ピンボール戦車少女

セキュリティ対策の株式会社ラック

閉じる

企業や組織(zhi)のセキュリティ事(shi)故発生時はこちら

緊急対応窓口:サイバー救急センター®

ご相談(tan)は予約不要(yao)、24時間対応

電話で相談する
0120-362-119
メールで相談する
サイバー救急センター®のメールアドレス
自分で調べる
「FalconNest」について

ゼロトラストとは?
DXに向けて企業が進むべきセキュリティの方向性

業(ye)種を問(wen)わず企(qi)業(ye)が生き残りを賭けて、デジタルトランスフォーメーション(DX)の実(shi)施を模索しています。DXを実(shi)現するために、インフラのクラウドシフトが急(ji)速(su)に進む一方(fang)で、増え続けるサイバー攻撃(ji)への対応(ying)も急(ji)務となっています。

そうした背景がある中(zhong)で、キーワードとして浮(fu)かび上がっているのが「ゼロトラストセキュリティ」です。DXとの両輪として、企業は、ゼロトラスト対(dui)応(ying)に向けて取り組みを進めるべき状況を迎えていると指摘されているのです。

ゼロトラストセキュリティ

この記事(shi)(shi)では、セキュリティの最(zui)前線(xian)で活躍するラックの仲(zhong)上竜太(執筆当時)がIT専門メディア「@IT」に寄稿した内容に触れながら、ゼロトラストの定義や登場(chang)の背景、仕組み、ソリューション、事(shi)(shi)例、最(zui)新情報について解(jie)説(shuo)します。DXに取り組みながら、企業がゼロトラストセキュリティについて進めるべき方向(xiang)性について解(jie)説(shuo)します。

ダウンロードコンテンツ

ゼロトラスト時代のSOC構築と運用ガイドライン

ゼロトラスト時代のSOC構築と運用ガイドライン

ラックとマイクロソフトはゼロトラストセキュリティ分野で協業し、共同でガイドラインを発表しました。VPNに頼り切れなくなる中、EDR導入やアクセス制御の重要性をわかりやすく解説しています。

ゼロトラストとは

ゼロトラストとは、1994年にスティーブン・ポール・マーシュ氏がコンピュータセキュリティに関するスターリング大学の博士論文で使用した造語が発祥とされており、ネットワークセキュリティに関する考え方の1つです。その後さまざまな議論を経て、2020年8月にNISTが発表した「SP800-207 Zero Trust Architecture」においては以下のように定義されています。

ゼロトラスト(ZT)は、ネットワークが侵(qin)害されている場合であっても、情(qing)報システムやサービスにおいて、各リクエストを正確(que)かつ最(zui)小の権限(xian)となるようにアクセス判断する際の不確(que)実性を最(zui)小化するために設計された概念とアイデアの集合体のことである。

出典:

ゼロトラストモデルへの転換

従来のネットワークセキュリティは「境(jing)(jing)界(jie)型防(fang)御」が主(zhu)流で、社内ネットワークとインターネット間に境(jing)(jing)界(jie)をつくり、外部(bu)からの脅威を境(jing)(jing)界(jie)でブロックすることで社内ネットワークの安全性(xing)を確保(bao)していました。しかし近年は内部(bu)からの情報(bao)漏洩(xie)やクラウドサービスを利用する企業の増加、サイバー攻撃の巧(qiao)妙化(hua)などに伴(ban)い境(jing)(jing)界(jie)型防(fang)御によるセキュリティ対(dui)策が難しくなり、境(jing)(jing)界(jie)型防(fang)御よりも厳(yan)格なサイバーセキュリティ対(dui)策が企業に求められるようになりました。

ゼロトラストセキュリティ

そして2010年、米(mi)国の調(diao)査会社(she)であるフォレスター・リサーチ社(she)のジョン・キンダーバーグ氏により、サイバーセキュリティプログラムとアクセス制御を表す「ゼロトラストモデル」が提唱されます。ゼロトラストモデルは「Verify and NeverTrust」(決して信用(yong)しないで必(bi)ず確(que)認する)という考(kao)え方(fang)(fang)です。境界(jie)型防御のように社(she)内ネットワークは安全、境界(jie)外は危険という考(kao)え方(fang)(fang)とは異(yi)なり、たとえ境界(jie)内部(bu)であっても無条件に信⽤しない、全てにおいて都度確(que)認し、認証・認可を⾏うという概(gai)念です。

