ゼロトラストを実装するには？ゼロトラストの実装パターンを洗い出してみた

ゼロトラスト化を進めてみたい、とお考えの方は多いと思います。ただ現状では、叶えたい「アクセス」のゼロトラスト化のパターンは、リモートアクセス、社内からのアクセス、クラウドへのアクセス、サーバ同士のアクセス、といったように千差万別です。アシストの考えでは、これらの多様なパターンをすべてきちんと網羅できる製品は、残念ながらまだ市場には無いのではないかと思います。

大手セキュリティベンダーの中には、GartnerがSASEとして定義するネットワークとセキュリティの様々な技術を企業買収によって網羅し、自社製品ブランド化している場合もありますが、実際には製品間の連携が容易ではなかったり、管理画面が複数あったり、思っていたものと違う、というギャップがあるかもしれません。

そのため現実的には、ゼロトラスト化を叶えたい領域について、優先順位をつけて導入していくことになると思います。大事なのは選択です。ファッションでも、ブランドを統一するかどうかに関わらず、インナーや靴下やバッグは機能を重視したり、トータルコストを重視したり、満足できるコーディネートを作っていくことは充分可能だと思います。

では、ゼロトラスト化にはどんな選択肢があるのでしょう。ここでは、データへのアクセスのパターンと、アクセスの影響範囲で考える方法を、5つ挙げてみます。

まずは、リモートアクセスの課題を解決するゼロトラスト化です。最近のランサムウェア被害の多くは、VPNの脆弱性や、盗んだクレデンシャル（IDやパスワードをはじめとする認証情報）を用いた不正アクセスによって発生しています。この課題を解決する選択肢として注目されているのが、SDP（ソフトウェア・ディファインド・ペリメタ）やZTNA（ゼロトラスト・ネットワークアクセス）と呼ばれる仕組みです。

SDPやZTNAは簡単に言うと、アプリケーションの脆弱性の利用や、DDoS攻撃を防止するために、正規のユーザーが壁の前に立って秘密の呪文を唱えないと秘密の扉が開かないようにする仕組みです。まず、内部ネットワークへのアクセス侵害のきっかけとなりうる、サーバなどのリソースを全てファイアウォールの内側に隠します。そして、インターネット越しにアクセスしてくるユーザーに、強固な端末認証を通過させます。ユーザーはこのユーザーの端末専用に作られた一本道を通って、隠されたリソースにアクセスします。専用の一本道なので、サイバー攻撃者が使うことはできません。

VPNでテレワークを行う組織が多い今、Botや脆弱なIoT機器を使って大量のアクセスを仕掛けるDDoS攻撃は脅威です。実際にアシストのお客様も、リモートアクセスのゼロトラスト化は比較的高い優先順位で対応したいとおっしゃることが多いと感じます。

次に、インターネットアクセスのゼロトラスト化です。ユーザーが、メールやブラウザでインターネットを利用する際、マルウェア感染やクレデンシャルの窃盗といった被害に遭う前にこれを検知しブロックするか、もしくは無害化する仕組みです。

ゼロトラストの原則で言うと、「信頼できるまでは」端末にメール添付ファイルやWebページのコンテンツがダウンロードされ、実行されることを防止しなければなりません。そのためには、従来のプロキシにおけるフィルタリング機能などにより、きめ細かい網目で脅威の侵入を防御する必要があります。Webコンテンツの中に攻撃コードが混入していないかをスキャンしたり、脅威情報のデータベースとも言えるスレットインテリジェンスでアクセス先やリンク先を評価したりする仕組みです。なお最近では、悪意のあるサイトを含む、多くのWebサイトがHTTPSにより通信をエンド・ツー・エンドで暗号化しているため、WebプロキシにSSLインスペクションの機能を持たせて通信内容を復号化し、様々な角度からセキュリティスキャンをかける仕掛けもあります。しかし、そこまでしても、ゼロデイ攻撃については防御と検知がやはり困難です。

そこで注目されているのがインターネットWebアクセスをセキュアにするSecure Web Gateway（SWG）や
Remote Browser Isolation（Web分離、RBI）と呼ばれる「無害化」の仕組みです。できたばかりのWebサイトや、ユーザーがコンテンツを投稿できるようなSNSなど、アクセス先のドメインがスレットインテリジェンスで「高リスク」と判定された場合は、クラウド側で待機しているブラウザコンテナでアクセス先のWebコンテンツを実行し、結果の画面だけを端末に送付するRBIを使ったり、ユーザーがアクセス先のページにパスワード情報等を書き込むのを防止するために読み取り専用にしたり、ダウンロードファイルに含まれるマクロ等の実行コードを取り除く無害化処置をすることで、ユーザーのインターネットアクセスを安全にすることができます。

2）でインターネットアクセスのゼロトラスト化について触れましたが、インターネット利用にあたり注意すべきは、マルウェア感染だけではありません。組織のデータはクラウドサービス側への移行が進んでいます。データの管理はクラウド事業者ではなく、ユーザー組織が適切な設定と運用を実施して守る義務があります。クラウドからの情報漏洩はほぼ全てクラウドサービスのユーザーの設定や操作のミス、ルール違反や不注意によって発生します。これらはゼロトラストで守るというよりも、Cloud Access Security Broker （CASB）やData Loss
Prevention （DLP）、Cloud Security Posture Management （CSPM）、といったテクノロジーを適材適所で利用します。ユーザーが組織のデータガバナンスに違反せずにITを利用できるよう、車に例えれば、スピードを出しすぎると音で知らせたり、ぶつかりそうになったら自動で止まったりするブレーキのように、セキュリティインシデントを未然に防ぐ安全装置の役割を果たします。

