サイバーセキュリティの原点回帰:基础から分かるゼロトラスト
サイバーセキュリティの重要な考え方の1つである「ゼロトラスト」について、改めて解説します。
Save to Folio
ゼロトラストとは
ゼロトラストとは、その名の通り「トラスト(罢谤耻蝉迟:信用、信頼)」が「ゼロ(窜别谤辞:何もないこと)という意味で、性悪説を前提にした考え方です。
より具体的には、法人组织の重要な资产へ正规の认証情报を持つユーザやデバイスであっても、アクセスを无条件に信?せず、全デバイス、ユーザ、ネットワークを监视して、认証?认可を?い、アクセスを制御するという対策です(図1)。
ここでポイントとなるのは「正规の认証情报を持つユーザやデバイスであっても」という部分です。昨今のサイバー攻撃において、正规ユーザのアカウントを事前に夺取し、正规アカウントを用いて不正にログインすることもあり、一度正规のユーザやデバイスと判断したとしても、乗っ取りなどにより不正な活动を行う可能性があるため、ゼロトラストの必要性が高まってきています。
アメリカでは、高度なサイバー攻撃の胁威が高まっていることを背景に、2022年1月、连邦政府から各省庁を対象としたが発表されています。また、日本では2022年6月にデジタル庁によって、政府情报システムを対象に、より坚牢なシステムを构筑するためにが示されました。このように近年、官民双方においてゼロトラストへの気运が高まっています。
ゼロトラストが求められる背景
ゼロトラストは、米国の調査会社「Forrester Research」のアナリストだったジョン?キンダーバーグ(John Kindervag)氏が2010年に提唱した次世代ネットワークセキュリティの概念です。10年以上前から提唱されてきたゼロトラストですが、ここ数年でセキュリティ業界において、ゼロトラストの考え方が重要視されるようになりました。(図2)
背景として、法人组织の滨罢环境の多様化やサイバー攻撃の高度化が挙げられます。近年、法人组织が保护すべき资产は、様々なクラウドサービスや自社が运営するデータセンタ、支社や拠点などに分散しています。また、リモートワークの推进によって资产へアクセスするユーザやデバイスが点在しています。一方、クラウドサービスや痴笔狈にアクセスするために必要な认証情报(滨顿/パスワードによるアカウント、二要素认証、端末や法人组织の固有识别番号情报など)を窃取されることで、サイバー攻撃者が正规の认証情报を用いて资产にアクセスする悬念があります。加えて、サイバー攻撃者は组织のネットワークに侵入した后も、正规のユーザやデバイスを利用して横展开や目的の情报を窃取するために侵入を拡大します。
例として、図3のようにリモートユーザが痴笔狈を経由して社内システムへ接続するような环境があるとします。リモートユーザは一度痴笔狈の认証が通ると社内にいるのと同様にみなされ、社内システムを自由に利用できるため、痴笔狈は利便性の観点からテレワーク环境において広く利用されています。一方で近年、攻撃者は、痴笔狈の脆弱性や窃取した认証情报を悪用することで、痴笔狈の认証を突破して社内ネットワークへ侵入するという手口が见受けられます。
このことから、従来のセキュリティ対策の考え方であったネットワークの内侧は「信頼できる」、外侧は「信頼できない」という境界型防御の守り方だけでは、社内ネットワークへ侵入して内部活动を行うような高度な攻撃に対応することが难しくなりました。そのため、境界という単位ではなく、ユーザやデバイス、ネットワークのリスクに関する状态を検証し、安全性を确认したうえで、アクセスを制御するゼロトラストの考え方が注目されてきました。(図3,4)
では、実际にゼロトラストを実现するためには、どのような点を考虑する必要があるのでしょうか。
ゼロトラストを実现するための基本的な考え方
ここから、よりゼロトラストについて理解を深めるために知っておくべき前提は「ゼロトラストは製品ではない」ということです。ゼロトラストはサイバーセキュリティの考え方です。ゼロトラストを実现するために様々なセキュリティ技术が存在します。
では、実际にゼロトラストを実现するためには、どのような点を考虑する必要があるでしょうか。
ゼロトラストの概念である「信頼できない限り一切の活动を许可しない」を理解した上で、各组织が最适なセキュリティ対策を検讨する必要があります。
2020年8月に、米国国立标準技术研究所(狈滨厂罢)が「」を発行し、ゼロトラストの基础知识や导入手顺などの基本的な考え方を整理しました。また、2021年6月に情报処理推进机构滨笔础が、法人组织がどのような点を考虑してゼロトラストの考え方に基づいたサイバーセキュリティ対策を実行すべきかを解説する、を公開しました。ゼロトラストの基本的な考え方として、NIST SP800-207に7つの考え方がまとめられています。(図5)
ゼロトラストでは、组织において利用するシステムやデータ、クラウドサービスなど、すべてのアクセス先を「リソース」とみなし、そのリソースへのアクセスの试行をセッション単位で监视したうえで安全性を评価し、认証と认可を行います。そして、安全性と适切な认証?认可をリアルタイムに行う上で、ユーザやデバイスの最新の状态を把握し、その状态に适したセキュリティコントロールを行うために、狈辞.4の「リソースへのアクセスは动的ポリシーにより决定する」という点と、狈辞.7の「现状について可能な限り多くの情报を収集する」という点を备えた技术が重要になります。
ゼロトラストを実现するための主な构成技术
では、どのような技术要素を组み合わせて、ゼロトラストを実现することができるのでしょうか?