ゼロトラストモデルはその後さらに議(yi)論され、先述(shu)した「SP800-207 Zero Trust Architecture」の定義に至ります。サイバー攻撃の増加(jia)やクラウドサービスの普(pu)及のほかテレワークの拡大も背景に、セキュリティリスクは年々高まっているのが現状です。企(qi)業はネットワーク上の脅威を防ぐために、セキュリティの考え方を時代(dai)のニーズに合わせて変えていかなければなりません。ゼロトラストモデルを基にしたセキュリティ対策(ce)は企(qi)業にとって重要(yao)であると言えます。

DXに向けたゼロトラストセキュリティ

ゼロトラストの考(kao)え方を基にしたセキュリティ対策を「ゼロトラストセキュリティ」と呼びます。企業がDXの取り組みを行う場(chang)合において、ゼロトラストセキュリティは必須と言っても過言ではありません。

仲上(shang)は連載の中(zhong)でゼロトラストセキュリティとは、以下(xia)のように述(shu)べています。

ゼロトラストセキュリティは、その名の通り「全(quan)て信(xin)頼しない」ことをコンセプトとしています。社内ネットワークやインターネットといったネットワークの境界にとらわれない、過去に行われた認(ren)証(zheng)や検証(zheng)を信(xin)頼しない、データにアクセスするたびに厳密(mi)な認(ren)証(zheng)を実施し、データそのもののセキュリティを保証(zheng)します。ゼロトラストセキュリティは、守(shou)るべきものを「データ」とし、データへのアクセスを「全(quan)て信(xin)頼しない」ことで実現する情報セキュリティの考え方です。

企業がDXを進(jin)める際(ji)(ji)に、以前のように情報システムを自社(she)で構築するのではなく、既にサービスとして提(ti)供されているSaaS、IaaS、PaaSなどの外(wai)部のクラウドサービスを利(li)用(yong)するようになっています。必要な際(ji)(ji)に、自社(she)の基(ji)幹システムと社(she)外(wai)のクラウドサービスなどを連携します。

なぜなら、自社のシステムのみで完(wan)結(jie)するよりも、既に社外で提供されているサービスやツールを利用した方が、事業のソリューション推進や働き方の改革、企業の変革を手(shou)軽に実(shi)現できるからです。しかし、そうした方法でDXを進める場合(he)、自社のシステム内での完(wan)結(jie)を前提とする従来の境界型防御型のセキュリティ対策では、万全を期すことができません。

ゼロトラストセキュリティの要件には、誰がどのデバイスでどこからアクセスしたとしてもリアルタイムにログを収集し分(fen)析する、デバイスの統制を取ることなどがあります。つまり、オンプレミスとクラウドを含めたシステム環境全体(ti)のセキュリティを考えると、アクセスしたデバイスを都(dou)度(du)認(ren)証するゼロトラストセキュリティに移(yi)行(xing)する方が、セキュリティの強度(du)を高められる上に、より柔(rou)軟にDXを促進(jin)できるのです。

一方で、ゼロトラストセキュリティには検討(tao)(tao)段階(jie)(jie)や移(yi)行、移(yi)行後にさまざまな課題(ti)があるのが実情です。検討(tao)(tao)する段階(jie)(jie)においては、ゼロトラストの知識不足や理解(jie)(jie)度が高くないことから何をするべきか分からないという実態(tai)があり、移(yi)行する段階(jie)(jie)ではコスト(時(shi)間・人・予算(suan))がかかりすぎる、不足してしまうなどのケースもあるようです。さらに、ゼロトラストセキュリティは、移(yi)行したら終了ではなく、環境構築後は検証と改善を繰り返さなければなりません。ゼロトラストセキュリティは中(zhong)長期的(de)な計画で実行し、企(qi)業全体の理解(jie)(jie)を深(shen)めるための取(qu)り組みが必要と言えるでしょう。

