携帯電話は現代の職場において重要なツールであり、より近代的な職場はオフィスから外へとシフトしているため、なおさらです。地球上に存在する数十億台のモバイル端末は、今やPCの数をはるかに上回っていることを考えれば、企業の防衛システムの突破を試みる者達が脅威ベクトルとしてモバイルデバイスを選択するようになったことは、当然の結果と言えるでしょう。
このような攻撃から身を守るために直面する問題には、ほとんどのZero Trustソリューションにとって、モバイルは二の次として扱われていることが多いというものがあります。これらのソリューションは通常、インストールや管理が困難です。 WARPのようなソフトウェア層でしか機能しておらず、モバイル(およびデスクトップ)アプリはデバイスをZero Trustネットワークに直接接続します。さらに、多くの従業員が利用しているBYOD(Bring Your Own Device:私物端末の持ち込み)を考慮すると、事実上、会社のものではない端末にZero Trustの導入を試みることになります。
これは厄介な問題であり、ますます重要な問題でもあります。しかし、この問題は私たちが支援できると考えています。
もし、雇用主が従業員に対して、「業務に関わるトラフィックをZero Trust保護が組み込まれたネットワークに誘導することに同意してくれれば、毎月のデータコストを負担する」と提案したらどうでしょうか。しかも、導入は超簡単。実際に活用するには、入社時の資料に埋め込んだQRコードを携帯電話のカメラで読み取るだけです。
それでは、今回は世界初のZero Trust SIMであるCloudflare SIMを紹介します。
Cloudflareの本来の姿として、ソフトウェア層とネットワーク層を組み合わせることで、セキュリティ、パフォーマンス、信頼性が向上すると考えています。すべてのモバイル端末を支える技術の基礎部分である(それほどではないが)粗末な SIMカードをターゲットにすることで、私たちは、モバイルの世界に前例のないレベルのセキュリティ(およびパフォーマンス)をもたらすことを目指しています。
脅威はますますモバイルへ
モバイルが新たな脅威ベクトルであるというのは、抽象的な話ではありません。先月、Cloudflareは 巧妙化したフィッシング攻撃の標的となった130社のうちの1社でした。この攻撃はモバイルを基軸としたもので、従業員は最初にSMSでアクセスし、この攻撃はこの二要素認証のSMSコードの流出に大きく依存していました。
私たちが知る限りでは、当社は侵害に至らなかった唯一の企業です。
その大きな理由に、私たちが多層的なZero Trust防御を継続的に推進しているというものがあります。現在の企業活動においてモバイルがいかに基盤となっているかを考え、私たちはこの分野でのZero Trustの防御をさらに強化することに力を注いでいます。このように、私たちはZero Trust SIMについて、スタックの異なるレベルにもう一つの防御層を設け、組織への侵入を試みる者をより困難にしようと考えています。Zero Trust SIMなら、次のようなメリットも享受できます:
- 従業員がフィッシングサイトやマルウェアサイトにアクセスできないようにする:デバイスから送信されるDNSリクエストは、自動的かつ暗黙的にCloudflare Gatewayを使用することになり、DNSがフィルタリングされます。
- 一般的なSIM攻撃の軽減:eSIM優先のアプローチにより、SIMスワップやクローン攻撃を防ぎ、SIMを個々の従業員の端末に固定することで、物理的なSIMにも同じ保護を提供します。
- Magic WANを介して、クラウドサービス、オンプレミスインフラストラクチャ、そして他のデバイス(IoTデバイスのフリートなど)への安全でIDベースのプライベート接続を可能にします。各SIMは特定の従業員に強く関連付けられ、既にWARPに対応している他のデバイスポスチャー信号と合わせてID信号として扱うことができます。
Cloudflareのセキュリティ機能をSIMレベルで統合することで、特にBYODが標準でもはや例外ではない世界において、チームはモバイル端末群をより安全に保護することができます。
Zero Trustは、ソフトウェア+オンランプでより効果的に
Zero Trust SIMは、モバイル端末のセキュリティ上の利点に加え、モバイルをCloudflare Oneプラットフォームへのオンランプのもう1つの柱へと変えます。
Cloudflare Oneは、単一で統一されたコントロールプレーンを提供し、企業のネットワーク、デバイス、インフラストラクチャに出入りするすべてのトラフィックに対してセキュリティ制御を適用することを可能にします。ログの取得も同様で、ログの取得場所やセキュリティの分析もすべて一箇所にまとめる必要があります。Cloudflare SIMでは、モバイルは企業ネットワークでトラフィックを受け渡すための単なる手段の一つとして扱われます。
ソフトウェアレベルではなくオンランプで動作することで得られるもう1つの大きな利点には、当社のNetwork-as-a-Serviceプラットフォームである Magic WANに接続されているクラウドインフラストラクチャ、データセンター、ブランチオフィスなどのインターネット上にはないサービスにアクセスできる柔軟性を得られるというものがあります。実際、内部ではZero Trust SIMの背後にある接続レイヤーを構築するために、お客様が使用しているのと同じソフトウェアネットワーク基盤を使用しています。これにより、新しいネットワーク・トンネリングプロトコルであるGeneveなどの新機能もサポートし、お客様がCloudflare Oneにインフラを接続する方法をさらに拡大することができます。
