ゼロトラストの概要
ゼロトラストとは、「境界型防御内のネットワークは安全で、境界外部のネットワークは危険」という従来の考え⽅に対する、「境界内部であっても無条件に信⽤せず、全てにおいて確認し認証・認可を⾏う」という考え方です。
ゼロトラストにおける、ネットワーク接続の前提条件は以下になります。
- 企業のネットワークは、安全なネットワーク(トラストゾーン)ではない。
- 企業のネットワーク上には、企業が所有していないデバイスも存在する。
- 企業のリソースへのアクセスは信頼できない。
- 企業が利用するリソースは、企業のネットワーク以外にもある。
- 企業のネットワークとそれ以外のネットワーク間を移動する場合、セキュリティポリシにより管理する。
基本的な考え方
NIST SP800-207 ではゼロトラストの基本的な7つの考え方が示されています。
1.全てのデータソースとコンピューティングサービスをリソースとみなす
ネットワーク機器やサーバのみならず、IoT装置、クラウドサービス、個人所有のデバイス、及び、それらがやり取りしているデータも全てセキュリティ対策の対象とする。
2.ネットワークの場所に関係なく、全ての通信を保護する
全ての通信は、アクセス元に対する認証を行い、機密性と完全性が保護された方法で行われる必要がある。企業のネットワークインフラ上のデバイスであっても信頼しない。
3.企業リソースへのアクセスをセッション単位で付与する
アクセス元に与える権限は最小限とする。あるリソースへの認証と認可は、自動的に別のリソースへのアクセスを許可とみなさない。
4.リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の⾏動属性や環境属性を含めた動的ポリシにより決定する
リソースへの認証と認可は、利用者の属性(ユーザアカウント)、サービス内容、アクセスルールに基づいて行う。尚、同じユーザアカウントからのアクセスでも、過去の利用パターンから逸脱している場合は、成りすましの可能性を疑う必要がある。
5.全ての資産の整合性とセキュリティ動作を監視し、測定する
サーバやデバイスなどの資産は、信頼できないことを前提とする。脆弱性診断が見つかったサーバや、企業が管理していない個人所有のデバイスは、他とは異なる扱いをする。
6.全てのリソースの認証と認可を⾏い、アクセスが許可される前に厳格に実施する
リソースへの認証と認可は、一定時間あるいは新規リソースへのアクセス毎に実施する。その際に、二要素認証やアクセス元の異常な活動の検出なども推奨される。
7.資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利⽤する
資産に対するトラフィックやアクセス要求などのデータを収集し、分析して得られた結果に基づいてポリシの見直しを行う。
ゼロトラストの構成要素
IPA(情報処理推進機構)では、ゼロトラスト構成する要素を、以下の5つに分類しています。
ID統制
ゼロトラストにおいては、「誰が」リソースにアクセスしようとしているのか、都度的確に識別し認証・認可を⾏うことが重要です。そのための ID管理は、⼀元的に統制された仕組みで適切に⾏われる必要があります。
推奨されるソリューションは、IDaaS(ID as a Service)です。IDaaS の機能は以下になります。
- ID管理
あらゆるシステム・サービスのIDを⼀元的に管理する。IDaaSを利用することで、オンプレミスのID管理基盤との連携だけでなく、SaaSサービスなども含めたID管理が可能となる。 - SSO(Single Sign On)
利用者が⼀度認証・認可を受ければ、その他のサービスへのサインインをパスワード⼊⼒なしで⾏うことができる。そのため、利用者はサービス毎にパスワードを覚える必要がなく、同じパスワードを使い回すといったリスクが軽減される。 - アクセスコントロール
サービス等にアクセスが可能な利⽤者や端末、場所等の制限をかけ、許可を得た利⽤者のみがサービスを利⽤することができる。利用者が普段と異なるデバイスなどからアクセスを試みた場合に、追加の認証を求めることもできる。
デバイス統制・保護
ゼロトラストにおいては、組織の資産にアクセスするデバイスが、組織の管理下にあること、適切な設定が⾏われていることを認証・認可の際にチェックすることが重要です。
推奨されるソリューションは、MDM(Mobile Device Management)と EDR(Endpoint Detection and Response)です。MDM の機能は以下になります。
- デバイスの機能制限
