テックノート

  • セキュリティ/仮想化
2021.09.10

アシストが考える最速・最適なゼロトラストの実現方法とは(前編)

アシストが考える最速・最適なゼロトラストの実現方法とは(前編)



今セキュリティ分野で話題のゼロトラストですが、単なるバズワードではありません。今から10年前の2010年には、社外の脅威から社内を守るこれまでの境界防御型のセキュリティ対策には限界があり、「信用を前提としない」考え方であらゆるロケーションからのデータアクセスの安全化を図るための対策が必要なことはすでに提唱され始めていました。

本記事は、いま話題のゼロトラストが具体的によくわからないというお客様からの声にお応えするもので、ゼロトラストが注目されるようになった背景や、ゼロトラスト提唱の歴史を交えながら、最速かつ最適な状態でゼロトラストを実現するにはどうすればよいのかをテーマに解説します。特に、クラウドシフト、テレワーク推進を強化されているお客様のセキュリティ対策強化の一助になれば幸いです。


今なぜゼロトラストが注目されているのか

以下の図では、一般的な境界防御型セキュリティ対策のシステム構成を表しています。これまで主流だった業務環境では、会社の資産(インフラ、ミドルウェア、アプリケーションとその上にあるデータ)が社内ネットワークの中に保持され、システムのユーザーとなる社員が出社して社内ネットワークに接続された端末を利用していました。社内は信頼できるゾーン内である一方で、社外(インターネット空間)は危険な領域であるという定義をしていたため、端末や資産が存在する社内を守るためには、社外と社内の境界にある入口・出口をゲートウェイという形でファイアーウォールを設置し、サンドボックス系の製品でマルウェア対策をしてきました。これがいわゆる「境界防御型セキュリティ対策」と呼ばれるものです。

ところが、クラウドシフトでSaaS、PaaS、IaaSの利用促進が進み、社内にあった資産が外へ飛び出し、今まで危険とされてきたインターネット空間で業務を行う状況に変わりました。また、クラウドシフトに加え、コロナ禍が後押しする形でリモートワークの普及が進み、業務環境が一変します。出社が当たり前だった働き方から、持ち帰った端末で自宅やカフェからWi-Fi経由でインターネットに直接アクセスしたり、VPN(暗号化された専用線)経由で社内ネットワークに入り作業を行う、いわゆるインターネット空間で業務を行っている状況に変わったのです。

これまでのように、社内ネットワークの中だけを守っていればよいという考え方では立ち行かなくなり、社内・社外問わず、すべての通信をしっかり検証すること、また、性善説ではなく性悪説に基づき「信用を前提としない」というゼロトラストの考え方が注目を集めるようになりました。

▼従来型モデルとの違いについてはこちらもご参照ください(ITセキュリティ女子のブログより)
ゼロトラストモデルとは?基本モデル、従来モデルと比較してみた

ゼロトラストの歴史、実践的な定義の登場

ゼロトラストはバズワードではありません。2010年に米国FressterResearch社のジョン・キンダーバーグ氏が境界防御型セキュリティ対策の限界に気付き、ゼロトラストを提唱したのが始まりです。


その後、様々なベンダーがそれぞれのゼロトラストの解釈でソリューションを発表しましたが、2018年に大きな動きがあります。キンダーバーグ氏と同じForrester Research社で、ゼロトラスト博士で有名なチェイス・カニンガム博士が「ゼロトラスト・エクステンデッド・エコシステム(ZTX)」の第1版を発表したのです。カニンガム博士はZTXの中で、ゼロトラスト化に必要なコンポーネントと機能を明確に示し、それらの機能を提供できるセキュリティベンダーもリストアップしました。ゼロトラストを導入したい組織はZTXを参考に目的に応じたベンダーを選んでいくことによってゼロトラストを実現できる実践的な内容として、以降2020年までアップデートされていきます。