私たちは、Zero Trust SIMと従業員ID、および信頼できるハードウェアトークンとして機能する可能性をより強く関連付けることができるようになる IoT SAFE(また並行して行われるIoT以外の規格)のような、SIMカードをルートオブトラストとして使用できるようにする取り組みに従っています。
モバイル上で即座に(そして簡単に)Zero Trustを稼動
当然、どのZero Trustソリューションプロバイダーでも、モバイルの保護を約束しています。しかし、BYODの場合は特に、従業員を動かして運用まで持ち込むのは大変なことです。デバイスをオンボードにするためには、自身の携帯電話のアプリの設定を詳細に確認する必要があります。プロファイルの承認、証明書の信頼、(ほとんどの場合)成熟したモバイル端末管理(MDM)ソリューションの要件もあります。
インストールはとても面倒です。
さて、私たちはPCと同様に、携帯電話のクライアントソフトウェアを排除することを勧めているわけではありません。防御の層は少ないより多に越したことはありません。そして、携帯電話で確立されるWi-Fi接続のセキュリティを確保する必要があることに変わりはありません。しかし、大きな利点は、Cloudflare SIMを使えば、従業員たちはすべてのモバイルトラフィックに対して、CloudflareのZero Trustプラットフォームの裏でただちに保護されることです。
しかし、私たちが簡素化したかったのは、デバイスへのインストールだけではありません。それは、企業のITサプライチェーンについても同様です。
SIMカードに関する従来の課題のひとつは、最近まで物理的なカードであったことです。従業員に郵送しなければならず(現代におけるサプライチェーンのリスク)、紛失や盗難の可能性があり、なおかつ故障する可能性のあるカードです。従業員が分散している場合、これらすべてがさらに難しくなります。セキュリティは非常に重要ですが、デプロイが困難なセキュリティは無計画に、その場しのぎでデプロイされがちです。そして全くデプロイされないこともよくあることです。
しかし近年、現在出荷される最新の携帯電話はほぼすべて、eSIM、より正確には、esimeUICC (Embedded Universal Integrated Circuit Card)を備えており、動的に再プログラムできるようになりました。これは大きな進歩であり、2つの大きな理由があります。
- 物理的なSIMの物流上の問題(郵送、サプライチェーンのリスク、ユーザーにインストールしてもらうこと!)をすべて回避できる。
- QRコードや、現在モバイル端末に組み込まれているモバイル端末管理(MDM)、またはアプリ(例えば、当社のWARPモバイルアプリ)を介して、自動的にデプロイすることができます。
また、物理的なSIM(上記と同様のもの)の導入も検討しています。私たちはeSIMが未来だと考えていますが、特にその導入とセキュリティの利点を考えると、未来は必ずしも均等に分散するとは限らないと理解しています。私たちは、出荷する物理的なSIMが可能な限り安全であることを確認するよう努めており、この仕組みについては、今後数か月のうちに詳しくお伝えします。
従業員のプライバシーと透明性
当然のように、従業員が自身の端末を業務で使うことが増えています。また、雇用主は自社のリソースの安全性を確保したいと考える一方、従業員は仕事と私生活で使用するものが同じデバイスに混在する場合、プライバシーに関する懸念を抱いています。Tinderで行っている操作を上司に知られたくはないでしょう。
私たちは、双方の立場からどのようにアプローチしていくかを考えたいと思います。Cloudflare Oneの一部として高度なロギングが設定されており、これはCloudflare SIMにも拡張されます。現在、Cloudflare Oneでは、ブロックしたリソース(従業員を保護する脅威)のみを記録するよう明示的に設定することができ、それ以降にアクセスしたすべてのドメインを記録することはありません。私たちはこれを、雇用主と従業員の両方に対してできるだけ明確かつ透明性のあるものにして、Cloudflareの真のやり方である、プライバシーを侵害することのないセキュリティに取り組んでいます。
今後の展開は?
Cloudflareのどの製品にも言えることですが、まずは自分たちでテスト(知っている人には「ドッグフーディング」と呼ばれる)を行っています。フォーチュン1000社の30%以上にサービスを提供している当社に向けられるサイバーセキュリティに対する攻撃は、ますます巧妙に、そして増え続けています。私たちは、Zero Trust SIMの安全性と、何千人もの従業員への導入・管理を可能な限り容易にするために、最初にサービスを実行することが重要なステップだと考えています。
また、私たちはZero Trust SIMをIoTにも導入しています。現在出荷されるほぼすべての車両は、セルラー・コネクティビティが期待されています。SIMカードを搭載した決済端末が増えています。製造および物流全体での産業用デバイスの使用が増えています。IoTデバイスのセキュリティは ますます厳しい精査のレベルのもとに置かれる中、デバイスが接続できる唯一の方法が、CloudflareのZero Trust機能によって保護されている安全なものであることを保証することで、デバイスが次の大きなDDoSボットネットの一部になることを直接防ぐことができます。
私たちはZero Trust SIMを、世界各地での接続性を構築しながら、地域ごとにお客様に展開していく予定です(通信事業者の方:ぜひご連絡ください)。特に、既存のモバイル端末ソリューションを全く導入していない組織や、現在の状況をうまく機能させるのに苦労している組織には、是非お話を聞かせていただきたいと思っています。ご興味のある方は、こちらからご登録ください。