そして、これらのインターネットの安全で快適な利用をサポートするのが、Gartner版ゼロトラストとされる、「Secure Access Service Edge（SASE、サシー）」と呼ばれるクラウドサービスです。全てのリソースへのアクセスを、これまでのように自社データセンターのセキュリティ機器に集約させるのではなく、テレワーク先や拠点からインターネット経由でSASEのサービスに直接ブレークアウトすることで、全てのインバウンド・アウトバウンドのセキュリティを担保しながら、通信最適化により快適な利用も実現します。

PEPやネットワークの構成によって、内部ネットワーク同士のアクセスをゼロトラスト化する場合があります。
PEPはゼロトラストのコンポーネントの1つで（※参考：ブログ「ゼロトラストアーキテクチャとは？主要コンポーネントを図解してみた」）、端末、リソース、中間のゲートウェイのいずれかに導入し、アクセス要求を検証して通信を制御する役割を果たしますが、導入にはネットワークの構成やシステムの変更を伴う点に注意が必要です。そのため、既存のITの制限や担当部署の管轄の問題などによっては導入が難しいケースも考えられます。

そこで、もしネットワークインフラの変更が可能なのであれば、以下のような構成も考えられます。こうすることで、オフィスのネットワークは端末がインターネットにアクセスするための最低限のネットワーク機器だけを運用し、オンプレミスのサーバ類はネットワークごとIaaSに移管することが可能になります。

・内部ネットワークのセグメント同士の直接の通信経路は閉じる
・内部のリソースへの通信であってもまずはインターネットに出てSDPの認証サーバで認証を受けてから、
　ファイアウォールの裏側に控えている特定のリソースにアクセスする

このようなネットワークインフラの変更が難しい場合は、内部ネットワーク同士の通信でもPEPが中間に入ることができるようゼロトラストを設計します。

　・セグメントはユーザー端末、データやコンテンツの機密性分類、アプリケーションごとに作成
　・セグメント間のトラフィックを検査するゲートウェイを配置
　・ゲートウェイ間のアクセスポリシーをSoftware Defined Network （SDN）で一元的に管理
　・SDNのアクセスポリシーをPDPが信頼とリスクのレベルに応じて動的に運用

セグメントへのインバウンドとアウトバウンドの通信をゼロトラストの原則に基づいて制御するため、ゲートウェイには、認証・認可、アプリケーションレベルの通信監視、ログ取得ができる次世代ファイアウォールと同等の機能が必要です。端末のネットワークセグメントにおいては、マルウェアが横展開するのを防止するために、各端末にEDRを導入して振る舞い検知を行い、異常行動が確認された場合、EDRの機能でネットワークから切り離すなどの対応が求められます。

最後に、マイクロセグメンテーションと呼ばれる仕組みです。

従来のアプリケーション開発を建築に例えると、まずは家を立てて、必要に応じてその家を増改築したり、内装を変えたりするなどの拡張や変更を行うイメージでしたが、CI/CD（テスト含む継続的な開発と供給）などと言われるモダンアプリケーション開発では、壁紙を変えたいならば剥がして張り替えるのではなく、使いたい壁紙を使った部屋（コンテナ）ごと新たに作って置き換えをします。コンテナは最小のコンポーネント単位で作られ、一度作ったら変更しません。作る時点での最新パッチが適用され、既知の脆弱性がない状態です。これら個々のとても小さなコンテナを、外部の信頼できない端末やアプリケーションのアクセスから守るのがマイクロセグメンテーションと呼ばれる仕組みです。

マイクロセグメンテーションの仕組み
・コンテナ＝最小単位としてグループ化（ポッド）
・PDPから制御されるPEPがプロキシとなる
・ポッド外とのインバウンド・アウトバウンド通信は以下の両軸で制御
・ネットワークレベル：IPアドレス、ポート
・証明書やAPIキーなどの認証要素
・認可するアプリケーションレベルのアクションまでを制御

このようにして、アプリケーションを構成する最小単位となる個々のコンテナが、次世代ファイアウォールの機能で守られた状態となります。

ここまで、5つの実装パターンをご紹介しましたが、ゼロトラストに向かないパターンも勿論あります。広く色々な人に見て欲しくて一般公開しているWebサイトなどはそうですね。広く色々な人に見て欲しいのに、ゼロトラストの原則に即した認証の仕組みを取り入れるのはあまり考えられないことです。
ただ、このような場合でも、サイバー攻撃対策は必要です！
例えばDDoS攻撃などに備え、サブジェクトの特定はできなくても、スレットインテリジェンスを活用して攻撃を仕掛けてくるBotのIPアドレスをWAFやファイアウォールやその前段のCDNがブロックする、などの対策です。ゼロトラストにこだわらず、既に脅威だとわかっているものを排除する対策も、併せて考えていかなくてはなりません。

今回は、ゼロトラストを一つの製品で網羅することはそのパターンの多様性からまだ難しいことと、実装パターンとして以下の5つをご紹介しました。1）～3）はユーザーの業務、4）5）は構成や実装アプリケーションに依存するものと言えます。

1）リモートアクセスのゼロトラスト化
2）インターネットアクセスのゼロトラスト化
3）クラウドサービスの安全＋快適な利用
4）内部ネットワーク同士のアクセスをゼロトラスト化
5）アプリケーションをマイクロセグメンテーション

ゼロトラスト化を進めてみたい、とお考えの皆様、パターンは環境や状況によって様々です。
ぜひ現状の振り返りと、ゼロトラスト以外の他の対策も併せた優先順位をご検討ください！アシストがご相談をお受けいたします。