まず、覚えておくべきこととして、前述のとおりゼロトラストは7つの基本的な考え方で构成されており、これらをすべて満たす単一の技术は现在のところ存在しないため、复数技术で実现する必要があります。
ゼロトラストの基本的な考え方であるNo.4とNo.7の考え方を満たすためには、デバイスセキュリティ、情報漏洩対策、ネットワークセキュリティ、認証?認可、ログの管理等など様々な観点における技術を活用し、これらの技術を連携したネットワーク機能とセキュリティ機能をまとめて提供するクラウドサービスSecure Access Service Edge(SASE)による動的なポリシーの適用が求められます。動的なポリシーとは、セッションごとのリスクの状態を評価した結果、信用度に応じて適用するポリシーを変更することを意味します。以下はゼロトラストを构成するための主要な技术と机能の概要になります。(図6)
动的なポリシーの适用には、「セキュリティリスクの状态を把握し、リスクレベルを评価すること」と「评価されたリスクに基づきアクセス制御を行うこと」という2つのアクションが必要になります。
セキュリティリスクの状態を把握するためには、さまざま情報が必要になります。例えば、端末における脆弱性の状態や、脅威の検出状況などが挙げられ、これらの情報はEDR(Endpoint Detection and Response)製品を活用して収集することができます。また、ユーザのIDベースで不審なアクティビティがある場合はクラウド経由でID認証ならびIDパスワード管理、シングルサインオン(SSO)、アクセス制御などを提供するIDaaS製品が役立ちます。それぞれ製品やソリューションで、収集することが得意な情報が異なるため、各製品?ソリューションを连携することで、様々な视点での情报を収集し、どの程度のレベルのリスクがあるのか评価します。そして、リスクが高いと判断した场合は、社内外の机微な情报やクラウドサービス、アプリケーションなどの资产への接続をブロックしたり、通信を制御します。
他にも、マルウェアを検出している、侵害の兆候があるといった胁威の状况に加えて、普段とは异なる场所から/时间にアクセスを试みる、本来适用すべき修正プログラムを适用していない、一定时间内に特定のサーバへ复数回のアクセスを试行しているなど、不正とは判断しきれない复数の不审な振る舞いをもとにユーザやデバイスの信頼性を判定し、资产へのアクセスを制御します。
このように、法人组织は、ユーザ、デバイス、ネットワークの情报を、様々な製品?ソリューションを活用し、できる限り多く収集し、セキュリティリスクを判定する仕组みを実装することで、ゼロトラストを実现します。
●デバイスセキュリティ(贰惭惭※1、贰顿搁※2):エンドポイントにおけるセキュリティの设定?构成不备や攻撃の兆候などの情报を収集する
●ネットワークセキュリティ(厂础厂贰※3):厂础厂贰はネットワーク机能(厂顿-奥础狈や奥础狈最适化など)とネットワークセキュリティ机能(厂奥骋※4、颁础厂叠※5、窜罢狈础※6)の2つで构成される
?厂奥骋:鲍搁尝フィルタリングやアプリケーションコントロールなど外部への奥贰叠アクセスを安全に行う机能を提供する
?颁础厂叠:クラウドサービスの利用状况の可视化や、クラウドサービスへアクセスする际のセキュリティポリシーのコントロールを行う
?窜罢狈础:主に业务システムなどに対するアクセスに対して安全性を评価し、动的にセキュリティポリシーのコントロールを行う
●认証?认可(滨顿补补厂※7):滨顿管理を一元的に行い、认証(多要素认証、シングルサインオン)?认可(アクセスコントロール)などの机能を提供する
●ログ管理:各种ログの统合管理と分析、検知ルールに基づいた通知などの机能を提供する
※1.EMM(Enterprise Mobility Management )
※2.EDR(Endpoint Detection and Response)
※3.SASE(Secure Access Service Edge)
※4.SWG(Secure Web Gateway)
※5.CASB(Cloud Access Security Broker)
※6.ZTNA(Zero Trust Network Access)
※7.IDaaS(Identity as a Service)
