【ゼロトラ】ゼロトラストのおさらい【初投稿】

こんにちは。ぜちちんと申します。

私ごとですが今までインプットばかりでアウトプットを避けてきたので、重い腰を上げて初投稿しようと思います。
初投稿の内容についても悩みましたが、少し前まで流行っていた(今も流行ってる？)ゼロトラストの知識の棚卸しをしていきたいと思います。

ゼロトラストについて知らない方、言葉だけ知っていて人に説明することはできない方向けに書いていこうと思いますので、本投稿が皆さんのゼロトラストの概念理解の一助になればと思います。

ゼロトラストとは?

まずゼロトラストを一言で言うと、「すべての通信を ”何も信頼しない” ことを前提にセキュリティ対策をする考え方」のことです。

これはアメリカの国立標準技術研究所（NIST）というところが2020年8月に公開した公開文書が基になっている考え方です。

ちなみに国立標準技術研究所（NIST）は主に米国の技術や産業、工業などに関する規格標準化を行い、IT分野の標準化についてもさまざまなガイドブックを作成しているところです。

そこがそれ以前から提唱されていたゼロトラストの概念をまとめたものが「NIST SP800-207」というガイドラインです。
参考：https://csrc.nist.gov/pubs/sp/800/207/final

なのでゼロトラストはここ4,5年で生まれて急激に広まった比較的新しいセキュリティの考え方ですし、当時から今も現在進行形で進化をしています。

今回は当初の基本的な考え方をまとめていきたいと思います。

NIST SP800-207 ゼロトラスト・アーキテクチャには下記のような基本的な7つの考え⽅があります。
・すべてのデータソースとコンピューティングサービスをリソースとみなす
・ネットワークの場所に関係なく、すべての通信を保護する
・企業リソースへのアクセスをセッション単位で付与する
・リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の⾏動属性や環境属性を含めた動的ポリシーにより決定する
・すべての資産の整合性とセキュリティ動作を監視し、測定する
・すべてのリソースの認証と認可を⾏い、アクセスが許可される前に厳格に実施する
・資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利⽤する

・・・文字で見るとめちゃくちゃわかりづらいですよね。笑

上記の内容を偉大な先人たちがわかりやすくまとめてくださっているのですが、
ゼロトラストを実現するために必要な要素を分類すると ID統制 , デバイス統制、 ネットワーク、 アプリケーション・ワークロード、 データの5つに分けることができます。

この5つの要素を柱に見立ててわかりやすく図にしているのが以下の画像です。 ¹

５つの柱の下にも可視性や分析などの土台はある程度必要なんですけれども、この５つの柱に支えられてゼロトラストの基盤が構築できるとされています。

つまりゼロトラストとは正解や完成系があるわけではなく、日本でも一般的なセキュリティマネジメントシステムであるISMSやPマークなどと同じようにセキュリティに関するリスクマネジメントの一環として取り組むべきものということです。

では次になぜゼロトラストの考え方が生まれたのかをまとめていきます。

ゼロトラストがなぜ生まれたのか?

従来のセキュリティ対策はいわゆる境界型セキュリティと呼ばれる、信頼できる「社内」と信頼できない「社外」にネットワークを分け、その境界線で対策を講じるというものでした。

内側は社内LANとADなどで信頼できる端末か判別し、信頼できればファイルサーバや基幹システムにアクセスすることができます。
外側はインターネットやクラウドサーバが該当し、その境界線にファイアウォールやプロキシなどのセキュリティ機器などを設置して通信の監視や制御を行うことで外部からのサイバー攻撃を遮断する考え方です。

従来は保護すべきデータやシステムがネットワークの内側にあることを前提としているので守るのが楽だったのですが、クラウドが普及してきたことによりビジネスアプリがクラウドサービスになったり、オンプレサーバーをクラウドに移行するなど、ネットワークの外側であるインターネット上に企業の保護すべき情報資産が存在するケースが増えました。

またモバイルデバイスの普及により社外から社内のシステムにアクセスするためにVPNを使用するケースが増え、ビジネスアプリを使用するためには一度VPNで社内のネットワークに接続してから社外のネットワークに出ていくような二度手間が発生するようになりました。
本来直接社外のインターネットアクセスできれば良いところをわざわざ遠回りする必要があるということです。

ここに追い打ちをかけるようにコロナによってリモートワークが普及したことでさらにクラウドサービスを利用するケースが増えて、境界が曖昧になり範囲を指定して守る従来の考え方では十分な対策ができないことからゼロトラストの考え方が広まりました。

ですので、右側の図のようにもう社内外のすべての通信を信用せず、各端末や各通信ごとのアクセスのたびにその正当性をチェックして認証を行うようなセキュリティモデルがゼロトラストになります。

