出典: JYPIX via Alamy Stock Photo
プライベート5G接続は、空港、工場、キャンパス、港湾などの大規模な物理サイトを運営する組織にとって、変革的な利益を約束します。高容量、低遅延のパフォーマンスとユビキタスなカバレッジにより、プライベート5Gは自動運転車、拡張現実、モノのインターネット(IoT)アプリケーションなどの次世代のユースケースを可能にし、これらの要求の厳しい環境でWi-Fiをしばしば凌駕します。
これらの約束とともに、これらの高度なネットワークを保護するという重大な課題が伴います。プライベート5Gがパイロットプロジェクトから本格的な展開に移行するにつれて、CISOはこの接続性の飛躍に伴う新たで複雑なリスクを管理する任務に直面しています。
技術はオフィスビルでのスモールセル展開の初期段階をはるかに超えて進化しました。今日、プライベート5Gは運用価値と効率性の期待により世界的に採用されています。ジュニパーリサーチのアナリストは、この世界的なモバイルプライベートネットワーク市場が今後5年間で283%の収益成長を遂げると予測しており、エンタープライズストラテジーグループのネットワーキング主任アナリストであるジム・フレイは、プライベート5Gが採用者に「大きな運用価値」を提供していると述べています。
しかし、組織がこれらの利益を追求する際には、より広い攻撃面、未知のプロトコル、拡張されたデバイスとサービスのエコシステムに伴う新たなセキュリティ要求を乗り越えなければなりません。
関連記事:TenableがAIセキュリティスタートアップApexを買収
組織にはプライベート5Gを展開するための3つの主要なオプションがあり、それぞれコスト、コントロール、セキュリティに対する異なる影響があります:
-
完全に孤立したプライベート5Gネットワークで、ローミングが設定されない限り公共ネットワークへの接続はありません。通常、最も安全なモデルです。
-
モバイルオペレーターからのネットワークスライスで、専用機器を必要とせず、セキュリティ責任の多くをオペレーターに移します。
-
プライベート5Gラジオと5Gコアの柔軟なオプションを組み合わせたハイブリッドアプローチ。
プライベート5Gネットワークは、ユーザーが公共の5Gネットワークにローミングできるように構築されることがあり、これによりモビリティが向上しますが、関係する企業に追加のリスクをもたらします。
出発点としての組み込みセキュリティ
プライベート5Gネットワークは公共の5Gネットワークと同じ標準開発プロセスの対象となるため、その設計において安全であるべきです。モバイル標準団体3GPPは、5Gの仕様に初めてモバイルプライベートネットワークを含めました。これは、プライベートネットワークが公共ネットワークと同等に安全であるという前提に基づいています。
拡張認証プロトコル(EAP)フレームワークは、最初の5G 3GPPリリース(リリース15)で導入され、後のセキュリティ対策の基礎を提供しました。リリース16と17には、モバイルプライベートネットワークのセキュリティに大きく焦点が当てられています。プライベート5Gネットワークを介して送信されるデータはデフォルトで暗号化されます。
関連記事:Tenableがサードパーティコネクタをエクスポージャーマネジメントプラットフォームに追加
“5Gは適切な組み込みセキュリティを提供するように設計されています,” とモバイルオペレーターを代表する組織であるGSMAの技術セキュリティディレクター、アレックス・リードベターは言います。”グリーンフィールドの5Gがある場合、セキュリティの選択肢は非常に良いです。公共ネットワークに統合したい場合、それは別の会話です。”
プライベート5Gは攻撃面を拡大する
安全なネットワーク設計のための構成要素は存在しますが、プライベート5Gネットワークを展開することは組織の攻撃面を拡大します。5Gプロトコルは安全かもしれませんが、これがデバイスやワークロードが安全であることを意味するわけではありません。そして、5Gが仮想化、ネットワークスライシング、ソフトウェア定義ネットワーキングをより多く利用するため、新たな種類の攻撃に対して脆弱になる可能性があります。
例えば、偽の基地局が設置されてネットワークトラフィックを傍受する可能性があります。セル半径の大きさのため、これらは企業の物理的なフットプリントの外に設置される可能性があり、脅威アクターが設置しやすく、現地訪問で物理的に特定するのが難しいです。
リードベターは、脅威アクターがプライベート4Gまたは5Gネットワークの不正基地局を通じて害を及ぼすことはできないと主張していますが、脅威研究者は、ネットワークが安全に構成されていない場合に悪意を持って不正基地局を設置するために利用される可能性のある脆弱性を指摘しています。
関連記事:攻撃者と防御者がAIを活用してアイデンティティ詐欺と戦う
さらに、SIM、デバイス、アプリケーションがターゲットにされる可能性があります。実際、多くのIoTおよび運用技術(OT)デバイスは強化されておらず、脅威アクターはこれらのデバイスを企業ネットワークへの侵入点としてますます狙っています。レガシーキット(2G、3G、またはOT)の使用は、組織がモビリティ戦略で直面するセキュリティ課題の大部分を占めているとリードベターは言います。