ゼロトラストセキュリティの大きな特(te)徴(zheng)である「信頼しない」ですが、一見すると単に認(ren)証が強化(hua)され、確認(ren)回(hui)数が増えるだけのように感じられるかもしれません。この「信頼しない」「毎回(hui)確認(ren)する」がもたらす圧倒的(de)なメリットが、現在進むデジタルによる働き方(fang)改革が抱える問題を解決に導(dao)くでしょう。強力な確認(ren)によって、ネットワークの内側(ce)と外側(ce)の差をなくすことができます。

国から相次ぐゼロトラスト関連の情報発信

国もゼロトラストに注(zhu)視(shi)しています。経済産業省、IPA、金融庁が、以下のように、相次いでゼロトラスト関連(lian)の情報(bao)を発信しています。デジタル庁発足などを背景に、ゼロトラストが中(zhong)核(he)的な動(dong)きとして認識されていることを示していると言(yan)えるでしょう。

Googleのゼロトラストセキュリティモデル

ゼロトラストアーキテクチャを考える上で、具体的な企(qi)業(ye)の取り組(zu)みを考えてみます。仲上が連(lian)載で紹介しているのはGoogleの取り組(zu)みです。Googleは検索エンジンとネット広(guang)告を核に、動画配信サービスや人工(gong)知(zhi)能(AI)、ロボット企(qi)業(ye)など多くのテクノロジー企(qi)業(ye)との買収などを通じて連(lian)携しています。ここで、買収時の課(ke)題となるのがネットワークシステムの統(tong)合です。

もともと他社のものであるネットワーク構(gou)成を、自(zi)社の内部の仕様(yang)に適合させるには苦労が伴います。ゼロトラストセキュリティでは、インターネットにさえ接(jie)続できていればインフラとして機能します。従来の方法でネットワークを統(tong)合するよりずっと軽い負担で統(tong)合できるというわけです。Googleのゼロトラストセキュリティモデルは「BeyondCorp」として公表されています。

ゼロトラストセキュリティ

重要なのは、ゼロトラストセキュリティに基(ji)づく考え方であれば、ネットワークはインターネットにさえ接続できていればよいため、内部ネットワークの統合(he)を行うよりもはるかに少ない労(lao)力でシステムの統合(he)が実現できるということです。

これまでのセキュリティアプローチはゾーンによる静的なアクセスコントロール「過去の認証を信用」、ゼロトラストアプローチはユーザ認証・デバイス認証・信頼度から動的なアクセスコントロール「過去の認証を信用しない」
ゼロトラストアプローチでは「過去の認証を信用しない」ことが特徴です

これまでのセキュリティアプローチの落とし穴

実際のところ、ゼロトラストは、従(cong)来の情(qing)報(bao)セキュリティの考え方とどのように違うのでしょうか。

従来(lai)型では、VPNに接(jie)続するIDとパスワードがあれば社内システムに入り、アプリケーションを利用することができました。

さまざまな人(ren)が利用する公共(gong)空間であるインターネットから、社内ネットワークを切(qie)り離すことで情(qing)報にアクセスできる利用者を制(zhi)限し、情(qing)報を保護するコンセプトが従来の境界型(xing)セキュリティモデル(ペリメタモデル)です。

こうした考え方の下、ファイアウォールやIDS/IPS(侵入検知(zhi)装置/侵入防止装置)、アンチスパム/アンチマルウェア、UTM(統合脅威管理)などの製品を配置し、社外(wai)と社内の境界を出入りするパケットをチェックします。このように、社内ネットワークの安全を保障(zhang)するのが従来型の「ペリメタモデル」です。

境(jing)界型セキュリティモデルであるペリメタモデルでは、一度検査したパケットや認(ren)証した利用(yong)者を信頼します。しかし、ここに落とし穴があると仲(zhong)上は指摘しています。

社(she)内ネットワークが事業所や拠(ju)点といった物理(li)的領域に制約されていた時代を経て、今ではモバイルネットワークとVPNを通じて、どこからでも社(she)内ネットワークへの接続が可(ke)能(neng)だからです。

安(an)全(quan)と思っていたはずの境界内ですが、セキュリティ製品の監視(shi)をかいくぐる攻撃など従来なかったような脅威が近年(nian)特に目立っているからです。