そしてそのチェックすべき要素が先ほど挙げた5つの柱ということになります。
・ID統制
・デバイス統制
・ネットワーク
・アプリケーション・ワークロード
・データ

次はこの5つの要素についての深掘りと関連するソリューションを紹介したいと思います。

ゼロトラストを構成する5つの要素

ID統制

ゼロトラストの考えの中で最も重要と⾔えるのがID統制です。
従来の境界型セキュリティにおける信用できるネットワークが存在しないというゼロトラストの概念において、 「誰が」 アクセスしようとしているのかを通信ごとに識別し認証・認可を⾏うことがとても重要になります。
アカウントの権限によっては機密性の高い情報にアクセスできてしまいますし、アカウントを乗っ取られて悪用されてしまうと社内リソースへの侵入に気づくことができずマルウェアなどの脅威に晒される可能性があります。

関連するソリューション

IDaaS (Identity as a Service)

デバイス統制

ゼロトラストの考えの中で次に重要と⾔えるのがデバイス統制です。
ID統制で「誰が」アクセスしようとしているのかをチェックしていましたが、 デバイス統制では「誰が」 「どの端末で」 アクセスしようとしているのか通信ごとに識別し認証・認可を⾏います。
またアカウント情報が正しくても、安全性の低いデバイスで社内リソースにアクセスしてしまうと危険ですので、紛失時の対策やデバイスOSの脆弱性からの侵入を防ぐために常にアップデートするなどのデバイス自体の安全性を定期的にチェックする必要があります。

関連するソリューション

MDM (Mobile Device Management)
EDR (Endpoint Detection and Response)
MTD (Mobile Threat Defense)

ネットワーク

従来の境界型セキュリティではVPNの認証を突破してしまうと社内ネットワーク内を横方向に移動して、機密度の高いアプリや機密情報などにアクセスできてしまいます。
またVPN製品自体の脆弱性を利用したサイバー攻撃も数多く起こってることから脆弱性をなくすためのセキュリティパッチを高頻度で更新する必要があり、利用者数や時間帯における通信量の変動を見越した帯域幅の管理など、物理的なコストのみならず人的なリソースに関しても運用コストとして発生します。
そのためゼロトラストでは通信ごとに識別し認証・認可を⾏い、「誰が」「どの端末で」 「どこから」 アクセスしているのかを把握・管理する必要があります。

関連するソリューション

ZTNA (Zero Trust Network Access)
SWG (Secure Web Gateway)
CASB (Cloud Access Security Broker)

アプリケーション・ワークロード

アプリケーションについても人によるアクセスと同様にできるだけ制限をする必要があります。
アプリケーションの脆弱性を利用したサイバー攻撃も頻発しているのでアプリケーションのバージョンについても定期的な監査を実行し、最新のセキュリティアップデートが適用されていることを確認することで安全にアプリケーションを使うことができます。
つまり「誰が」「どの端末で」「どこから」 「なんのアプリに」 アクセスしているのかを把握・管理する必要があります。

関連するソリューション

IAP (Identity Aware Proxy)

データ

ゼロトラストではすべての通信を何も信頼しないため、社内IT環境を構成する機器から日々ログを集約・分析することで内部犯⾏者や攻撃者によるサイバー攻撃の早期検知や、持ち出されたとしてもデータを閲覧させないといった対策をすることができます。
またそれらのデータを元に、恒久的な対策や各関連するソリューションの管理、移行検討を⾏うことでゼロトラストを維持することができるのです。

今までの要素を全てつなげると、
「誰が」「どの端末で」「どこから」「なんのアプリ」にアクセスしていたのかを ログを集約・分析し、把握・管理 をする必要があるということです。

関連するソリューション

DLP (Data Loss Prevention)
SIEM (Security Information and Event Management)

まとめ

だいぶ長くなってしまいましたがいかがだったでしょうか？

冒頭ゼロトラストとは一言で言うと、「すべての通信を ”何も信頼しない” ことを前提にセキュリティ対策をする考え方」とご紹介しました。

ですが、「すべての通信を信頼しない」というよりは「すべての通信を信頼しないがゆえに すべての通信を確認した上で認証・認可を⾏うべきという考え方 」とも言えると思います。

ですがいきなりすべての要素をゼロトラストにすることは容易じゃありません。
おそらく多大な工数と金額がかかり、エンドユーザの業務への影響も発生します。（精神的にも...）

そのため、まずは認証・認可を適切に⾏うための土台となる ID統制 と デバイス統制 に関連するソリューションを優先的に導入することをおすすめします。

「誰が」「どの端末で」業務をしているのかを把握・管理することができれば、ネットワークやアプリへのセキュリティ対策が一気にしやすくなるからです。

これからも継続的に投稿していこうと思いますので生暖かい目で見守っていただければと思います。

最後まで読んでくださりありがとうございました！

1. 出典 CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY | ZERO TRUST MATURITY MODEL ↩