ソリューション

ゼロトラスト

ゼロトラスト | Eclypsium

ファームウェアが識別された後は、Eclypsiumを使用して、企業デバイス内部のファームウェアのセキュリティと完全性を簡単に検証できます。Eclypsiumは、古いファームウェアや脆弱なファームウェア、リスクを招きかねない設定ミスなどがあるデバイスを自動的に検出します。次に、ファームウェアが既知または未知の脅威による改ざんや侵害を受けていないことを自動的に検証します。

情報セキュリティの担当者は、「デフォルトで拒否」という概念は認証の問題であると考えています。広義ではその通りです。しかし、従来の認証要素を使用してのエンティティ(それがユーザーであれデバイスであれ)の「認証」という行為のその先を考える必要があります。認証が「主張されたアイデンティティの確認」を意味するのであれば、その主張されたアイデンティティに関連するすべての要素を確認する必要があります。これには、ベアメタルハードウェアとそのさまざまなコンポーネント、ハードウェアの動作を規定する下層レイヤーの組み込みファームウェアなども該当する場合があります。これらが改ざんされていないことを保証する必要があります。

「デフォルトで拒否」の原則は、署名や設定が正しくない、または認証されていないファームウェアの実行を許可すべきではないことを意味します。つまり、そ のファームウェアが搭載されているデバイスの起動を阻止する必要があります。

「コンテキスト認証」という概念をファームウェアに適用する場合、そのアプローチは他とは異なります。コンテキスト認証とは、「検出されるリスクや脆弱性のレベルが変化した場合、昨日許可された認証が今日は機能しない可能性がある」ことを意味します。ファームウェアに着目して考えると、あるデバイスがネットワークへの接続を試みた場合には、ハードウェアレベルとファームウェアレベルでのレビューが必要です。且つ、脆弱性だけではなく、異常や設定ミスについてもレビューする必要があります。もしもそのデバイスに搭載されているファームウェアバージョンについて、脆弱性が高く悪用される可能性があることが最近明らかになった場合には、この認証要求は拒否されるべきです。

この種のファームウェアの脆弱性の例として、最近ではCVE-2019-3707が挙げられます。この問題では、DellのシステムおよびDell独自のリモートアクセス機能の使用をサポートするファームウェアに複数の脆弱性が発見されました。この例にコンテキスト認証を適用すると、影響を受けるファームウェアバージョンのいずれかが搭載されているDellデバイスについては、たとえ昨日はアクセスが許可されていたとしても、今日はネットワークへのアクセスを拒否することになります。

ネットワークに接続するノートPCには、10~20個の固有のファームウェアコンポーネントが含まれています。サーバーの場合には、30個以上も含まれています。そして、すべてのネットワーク機器やスイッチには、それぞれ独自のファームウェアやマイクロコードが組み込まれています。

もはや、「すべてのデバイスにはファームウェアがある」という認識だけでは不十分です。実際には、すべてのデバイスのすべてのコンポーネント — 大半のコンピュータに搭載されているユビキタスなUnified Extensible Firmware Interface(UEFI)からオンボードメモリに至るまで、さらにはネットワークコンポーネントからビデオドライバに至るまで — が独自のファームウェアを搭載しています。ゼロトラストを効果的に実践するには、コンポーネントの一つ一つについて、その完全性と、脆弱性の有無を評価する必要があります。少なくとも担当者は、使用しているシステムが依存しているファームウェアのコンポーネントとバージョンのインベントリを完全に把握していなければなりません。

ハードウェアの作成、展開、保守、および交換は、定期的な作業ではなく継続的な作業へと進化しており、現在ではオンデマンドで、ほぼリアルタイムで行われています。仮想環境では、数千台のサーバーが一瞬のうちに稼働を開始したり停止したりします。このとき、その基盤となる実在のファームウェアをチェックする必要があります。

デジタルトランスフォーメーションを促進するためには、企業ネットワーク内のすべてのデバイスは、動的、かつ場合によっては一時的であり、常時変化していると考えるべきです。静的なインベントリや頻度の低いインベントリでは、これらのデバイスとその内部の何百万行ものファームウェアの完全性を保護・保証することはできません。