アイデンティティ保証によるデジタル運用の保護-バジルフィリップスへのインタビュー

キャスク 人とモノの両方にID保証を提供する次世代テクノロジーであり、インサイダー攻撃に対する防御を含む、セキュリティ、回復力、およびユーザビリティに関して、既存の製品よりも大きな利点があります。 COVID-19が原因でリモート作業およびコラボレーションプラットフォームへの依存度が高まっていることを考慮して、CasqueのマネージングディレクターBasil Philipszに、組織が防御を強化してオンライン資産を安全に保つ方法について話し合うよう依頼しました.

CASQUEの背景とこれまでの進化について教えてください. 

私たちは、セキュリティ関連の小さなプロジェクトを行うソフトウェア会社としてスタートしました。ドーバー港から大きなアクセスを得て、港へのアクセスを確保するというアイデアが実現しました。ドーバー港は、税関、貨物輸送、リース、保管などのさまざまな機能で働く約10,000人の非常に忙しい港です。したがって、私たちのプロジェクトは、物理的なアクセスを確実に保護するソフトウェアを作成することでした。物理的なバリアと回転式改札口を使用して、従業員が磁気カードを使用してIDとしても機能するようにする必要がありました。.

オフィスビルへの物理的なアクセスとは対照的に、コンピュータ上のデータリソースへのアクセスについて考える私たちの出発点でした。これにより、利用可能なものを検討する認証の一般的な問題について考えるようになりました。利用可能なすべてのソリューションに弱点があることは明らかでした.

製品が根本的に脆弱だった理由は、各認証方法を詳しく見ると、固定された秘密を保持することに依存していたためです。明白なのはパスワードですが、生物学的なテンプレートの場合もあれば、SecurIDトークンに埋め込まれたキーの場合もあります。これは、PKIインフラストラクチャの秘密キーである可能性があります。これらすべての方法の問題は、誰かが固定された秘密を発見した場合、セキュリティが破綻することです.

そこで、重要なキーを動的かつ瞬時に、透過的な方法で変更し続けることができるシステムをどのように設計できるでしょうか。それが私たち自身が設定した課題でした。この課題を解決するのに非常に長い時間がかかり、人々が固定キーしか使用しなかった理由がわかりました!.

非常に簡単に説明すると、動的にキーを変更することが非常に困難である理由と、人々がそうしない理由は3つあります。.

  1.   最初の最も重大な問題は、キーを変更するための指示を送信しても返信がない場合、不確定な状態のままになることです。キーが変更されたかどうかわからない.
  2.   2番目の問題は、ダイアログを開いてキーを変更し、キーが完了したことを確認することです。その対話中にどちらかの側で障害またはタイムアウトが発生した場合、どのように回復および復元しますか?これは動的更新の古典的な問題です.
  3.   問題の3番目のカテゴリは、脅威の機会に関するものです。それでは、攻撃者がこのダイアログの発生中に何が起こっているのかを見ていて、キーを変更するための指示をコピーしなければならないとしましょう。何が起こるかというと、将来、攻撃者はサーバーとクライアントの間に自分自身を介入させ、その古い記録されたコマンドを再生することになります。すべてが同期されないため、サービス拒否が発生します.

これらの問題を解決するために、4つの別々の発明が必要でした。それらの発明の1つは、米国とEUの特許を付与しています。つまり、コア手法は特許によって保護されています。しかし、私たちが私的なノウハウとして保持している他の3つの発明。特許を読んだだけでも方法論は理解できるかもしれませんが、実際に実装する方法はわかりません。. 

さらに、信頼できるソリューションがあることを人々に示すために、英国政府のセキュリティ専門家であるUK GCHQとの認証プロセスを経て、製品CASQUEのシークレットの使用が認定されました。この結果、CASQUE機能を利用する英国国防省でさまざまな特注プロジェクトを実施しました.

次のフェーズは、この別注タイプの作業から離れ、顧客が「そのまま」使用できる商用製品を製造することでした。これには、主要なネットワークゲートウェイメーカーとの統合が必要でした。 CASQUEはCISCO ASA、Fortinet Fortigate、Pulse Connectとの実証済みのインターフェースを備えています.

私たちが行った最新の統合は、WSO2によって作成されたオープンソースのIdentityプラットフォームへの統合です。つい最近、WSO2 Identityプラットフォームをこの市場セグメントのリーダーの1つとして評価したKuppingerColeから、積極的に賞賛されました。.