また、2019年にはNIST(アメリカ国立標準技術研究所)がSP800-207という文書を公開しました。これはゼロトラストの概念を体系立てて標準化したものであり、現在のゼロトラストの教科書的な位置づけになっています。

同じ2019年には、米国の調査会社であるガートナー社がSASE(Secure Access Service Edge:サシー)というネットワークとセキュリティを中心としたゼロトラストの実現方法を提唱し、SASEソリューションとして体系化されています。

ゼロトラスト化に必要な7つの機能


さてここから、「ゼロトラストに必要な機能とは何か」をご理解いただくために、ゼロトラスト・エクステンデッド・エコシステム(ZTX)とSP800-207を少しかみ砕いてご説明します。


ZTXで提唱されたゼロトラストに必要な7つの機能


カニンガム博士が発表したZTXは英文で15ページほどの文書です。ZTXでは、ゼロトラスト化に必要な機能には、「ネットワーク」、「デバイス」、「ID」、「ワークロード」、「データ」、「可視化・分析」、「自動化」の7種類があり、その根本的な考え方は「データを中心にセキュリティ対策を行うことにある」とされています。

ここからはZTXで提唱されている「ゼロトラストに必要な7つの機能」について、ネットワーク対策から順にご紹介します。

(1)ネットワーク

ネットワーク対策には、Secure Web Gateway(SWG)、Software Defined Perimeter(SDP)、インターネット分離の3つがあります。


SWG(Secure Web Gateway)

いわゆるWebのフィルタリングですが、ゼロトラストでいうとクラウド型のプロキシになります。社内ネットワークからインターネットへアクセスする際にWebのフィルタリングができるのはもちろんのこと、自宅からインターネット経由であってもしっかりフィルタを機能させて安全にアクセスさせることが可能な対策になります。

SDP(Software Defined Perimeter)

直訳すると「ソフトウェアで境界を定義する」という意味合いになりますが、ファイアウォールのような物理対策に依存せず、アクセスする端末とアクセス先のシステムの間に制御するソフトウェアを介在させ、認証された場合に通信経路を確立する、VPNの代替と言われる対策になります。つまり、安全なアクセスのみネットワークに接続させる対策です。

この領域の対策として分かりやすいのは、端末のチェック機能です。例えば、社員が利用する端末に、会社が認めたソフトウェアが導入されていて、かつ最新バージョンになっているといったような条件を満たせば、それは安全な端末としてリソースにアクセスできるようにし、条件を満たさなければブロックします。

インターネット分離

画面転送技術を用いたセキュリティ対策です。通常は、端末がWebサイトにアクセスした際に、有害なコンテンツを含めダウンロードするので、マルウェアに感染するリスクが高まります。インターネット分離では、Webにアクセスした後に、Webコンテンツを無害化にし、端末には画面転送で信号を送るだけなので、マルウェアに感染したり、マルウェアが侵入するといったことを排除します。

(2)デバイス


デバイス対策には、Endpoint Protection Platform(EPP)、Endpoint Detection and Response(EDR)、IT資産管理、Mobile Device Management(MDM)の4つがあります。デバイス対策では、端末にエージェントを入れてしっかり制御していくことがポイントになります。


EPP(Endpoint Protection Platform:エンドポイント保護プラットフォーム)

マルウェア感染を防止することに特化した製品です。組織内に侵入したマルウェアを検知し、自動的に駆除したりマルウェアが実行されないようにする機能を提供します。分かりやすい例としては、アンチウイルス製品です。アンチウイルス製品は、パターンマッチング方式によりマルウェアを判別するタイプが一般的でしたが、近年では機械学習を用いて、亜種など未知のマルウェアも検知できるように進化しています。製品によって検知レベルは様々ですが、ほとんどの企業で導入されています。

EDR(Endpoint Detection and Response:エンドポイントでの検出と対応)

