことで,ネットワークを社内/社外と区切らずに時間や場所を問わずアクセス可能なセキュリティモデルが必要になりました.これに対してゼロトラストネットワークでは,ネットワークの境界という曖昧な概念を捨て,全てのデータアクセスを信用せずに逐次検証します.本研究室では,このゼロトラストネットワークを対象として様々な研究開発を実施しています.
ユーザ真正性を検証可能なゼロトラストネットワーク
テレワークでは,一度アカウント認証を終えるとユーザはそれ以降,アクセスリクエストは検証されずに機密データに閲覧・編集し続けられるため,認証後に端末や認証情報が第三者に傍受・共有されてしまうことでデータの機密性が脅かされます.従来のゼロトラストアクセス制御(Zero Trust Access Control,以下ZTAC)ではWebバイオメトリクスがZTACでの適用を前提としていないため,攻撃者による多様なアクセスパタンに完全には対応できませんでした.
本研究室では,アカウント操作者であるユーザが本来の保持者か否か(ユーザ真正性)を検証可能なゼロトラストネットワークの研究をしています.提案手法では,Webブラウザ上の行動から偽装困難な行動・認知バイオメトリクスを計測して逐次検証することで,IDやパスワードといった認証情報が漏洩したり,認証後にユーザが入れ替わっても,即時アクセスリクエストを拒否してデータの閲覧・編集を遮断できる仕組みを実現させました.
参考
ゼロトラストネットワークを題材にしたシステムアーキテクト演習
ZTAC の導入には,組織構成と業務フローに加えてサイバーセキュリティの専門知識を備える人材が欠かせません.こうした人材は日常業務に加えて,セキュリティ要求や攻撃方法の傾向などの変化に追従することが求められます.しかし,十分なセキュリティ人材の確保が困難な企業では,実践的なZTAC の構築・維持は難しいです.
本研究室では,ゼロトラストネットワークの構築を通じて,システムアーキテクトの基礎となるスキルを獲得するサイバー演習の研究も実施しています.Linuxでユーザー所有のファイルに対するパーミッション制御に用いられるDAC(任意アクセス制御),SElinuxやAppArmorのように定義されたポリシを基にLinux内のファイルやプロセス・その他のアクションにルールを強制するMAC(強制アクセス制御),クラウドで用いられるRBAC(ロールベースアクセス制御)と比較しながらZTACの学習を図ります.座学だけでなくハンズオンや議論も組み込むことで,参加者がシステムアーキテクトの業務を体験可能なサイバー演習として設計しました.提案演習は大学院生/社会人に実際に参加者してもらい,セキュリティ経験の有無関係なく学習効果をもたらすことを統計的因子分析で確認しました.
参考