Casqueが実際にどのように機能するかを簡単にプレビューします。

企業または組織はどのようにしてテクノロジーを適用して資産を保護できますか?

このテクノロジーには、ソフトウェアコンポーネントとハードウェアコンポーネントがあります。したがって、ソフトウェアに関しては、2つのライセンスを提供します。最初のソフトウェア製品では、顧客は最初にトークンにキーセットを入力できます。これらのトークンはハードウェア要素です。お客様が独自のキーを設定できるように、実質的に「空白」でそれらを提供します。したがって、製造業者としてのキーとは何の関係もありません。つまり、第三者のリスクはありません。トークンには安全なチップが含まれており、非接触型スマートカードの形で実現できます.

私たちが提供する他のソフトウェア製品は、認証サーバーです。このソフトウェアはWindowsまたはLinuxプラットフォームで実行されます。もちろん、クラウド設定の仮想マシンでも実行できます. 

特定のゲートウェイとの接続以外に、CASQUEをOpen ID Connectフレームワークにプラグインすることもできます。 Open ID Connectは、連携ベースでID管理を行う方法です。それの素晴らしいところは、Amazon Webサービス、Google Cloud、Microsoft Azureが多要素認証を拡張するためのインターフェースとしてOpen ID Connectを採用したことです。だから基本的に何が起こるかです:

  • アマゾンウェブサービスにあるリソースにアクセスしてみます.
  • 特定の資格情報に特別なID認証が必要であるとマークを付ける.
  • アマゾンウェブサービスは、リクエストを私たちに渡します.
  • ブラウザを引き継ぎ、クライアントと話します.
  • CASQUEダイアログの後、問題がなければ、このユーザーをリクエストされたリソースに許可する必要があることをAmazonに伝えます.
  • さらに、より詳細なアクセスを可能にするために、追加の承認情報を提供することもできます.

ユースケースに関しては、この最近のコロナウイルスによって人々がより多くの在宅勤務を行うようになったことは明らかです。宿題をするのは素晴らしいことです。柔軟性があり、人々の私的な社会生活を仕事生活にうまく位置付けるのに役立ちます。しかし、これらすべてのプラスには、乱用や攻撃のリスクが伴います.

このような攻撃は引き続き発生します。たとえば、最新の統計によると、2020年3月に世界中で8億件を超えるデータレコードが侵害されました。これは現在進行中の問題です。問題は、なぜデータ侵害があるのでしょうか?明らかな答えがいくつかあります。それらの1つは、私が言及したこれらの認証技術は脆弱であることです。中国のハッキングRSAソフトトークンのケースで最近発見されたように、固有の脆弱性の結果、攻撃者を奨励します。これは、オランダのサイバーコンサルタント会社が特定したよく知られた違反のセットであり、LinkedInの投稿でそれについて書いています.

これらの認証方法に固有の脆弱性には、別の間接的なリスクがあります。なぜなら、インサイダーは常に誰かを非難することができるため、情報の漏洩に自信を持っているからです。 CASQUE製品には固定キーがないため、ハッカーが発見したり、インサイダーが開示したりすることはありません。だから私たちは大きな抑止力を持っています、私たちはアクセスを拒否して拒否する言い訳を削除します.

ブランドや企業がサイバーセキュリティ戦略を計画したいとします。彼らが考慮すべきいくつかのことは何ですか?

私達は良い戦略は最初に会社が所有する重要なデータ資産が何であるかを決定することだと思います。簡単な質問ではありません。それはあなたの会社の重要な資産が何であるかを実際に理解しているわけではないので、ああ、それはまあ、それはすべて財務的であるか、それが私たちのすべてのIPであると言うことはできません。問題は、特定のデータリソースにアクセスできなかった場合、マイナス面のリスクは何ですか。評判にリスクはありますか?運用上の問題や継続性に対するリスクはありますか?どのくらい早く回復できますか?これらは、質問し、優先順位を付ける質問です。これらの質問に十分に注意を払うと、失われた場合にどのデータが最も苦痛を与えるかがすぐにわかります.