どんなに強力なEPP製品であっても、マルウェアの感染を100%防ぐことは不可能です。そこで感染後の被害をどう食い止めるかに備え、マルウェアの侵入経路を確認して対策を行うのがEDRです。

IT 資産管理

直接的なセキュリティ対策ではありませんが、様々なセキュリティ対策を行っていく上では そもそも自社にどのような PC が何台あってどういう OSやソフトウェアが入っているかといった資産情報をしっかり管理している ことがセキュリティ対策として必要です。そのためIT資産管理も重要です。

MDM(Mobile Device Management:モバイルデバイス管理)

現在スマートフォンも業務に大きく貢献しています。万が一スマートフォンがなくなってしまった場合のリモートワイプや、余計なアプリケーションを動かさないようにアプリケーション利用制限が必要になります。MDMはこのような機能を実現します。

(3)ID管理

ID 管理はゼロトラストの考え方の中でも随所で必要となってくる重要なセキュリティ対策です。ID管理対策には、多要素認証とシングルサインオン、統合ID管理、特権ID管理があります。


多要素認証とシングルサインオン

ID 管理はゼロトラストの考え方の中でも随所で必要となってくる重要なセキュリティ対策です。不正ログインの防止策の1つである「リスクベース認証」*による本人確認の強化や、1回のログインで複数システムを利用可能にするといった手法があります。

*リスクベース認証:一般的なIDとパスワードのログイン認証に加え、OS、IPアドレスなどを確認しいつもと違う環境からアクセスされた場合に追加で質問を実施するなどして、より確実に本人確認を行うもの。

まず本人確認の強化策として挙げられるのは「多要素認証」です。ID とパスワードだけではパスワードが漏洩した場合に不正ログインされてしまう可能性が非常に高いので、IDとパスワードの他に、所持情報や生体認証と組み合わせてログインさせる認証方式です。複数のシステムやサービスを利用している場合であっても、個々のサービスにアクセスするたびに一番厳格な多要素認証を行えればベストですが、システム利用者からするとログイン認証が非常に面倒な作業になってしまいます。このため、ログイン時には厳格な多要素認証を行い、個々のサービス利用時にはシングルサインオンでパスワードを入力することなくログインさせる形態にすると、セキュリティとシステム利用者の利便性の両方を担保することができます。

統合ID管理

クラウドやオンプレミス上の様々なシステムをそれぞれの別のIDで管理している場合、入社・退職時、プロジェクトの開始・終了時など様々なタイミングで必ず各システムのID・パスワードに関するメンテナンス作業が必要となります。管理が不適切であればゴーストIDなどが標的型攻撃に利用されてしまいます。そういったセキュリティリスクを排除するために、複数サービスの ID を一元的に管理しメンテナンスすることが重要です。それが統合ID管理です。

特権ID管理

adminやrootといった特権IDは、システム操作に対する強い権限を持っています。特権IDで重要サーバーにアクセスする際には必ず承認ワークフローを経て、承認されなければアクセスできないようにします。またアクセスの都度、ワンタイムパスワードを発行するなど、特権IDに関しては厳重な管理を行います。

(4)ワークロード

ワークロードという言葉は直訳すると作業量とか 作業負荷になりますが、ゼロトラストの世界では「一連の処理」と考えていただくと分かりやすいかと思います。クラウド、オンプレミス問わず、あるアプリケーションからAPI で他のシステムに連携するといった一連の処理があるとすれば、その処理は1から10まで滞りなくスムーズに行われなければなりません。

ワークロード対策には、CSPM(Cloud Security Posture Management)や脆弱性管理があり、これらにより、あらかじめ弱いところを潰しておくことで、一連の処理を滞りなく終了させることができます。


CSPM(Cloud Security Posture Management:クラウドセキュリティポスチャーマネジメント)

