Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
いかに機密情報を守るかは多くの組織にとって永遠の課題ですが、高度化するサイバー攻撃を全て防ぐことは困難を極めます。
より強固なセキュリティ環境の実現を目指して、近年ではゼロトラストと呼ばれるセキュリティの概念が注目を集めています。
この記事では、ゼロトラストを実現するために必要な「ゼロトラストアーキテクチャ」について解説します。
ゼロトラストアーキテクチャとは
ゼロトラストの概念に則したセキュリティ環境を構築するための要素や構造の総称と考えることができます。
NISTによるゼロトラストの定義
NISTでは、ゼロトラストアーキテクチャを以下の通り定義しています。
ゼロトラストの概念を利用し、コンポーネントの関係、ワークフロー計画、アクセスポリシー等を含むサイバーセキュリティ計画のことである。
出典:米国国立標準技術研究所(PwCコンサルティング合同会社訳)「NIST SP800-207」
出典:米国国立標準技術研究所(PwCコンサルティング合同会社訳)「NIST SP800-207」
システムのコンポーネントや機能以外にも、データや処理のフロー、ポリシーなどを幅広く包括しています。
デジタル庁が考えるゼロトラストアーキテクチャ
デジタル庁では、ゼロトラストアーキテクチャを下記のように捉え、運用方針を定めています。
クラウド活用や働き方の多様化で増大する脅威に適合するために、政府情報システムの内部における攻撃者の自由な行動を阻害しようとするセキュリティ対策の考え方である。
出典:デジタル庁「ゼロトラストアーキテクチャ適用方針」
出典:デジタル庁「ゼロトラストアーキテクチャ適用方針」
ゼロトラストの概念に則り、攻撃者が侵入した後の対処にフォーカスしています。
そのために権限を最小化し、内部の通信を常に検証するモデルをデジタル庁では作成しています。
組織のセキュリティ環境にゼロトラストの概念を取り入れるときは、ゼロトラストアーキテクチャの設計が必要となります。
ゼロトラストアーキテクチャの構築をどのように捉えるか
ゼロトラストアーキテクチャを構成する要素は多岐にわたり、関連サービスの内容や技術要素も非常に速いペースで進歩しています。
ただ、ゼロトラスト関連サービスを既存の境界型防御環境に導入し適切な運用を行なうためには、多くの検討事項が存在し、工数も必要です。
米Google社は2010年にゼロトラスト導入に着手した先駆けとも言える企業です。
高い技術力と知識を有する企業であることは間違いありませんが、そのGoogleでさえゼロトラスト環境を実現するために8年の歳月を費やしました。
もちろん、現在は最適化が進んだサービスが多数登場しているため単純な比較はできませんが、それほどまでに大規模な環境変更であるという例です。
ゼロトラスト関連のサービスをすぐに導入してゼロトラストが実現されるのではなく、長期的に検討や改善を続けることで、徐々にゼロトラストセキュリティ環境が実現されていくということを理解しておくことが大切です。
ゼロトラストアーキテクチャを構成する要素
ゼロトラストアーキテクチャを構成する要素として、下記4つがポイントとなります。
認証と認可
「認証」は利用者が正規のユーザーであることを確認し、「認可」はユーザーに対して権限を与えます。
認証フェーズで利用する基本的な技術は、多要素認証とシングルサインオンです。
多要素認証により認証セキュリティの堅牢性が大きく向上し、シングルサインオンにより利用者は何種類ものアカウント情報を管理する必要がなくなり、利便性が向上します。
認可フェーズでは、アクセスしているユーザーに対して、システム内のリソースに対するアクセス可否の判定を行ないます。
認証を通過したからといってすぐにアクセス権限を与えるのではなく、様々な要素を検証し、信頼性を確認します。
例えば下記のような状況では、疑わしいアクセスであると判定して認可フェーズを求める、アクセス権限を渡さない、という動作を行ないます。
- 利用しているデバイスは通常使っているものではない
- 日本在住の従業員アカウントであるのに、海外からアクセスされている。
- ウイルス対策ソフトやOSのバージョンが古い
- 資産管理ツールやEDRなどのエージェントが正常に動作していない
このように、認証を通過しても信頼せず常に検証を行なうことで攻撃のリスクを排除します。
このような機能を提供するためのサービスは、IAM(Identity and Access Management)が代表的です。
クラウド上で組織のポリシーを反映した認証と認可を適切に管理することができます。
ネットワーク
従業員の自宅やコワーキングスペースなどからの社内システムへアクセスする場合でも、各種クラウドサービスに分散されている環境を適切に保護する必要があります。
これを実現するためには、クラウド基盤上で構成されたセキュアなネットワーク環境が必要です。
ゼロトラストネットワークを実現するためのサービスは、「SASE(Secure Access Service Edge)」が代表的です。
「CASB(Cloud Access Security Broker)」や「SWG(Secure Web Gateway)」など、安全なゼロトラストネットワークを構築するためのソリューションとして活用が広がっています。
エンドポイント対策
エンドポイントデバイス(PCやスマートフォン)はマルウェアやフィッシング詐欺などの被害に遭いやすく、テレワークの普及によりターゲットとされることが増えている傾向にあります。
ゼロトラストでは、エンドポイントについても攻撃を受けることを前提としたアプローチを行ないます。
代表的なエンドポイント対策に、「EDR(Endpoint Detection and Response)」があります。
EDRは従来のウイルス対策ソフトと異なり、マルウェアに感染した後のデバイス遮断や管理者への通知、ログの収集を行ない、インシデント発生後の対応をサポートすることが主な役割です。
ログ収集
現在の環境でもログの収集・監視を行なうことは一般的ですが、ゼロトラストでは様々な場所にデータが存在し、アクセス元のデバイスの場所も限定されません。
そのため、クラウド上にログ収集基盤を構築し、各社内システムやクラウドサービス、エンドポイント端末のログを集約します。
ログ関連の機能を提供する代表的なサービスに「SIEM(Security Information and Event Management)」があります。
上述した多様なログを収集し、内容の分析や人間が状況を把握するためのUIが用意されており、ゼロトラスト環境の運用に重要な役割を担っています。
このように、ゼロトラストを実現するためには様々な検討事項が存在し、既存環境に必要な変更点も多数あります。
しかし、ゼロトラストは現代のビジネス環境に適応し、既存の境界型防御の課題を解決するメリットも多くあります。
ゼロトラストの実現は長期的な視点が大切
解説したとおり、ゼロトラストの導入には事前検討を含め、多くの工数や時間が必要になります。
自組織の現状や展望、在るべき姿によって、ゼロトラストアーキテクチャの設計は大きく変わります。IT部門の一業務ではなく、組織全体で長期的に取り組むことが重要です。
また今後、セキュリティ環境の主流としてゼロトラストが一般的に使われる可能性は十分にあります。
具体的にゼロトラストの導入を検討していない状態でも、ここで紹介した現状の分析や課題整理を行なっておくことで将来、ゼロトラストを導入する際に役立つでしょう。
関連する記事