これが明白でない理由の例を示すために、大手製薬会社のCスイートエグゼクティブに話を聞きました。彼はこの演習を行ったとき、すべての薬物が特許で保護されているか、または特許とジェネリックではないため、関連すると思われるデータのごく一部しか存在しないことがわかりました。彼らが偏執的だったのは、現在の薬物試験の試験結果だけでした。なぜなら、それらが漏洩した場合、競争相手は知っていて、裏をかこうとするからです。したがって、すぐに彼らは言うことができます、これらは保護を必要とするリソースであり、私たちはそれらに最強の保護を得る必要があります.

また、誰がデータクラウンジュエルにアクセスするかを決定する必要があります。明らかな質問のように思えるかもしれませんが、実際に検討する必要があります。多くの場合、重要なのは個々のデータではなく、誰がその個々のデータにアクセスできるかではないので、重要なのは集約データへのアクセスです。.

これらを確立したら、適切なソリューションの検討を開始できます。先ほど説明したように、さまざまな資産やさまざまな人々がさまざまなレベルの保護を必要とするため、私たちは組織全体のセキュリティ対策を実施するつもりです。しかし、それを強制するのは、どのセキュリティメソッドがどのユーザークラスに適しているかを判断することです。これにより、既存のIT構造と運用権限を確認できます。既存のITアーキテクチャの修正が必要な場合もあります.

COVID-19はあなたの業界にどのように影響すると思いますか?

将来を予測することは困難ですが、現在の危機は、大部分の作業をさまざまな時間や家庭で柔軟に行えることが明らかになったため、最終的に人々の働き方を変えると思います。したがって、従業員は雇用主のところに戻り、このパンデミックが発生したときにうまく機能したと思うかもしれません。より柔軟な方法で作業できるようにするためのルールがありません。ですから、この危機の結果として、柔軟でリモートで働くためのより大きな動機があると思います.

雇用主がどのように対応するかは別問題です。彼らは私たちが本当にあなたに戻って適切な時間を働かせる必要があると言っているかもしれません。または、彼らは言うかもしれません、大丈夫、それは有用であることが証明されています。異なる構造または一連の異なる作業慣行を構築する可能性があります.

ですから、効果はあると思いますし、セキュリティ対策の見直しが必要です。先ほど申し上げたように、機動的に働くことにはリスクが伴います。コラボレーションソフトウェアであろうとリモートワーキングソフトウェアであろうと、ソフトウェアの使用の増加により、知的財産の盗難を望んでいる人々により大きな攻撃領域が提供されます。.

 今後数年間でさらに見られると予想される興味深いトレンドやテクノロジーは何ですか?

さて、私が言及した明白な要因があると思います。それは、ID管理と、何が適切で何が本当に安全であるかという問題です。そして、それが私たちがソリューションを提供できる場所です.

大きなリスクの1つは、ピアツーピアで仕事をすることが奨励される可能性があることです。そのため、同僚と話したい場合は、同僚と直接会ってセッションを行うことができます。組織にとってこれらのピアツーピア交換が多い場合、何が起こっているのかわからないため、組織自体が制御を失うため、これは組織にとって危険です。そして、何が起こっているのかを知らなければ、それを制御することはできません。したがって、作業している企業データの場合は、会社のサーバーを経由する必要があるというこの原則が必要になる場合があります。私たちはあなたが何をしているのかわからないので、あなたはピアツーピア通信をするだけではいけません。記録がありません。訴訟がある場合、私たちは簡単に対応することができません.

したがって、その重要なデータサブセットが何であるかを決定したら、企業のデータセンターを通じてそれを管理することを検討する必要があります。それでは、次の一連の質問は、どのプラットフォームを使用するのでしょうか。多くのコラボレーションプラットフォームとプロジェクト管理タイプのプラットフォームが世の中にあり、最近成長しています。これらのプラットフォームの問題は、いったんサインアップすると、誰もが特定の選択したソフトウェアプラットフォームにサインアップする必要があるため、独自のスペースに閉じ込められる傾向があることです。そのため、サプライチェーンを導入する機能は難しいかもしれません.

そのため、互換性のあるデータ形式やAPIを操作する、より一般的な共有方法が必要になる場合があります。たとえば、プライマリサプライチェーンチャネルを通じて、これらのプラットフォームを社外に拡張できるようにする必要があります。重要なのは、参加者を承認および識別する方法を制御する必要があることです。独立したフェデレーションID機能がこの分野で役立つはずです.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author