境界線(xian)を引いて内側を防(fang)衛(wei)する方(fang)(fang)法(fa)は、例(li)えば戦(zhan)争における戦(zhan)い方(fang)(fang)のイメージにも通じるためわかりやすいですが、一方(fang)(fang)で現在のセキュリティトレンドは「敵はどこにいるかわからない」という考え方(fang)(fang)へと急速(su)にシフトしています。そこで「誰も信用(yong)しない」という考え方(fang)(fang)に支持(chi)が集まっているのです。

このように、防衛(wei)に対する根本的な考え方が変化(hua)しているのであれば、ファイアウォールやIDS/IPSといった従(cong)来型のセキュリティ製品だけでは今(jin)後を展望できなくなります。誰も信用(yong)しないゼロトラストアーキテクチャならではの戦い方があるからです。

在宅勤務の要請によるテレワークで露呈したVPNの限界

従来型セキュリティ施策(ce)の限界(jie)(jie)は、今回の新型コロナウイルス感染症の影響によって広がった在宅勤務の影響として、既(ji)に見えています。境(jing)界(jie)(jie)内のネットワークにのみ公開されているWebサービスは通(tong)常(chang)インターネットから接続できません。組織の外(wai)のネットワークから接続するためにはVPN(=仮想プライベートネットワーク)などのリモートネットワークを利用する必要があります。しかし、VPNには課題があるのです。

ゼロトラストセキュリティ

あらかじめVPNを導入していた組織でも、想定外の通(tong)信がVPN装(zhuang)置(zhi)に集中(zhong)し、ネットワーク速度が大幅(fu)に低下。利(li)用(yong)者からの声に応えるべく、ルーティングの変更(geng)やVPN装(zhuang)置(zhi)の交換に奔走された情報システム担当の方も数多くいたのではないのでしょうか。

社外からアクセスする手(shou)段(duan)として広く使われているVPNですが、大(da)多数の社員が同時(shi)に使うといったような規(gui)模を想定していないケースがほとんどです。

VPN装置の帯域を全リモートアクセス利用(yong)者(zhe)で共有(you)するため、利用(yong)者(zhe)が増加することにより、パフォーマンスの悪化や場合によってはシステムがダウンしてしまうリスクがあります。仲上(shang)はVPNの課題(ti)について、次のようにまとめています。

VPNが抱える問題

セキュリティ上の課題

一度接続してしまえば組織内(nei)のネットワークに正(zheng)規(gui)の利(li)用者(zhe)としてアクセスが可(ke)能(neng)なVPNは、サイバー攻撃(ji)者(zhe)にとって非常に魅力的な存在です。持ち出(chu)されたPCの脆弱(ぜいじゃく)な設定(ding)を悪用し、VPNから組織内(nei)への侵(qin)入が可(ke)能(neng)です。

管理の課題

世界中のどこからでもネットワークにアクセスできるVPNは、常に適切に運用されている必(bi)要があります。接続(xu)可能なデバイスの登録、アカウントの管理、パフォーマンスチューニング、利用状況のモニタリング、脆(cui)弱性(xing)のチェック、機器の更新などリモートアクセスを安全に提供するためには多くの手間が常に発生します。

脱VPN

日(ri)本を代表する規模のある企業では、コロナ禍が始(shi)まる1年ほど前(qian)に「脱VPN」に取り組(zu)んだことで、数万人という社員(yuan)のリモートワーク環境を問題なく運用できています。同社IT担(dan)当者は、以(yi)前(qian)のVPNのキャパシティは1,500人分しかなかったと振り返っており、もし脱VPNに取り組(zu)んでいなければ、コロナ禍の中で大きなシステムトラブルに見舞われていたかもしれません。

また、どこからでも企業内のネットワークにアクセスできるようにするため、VPNは常に適(shi)切(qie)に運(yun)用されている必要があります。ネットワークにアクセスできるデバイスの登録、アカウント管理、パフォーマンス調(diao)整、利用状況の監視(shi)、脆弱性確認、ドライバの更新など、遠隔(ge)からのアクセスを安(an)全(quan)かつ快適(shi)に提供するための人的、経済的コストは大きいと言えるでしょう。

ここで、俯(fu)瞰(kan)的な視点から、ゼロトラストの考(kao)(kao)え方に基づいて組(zu)織に新(xin)たな業務遂(sui)行体制を作ることを考(kao)(kao)えてみましょう。例えば、BeforeとAfterは次(ci)のようになるかもしれません。