業務に必要のないデバイスの機能を利用させないようアプリケーションなどの制限ができる。 - デバイス紛失時の対応
デバイス紛失時に、遠隔からの端末のロックや端末のデータを消去(リモートワイプ)ができる。 - ポリシやアプリケーションの⼀⻫配布
適⽤すべきセキュリティ設定や必要なアプリケーションの配布などを⼀⻫に⾏うことができる。 - IDaaS との連携
IDaaS と連携することで、適切な設定が施されている端末からのみアクセスを可能にするといった制御が可能となる。
EDR の機能は以下になります。
- 挙動監視
ファイル操作やプロセスなど挙動を監視し、不審な挙動をアラートで知らせる。既知の攻撃だけでなく、未知の攻撃に対しても検知が可能となる。 - 攻撃を受けた際の応急措置
デバイスが攻撃を受けた場合に、ネットワーク隔離や不審なプロセスの中断を⾃動的に⾏うことができる。 - IDaaS との連携
IDaaS と連携することで、リスクの高いデバイスからのアクセスを禁⽌するなどの制御ができる。
ネットワークセキュリティ
ゼロトラストにおいては、全てのリソースに対するアクセスは、認証と認可が行われる必要があります。また、SaaS サービスの利⽤拡⼤や、社外のネットワークからのアクセスの増加により、新たなセキュリティの仕組みが必要になります。
推奨されるソリューションは、IAP(Identity Aware Proxy)と SWG(Secure Web Gateway)または CASB(Cloud Access Security Broker)です。IAP の機能は以下になります。
- アプリケーション単位の接続制御
オンプレミスの社内ネットワークにコネクタ(サーバ)を配置することで、オンプレミス環境にあるアプリケーションがインターネット経由で安全に利用可能になる。 - IDaaSとの連携
ユーザ属性や使⽤デバイスといった情報から、オンプレミス環境のシステムへのアクセスが制御できる。
SWG/CASB の機能は以下になります。
- WEBコンテンツへのアクセス制限
組織のポリシに基づいたWEBフィルタリングが可能となる。 - SSL復号機能
SSLで暗号化している通信に対し、復号を⾏い通信内容のチェックが可能となる。 - マルウェアの検出
シグネチャベースのチェックの他、サンドボックスでの振る舞いチェックを行う。 - アクセスの可視化と制限
SaaS サービスの通信を可視化し、利⽤が好ましくないサービスへのアクセスを遮断するなどの制御が可能となる。
データ漏洩防止
内部犯⾏者などによる機密情報の不正なデータの持ち出しを防いだり、持ち出されたとしてもデータを閲覧させないといった対策が必要になります。これは、悪意のある⾏為だけでなく、⼈為的なミスによる情報漏洩への対策としても有効です。
推奨されるソリューションは、DLP(Data Loss Preventio)と IRM(Information Right Management)です。DLP の機能は以下になります。
- 機密情報の不正な取り扱い防⽌
機密情報のアップロード禁⽌、外部記憶媒体へのコピー禁⽌、メール転送禁⽌といった制御が可能となる。
IRM の機能は以下になります。
- ファイルの暗号化とアクセス制御
万一ファイルが漏洩しても、アクセス権を持たないユーザの閲覧を防ぎ、アクセス権をもつユーザに対しては、編集可能、印刷可能といった権限の設定が可能となる。
ログの収集・分析
システムを構成する機器からログを集約・分析することで、サイバー攻撃の早期検知や対応を⾏うことができます。
推奨されるソリューションは、SIEM(Security Information and Event Management)です。SIEM の機能は以下になります。
- 機器からのログ集約と可視化
各種サーバやネットワーク機器などからログを収集し、可視化を⾏うことで、組織に対する攻撃の動向などを把握することができる。 - 収集したログの分析
複数の機器のログによる相関分析や、機械学習による異常な振る舞いを検知を行う。検知ルールについてはカスタマイズができる。
ゼロトラストへの移行
ゼロトラスト構成への移⾏の流れは以下になります。
- フェーズ1:
ゼロトラストへの移行の⽬的を明確化する。セキュリティに関するリスク分析やトラフィックやユーザビリティなどの課題を可視化する。 - フェーズ2:
将来的なグランドデザインの作成を⾏い、それを実現するためにどのようなソリュー
ションが必要かを検討する。 - フェーズ3:
グランドデザインに対して投資判断を行う。 - フェーズ4:
グランドデザインを元に環境を構築する。