ワークロードを阻害する原因の一つにセキュリティの設定不備があります。IaaS、PaaS、SaaSといったクラウド基盤のセキュリティの脆弱な部分を検出する対策がCSPM(クラウドセキュリティポスチャーマネジメント)になります。デフォルト設定のままになっていて自社では利用していないポートが開いていないか、 パスワードのポリシーが弱くなっていないかといった脆弱性を検出してくれるソリューションです。

脆弱性管理

CSPMと同様に、脆弱性を排除するための対策です。OS やアプリケーションなどに潜む脆弱性は早期に発見し、手当が必要です。

(5)データセキュリティ

データセキュリティは、データ自体を保護し、それがどこにあろうと守っていこうという対策です。特に企業の中でも重要なファイルに関しては、adminやrootといったシステム操作に対する強い権限を持つ特権IDであってもアクセスさせない、非常に厳格な「ファイルアクセス制御」も対策として検討します。

(6)可視化と分析

ログを一元管理し、分析を行うことで、有事の際はもちろんのこと、日々予兆を検知して速やかに対策を実施できます。CASB(Cloud Access Security Broker)や、統合ログ管理とSIEM(Security Information and Event Management)といった対策があります。


CASB(Cloud Access Security Broker)

CASBは、ユーザーのアクセスログから、どういうSaaSにアクセスしているかなど利用状況を可視化することで、企業で認めていないアクセス(シャドーIT)がないかどうかを検出できます。また、企業で認められたSaaSへのアクセスはできるが、アップロードはできないといったような細かい権限を個々のユーザーごとに設定することができます。

統合ログ管理とSIEM(Security Information and Event Management)

統合ログ管理は、複数システムに散在している ログを一つのバケツで管理し、有事の際はもちろんのこと、事前に予兆を見つけ、速やかに確認分析をしていく対策です。お客様からよくお伺いする、SaaSを利用している場合に、ログの保存期間が1か月、2か月、3ヶ月と非常に短期間で、統合ログ管理のような別のバケツに移し替え長期間保存しておく必要があるというようなニーズに対応できます。SIEMは、ファイアウォールやIDS/IPS、プロキシなどから出力されるログを集約し、それぞれの通信の流れをリアルタイムに相関分析できる仕組みです。

(7)セキュリティ運用の自動化

最後はセキュリティ運用の自動化を実現するSecurity Automation and Orchestration(SOAR)をご紹介します。


SOAR(Security Automation and Orchestration)

セキュリティインシデントの発生から処理までの一覧の流れを自動化するものです。具体的には、何かセキュリティインシデントが発生した時にSOARが検知して管理者にアラート通知をする、ここまでは既存の対策でもありますが、その後に後続処理を行うためのシステムに自動的に対処を実行させるという対策になります。ただ、自動化対策はいまだ発展途上ではないかと感じています。

以上、Forrester Research社が提唱するZTXの7つの機能を具体的な対策例を含め紹介しました。


NIST SP800-207 Zero Trust Architecture

NIST SP800-207 Zero Trust Architectureは、英文で約50ページの文書です。これを簡略化してサイトに掲載しているベンダーもありますが、ここでは、ゼロトラスト化する上で行ったほうがいいと思う7つの原則をご紹介します。
※説明の都合上、原文とは順番を入れ替えています。

7つの原則のうち、最初の4つを要約すると「アクセス要求に対する信頼を実現しよう」ということになります。図に示す通り、ユーザー、デバイス、アクセス先のリソースと3つの要素があり、本当にユーザー本人かどうか、本当に安全なデバイスかどうかをリソースへのアクセスが発生するたびに都度チェックするべき、いうことを提唱しています。

7つの原則の残りの3つを要約すると「チェック体制をしき、適正化しましょう」という、制御というよりもチェック体制の話になります。最初の4つの原則では、本当にユーザー本人か、本当に安全な端末かを制御しましたが、この過程をログとしてきちんと取得していき、ログをもとに、不審な動きがないかどうかチェックしていきましょう、というお話になります。