ゼロトラストによるBeforeとAfter

ゼロトラストによる防御とは

では、具体的(de)にどんなテクノロジーを活用すればゼロトラストを実(shi)(shi)現するセキュリティ体制を実(shi)(shi)現できるでしょうか。VPNに限(xian)界があり、新たにゼロトラストをベースにした防御策を採りたいという場(chang)合の選択(ze)肢(zhi)を考えます。

前(qian)述(shu)の脱(tuo)VPNを成功させた企業における取り組みの鍵は、アイデンティティー認識(shi)型(xing)プロキシー(IAP)という新たなリモートアクセス手(shou)法(fa)の導(dao)入(ru)でした。そのために導(dao)入(ru)したのがAkamai Enterprise Application Access(EAA)です。EAAは企業が持つソフトウエアをインターネット越(yue)しに使(shi)えるようにするために、プロキシーサーバー機能を提供するクラウドサービスです。

この企業の社(she)員(yuan)は、最初にインターネット経(jing)由でEAAの専(zhuan)用ページに入り、そこで多(duo)要素型の認証プロセスを踏みます。それにより、通信が社(she)内に置(zhi)いてある連携(xie)サーバーを中(zhong)継して目(mu)的のソフトウエアに届(jie)き、社(she)員(yuan)はソフトウエアを利用できるようになります。

すべての通信は暗号(hao)化されています。またEAAはクラウド型であるため、キャパシティを伸縮できる点(dian)が決定的なメリットになってきます。VPNでは、VPN装置が社(she)内(nei)にあるため、急なトラフィックの増(zeng)加に対応してキャパシティを増(zeng)やすといったことは難しいのが実情ですので、ここでもEAAの利点(dian)が際立(li)ってきます。

ゼロトラストアーキテクチャの利点を示す製品の一例として、EAAのポイントをまとめておきましょう。

EAAを使う4つのメリット

  • VPNを使わない通信
  • 信頼できない端末の拒否
  • 端末の統合
  • 導入・拡張のしやすさ

このように、ゼロトラスト型アーキテクチャを採(cai)用した場(chang)合、ユーザーを信頼することなく、どこにいても多要(yao)素認証(zheng)などによってユーザーの身元を確認します。安全を常にその場(chang)で担保するわけです。裏(li)を返せば、社内(nei)と社外の違いがなくなるため、VPNで社内(nei)のネットワークに入るという手間をかける必要(yao)がなくなります。その分、ユーザーの利便性(xing)が高まるという言(yan)い方もできるのです。

NISTによる「ゼロトラストにおける7つの基本原則」

ここまでゼロトラストの成り立ちから、注目を浴びるまでの大(da)まかな流れを追ってきました。日(ri)本(ben)ではまだバズワードのイメージがある一方、米国(guo)では既に体系化されています。

仲(zhong)上(shang)は連載の中で、NISTが発行したレポート「SP 800-207 Zero Trust Architecture(2nd Draft)」に書かれた内容を基に、今後ゼロトラストを論(lun)じる上(shang)で軸となり得る、米国政府(fu)が考(kao)えるゼロトラストの定義と実(shi)践の姿を紹(shao)介しています。

ゼロトラストにおける7つの基本原則

  1. データソースとコンピュータサービスは、全てリソースと見なす
  2. 「ネットワークの場所」に関係なく、通信は全て保護される
  3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
  4. リソースへのアクセスは動的なポリシーによって決定される
  5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
  6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
  7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

7つの基本(ben)原(yuan)則をまとめ、次の項目を満たした状態が理(li)想的なゼロトラストであると提(ti)言しています。

理想的なゼロトラスト

  • 全リソースへのアクセスの認証と認可がリクエストごとに動的に決定される
  • 全てのリソースの状態が、その判断に用いられる
  • 全てのリソースの機器や通信が保護され、状態が可視化によって監視されている

日本でゼロトラストアーキテクチャへの転(zhuan)換(huan)は、まだまだ始まったばかりと言えます。クラウドをベースに、オートスケールの利点を存分に生(sheng)かし、また認証を統合できるなど、スケールの大きなシステム施策(ce)になり得るため、今後DXにシフトする企業の多くが注力する取り組みと言えるでしょう。

メールマガジン

サイバーセキュリティや
ラックに関する情報を
お届けします。

page top