欧州連合のサイバーセキュリティ機関であるENISAは、5Gが標準化された直後にそのセキュリティを調査し、その段階でも、サービス拒否、脆弱性の悪用、傍受、ビジネスの回復力の問題(ネットワークの要素の停止など)を含む48の関連する脅威タイプを見つけました。これらはプライベート5Gを含むあらゆる企業ネットワークに適用されるため、少なくともCISOにはよく理解されています。
しかし、トレンドマイクロの副社長であるスティーブ・ネヴィルは、プライベート5Gは脅威アクターにとって「企業への道」であると主張しています。
“プライベート5G展開の運用フェーズに入るとき、” 彼は言います, “反応しなければならない脆弱性の種類は、OTデバイスのように異なる通信プロトコルを使用し、プライベート5G展開前にはそれほど広範には接続されていなかったかもしれない他のIT資産と比較して非常に異なります。実際、執筆時点で、トレンドマイクロの子会社であるCTOneによると、企業のプライベート5Gネットワークを脅威アクターにさらす可能性のある10の製品脆弱性が存在しました。
CTOneは、人工知能、自律型誘導車、拡張および仮想現実アプリケーション(高いレベルの一貫したパフォーマンスを必要とする)を使用する顧客のケースを報告しており、そのプライベート5Gエンドポイントの1つから始まるSYNフラッドおよびピンフラッド(DDoS)攻撃によって妨害されました。幸いなことに、パケットの洪水は、無線アクセスネットワークとアプリケーションの間にファイアウォールが設計されていたために発見されました。トラフィックはブロックされ、破損したエンドポイントはネットワークから切断されました。
“攻撃されることを予期し、その潜在的な影響が壊滅的なものに近づく可能性があると考えてください,” とUScellularの最高技術責任者であるマイク・イリザリーは言いました。”最悪の事態に備えて計画を立て、すべてが整っていることを確認してください:プロセス、ツール、あなたの人々のためのトレーニング、そしてインシデント対応。”
表面的には、企業はすでにプライベート5Gネットワークからのリスクを軽減することに大きく焦点を当てています。トレンドマイクロが今年初めに実施した調査によると、プライベート5Gネットワークを持っているか評価している組織は、セキュリティ予算の18%をプライベート5Gネットワークの保護に費やしていました。しかし、これらの調査結果は企業によって自己報告されたものであり、支出を過大評価することが知られている手法です。
技術的な解決策は存在する
プライベートモバイルネットワークに存在する攻撃面の増加にもかかわらず、組織が重大なセキュリティインシデントのリスクを軽減するのを助けるための広範なツールとプロセスが利用可能であると、書籍「プライベートネットワークのためのモバイル通信システム」の著者であるスリニヴァサン・バラスブラマニアンは言います。これらのツールと実践の多くは、企業のセキュリティチームによってIT資産の残りを保護するために広く使用されていますが、組織は5Gに特有の構成にも対処する必要があります。
“5Gネットワークを追加することで攻撃面が増加します,” とバラスブラマニアンは言います。”そこにあるさまざまな種類の攻撃を通じて、5Gがそれらの脅威ベクトルにどのように役立つかを確認しようとします。基本的に… [良い実践は] VLANを分離し、資格情報配布管理を行い、それをMDM [モバイルデバイス管理]プラットフォームに入れ、RADIUSサーバーを統合することです。つまり、従業員が退職したり、誰かが悪意を持って行動したりした場合、その[可視性]は単一のガラスのパネルであるべきです。私たちは[Wi-Fiと5G]のすべてを管理するための単一のガラスのパネルを望んでいます。”
5Gのセキュリティ機能の効果的な実装によってもたらされるゼロトラスト機能は、CISOがプライベート5Gネットワークを保護するのに役立つとバラスブラマニアンは付け加えます。
“5Gに関しては、いつでもゼロトラストのシナリオです,” と彼は言います。”攻撃者が正面玄関から入ったからといって、プラットフォーム内のすべてにアクセスできるわけではありません。したがって、パズルの異なる部分を保護することが目的であり、もしハッキングが発生した場合 — それが起こらないことを願っていますが — それはまだ1つの場所に限定され、すべてに広がることはありません。”
パリに拠点を置くP1セキュリティの5Gスペシャリストであるエル・メフディ・レグラグイは、CISOがインストール中に使用されるデフォルトのアカウントと資格情報を削除し、初期接続やパフォーマンステストにのみ必要なポートを閉じるべきだと推奨しています。CISOはまた、ネットワーク上のすべてのデバイスがソフトウェアの部品表と共に提供されることを確認し、新しい脆弱性を監視し、IoTデバイスの定期的なペネトレーションテストを実施し、IT環境とプライベート5Gネットワークの間で許可された安全な接続のみが確立されるように安全なネットワーク境界を確立するべきです。
これらすべては、CISOの役割がさらに大きくなることを意味します。プライベート5Gネットワークは、組織が革新し、業務をより迅速に行う機会を提供します。理論上、追加のリスクを軽減するためのツールは存在しますが、現実はそれほど単純ではありません。
機会は明確である一方で、プライベート5Gは、変革チームのビジネスニーズとCISOのリスクベースの要件との間で組織をトレードオフに設定します。
翻訳元: https://www.darkreading.com/cyber-risk/securing-private-5g-networks-new-challenges-for-cisos