クラウドシフトのお客様は特に注意、ゼロトラスト化しておくべきだった事例

特にクラウドシフトを推進されているお客様には、ゼロトラストの考え方の採用を強くお勧めします。クラウド化で被害にあったケースを2件ご紹介します。

1つ目は、ある企業でAWS の管理コンソールにアクセスする特権IDを盗まれ、全資産が破壊されて事業継続が困難になってしまったというアカウントハイジャックの事例です。この事例では認証の仕組みはID・パスワードだけでした。ID・パスワードのみの認証の場合、パスワードが盗まれると不正ログインされてしまうため、ゼロトラスト化の1つであり、本人確認をする別の認証を組み合わせる「多要素認証」を採用していれば防止できたという事例になります。

もう1つは、AWS Simple Storage Service(S3)でクラウドストレージのバケット設定ミスがあり、1億2,300万人のアメリカ世帯のプライベートな情報が公開され誰でも参照できる状態になっていたという事例です。この場合は、ゼロトラスト化の一つである設定不備を検知するCSPMを設定していれば防止できた事例になります。

このように従来の境界防御型のセキュリティ対策では防ぐことが難しくなってきているため、クラウドシフトを推進されているお客様はゼロトラスト化に向けた対策を実施されることを強くお勧めします。

本記事は後編に続きます。
後編では、今すぐゼロトラスト化したいお客様に向けて、アシストが提案する最速、最適な取り組み方についてご紹介します。
https://www.ashisuto.co.jp/tech-note/article/20210916_zt.html


連載記事

アシストが考える最速・最適なゼロトラストの実現方法とは(後編)


執筆者のご紹介

アシスト桐本 直樹

桐本 直樹
ビジネスインフラ技術本部 アクセスインフラ技術統括部

銀行系SI会社、ネットワーク系SI会社を経て、2011年にアシスト入社。セキュリティへのかかわりは、20年以上従事。お客様のビジネス課題解決の視点から、全体最適を意識した改善提案活動を実施。CISSP(情報セキュリティプロフェッショナル)、CISM(公認情報セキュリティマネージャー)。

講演履歴:兵庫県立大学 2016,2018年産官学連携・育成講座 講師など。

アシスト冨士本 博紀

冨士本 博紀
ビジネスインフラ技術本部 アクセスインフラ技術統括部

2009年、アシストに新卒で入社。 入社以来セキュリティのエンジニアとして活動。 エンドポイントや脆弱性管理製品の専任SEを担当しつつ、 最近では、製品の枠を飛び越え、セキュリティ全般プリセールス活動に注力。

アシスト徳永 匡哉

徳永 匡哉
ビジネスインフラ技術本部 アクセスインフラ技術統括部

2016年に新卒でアシスト入社。 入社以来、セキュリティのエンジニアとして活動。 エンドポイント、サーバ、特権ID管理の専任SEを担当しつつ、 最近では、製品の枠を飛び越え、セキュリティ全般プリセールス活動も行う。

本記事をご覧いただいている方へのご案内

最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。

関連している記事

  • セキュリティ/仮想化
2021.09.16

アシストが考える最速・最適なゼロトラストの実現方法とは(後編)

本記事は「アシストが考える最速・最適なゼロトラストの実現方法とは」の後編です。ゼロトラスト化の一歩はどう踏み出せばよいか具体的な取り組み方をご紹介します。

  • セキュリティ/仮想化
2019.02.01

脅威の分離、サイバー攻撃対策の現実解

「脅威分離型」アプローチに焦点をあてサイバー攻撃対策の現実解をご紹介します。

  • セキュリティ/仮想化
2018.10.01

その特権ID管理は本当にセキュアと言えるか
~特権ID管理から特権アクセス管理へのシフトチェンジ~

「特権ID管理」の重要性と簡単に管理できる製品をご紹介。さらに海外では既に主流となっている「特権アクセス管理」という概念とそれを実現する製品もご紹介します。

ページの先頭へ戻る