ゼロトラストは、昨今バズワード的に取り上げられるようになっていますが、言葉の意味としては「何も信頼しない」ということです。つまり、特定の技術や製品を指したものではありません。
この記事では、2020年8月にNIST(米国国立標準技術研究所)が公表したゼロトラスト・アーキテクチャという設計思想に沿って、定義や構成要素を解説します。
ゼロトラストの定義と必要性
ゼロトラストは、企業や組織における、ワークフロー、システム設計、運用のための一連の基本原則を指しています。信用できるもの(Trust)は何もない(Zero)という前提で、システム設計やセキュリティ対策を行うべきであるという考え方自体がゼロトラストで、何か特定の技術や製品のことを指しているわけではありません。
この考え方が登場したのは2000年代後半ですが、それまでのITシステムにおけるセキュリティは、「不正アクセスされない」ことや「攻撃されない」ことを目指して、安全な内部ネットワークと信頼できない外部との境界をしっかり守るという考え方でした。そのための技術が、ファイアウォールやウイルス対策ソフトなどです。
ただし、攻撃を防ぐという盾の対策は、攻撃側の技術の進歩といたちごっこになってしまいます。また、アカウントの乗っ取りや内部犯行などの被害も防ぐことができません。そこで、「攻撃されること、侵入されることがあるかもしれない。もしそうなっても被害を最少にする」「攻撃側の最終目的までは達成させない」ための対策を打つべきです。
特に最近では、クラウドシフトやリモートワークの拡大などを背景に、企業ネットワークの内部と外部を単純に分けることが難しくなっています。さらには、マルウェアやランサムウェアなど、サイバー攻撃による被害がますますビジネスに重大な影響を与えるものになっているのも事実です。そこでNISTでは、ゼロトラストの原則に基づいた組織におけるサイバーセキュリティアーキテクチャとして、ゼロトラスト・アーキテクチャ(NIST SP800-207)という文書を発行しています。
これは、米国の連邦政府情報システムで準拠すべきガイドラインですが、NISTのガイドラインは各国のさまざまな場面で参考にされますので、企業のITインフラ担当者やセキュリティ担当者は目を通しておくといいでしょう。IPA(独立行政法人 情報処理推進機構)のサイトにも、日本語訳のリンクがあります。
ゼロトラストの基本的な考え方と特徴
ゼロトラスト・アーキテクチャでは、「境界線防御から、ユーザー、資産、リソースに焦点を当てた防御へと移行する」ことが求められています。NIST SP800-207では、ゼロトラストの考え方として、以下の7つを基本原則としています。
1. すべてのデータソースとコンピューティングサービスをリソースと見なす
現在、企業のITシステムは、自社のサーバーとパソコンだけで構成されているわけではありません。SaaSを使っているかもしれませんし、BYODで個人端末の利用を許しているかもしれません。さらにはUSBメモリのような媒体も、社内システムに接続されるもののひとつです。ゼロトラストでは、これらすべてをセキュリティにおいて考慮すべき対象、リソースと考えます。
2. ネットワークの場所に関係なく、すべての通信を保護する
従来のITシステムでは、社内の端末から社内のサーバーにアクセスする場合は安全な通信であると考えていたため、内部通信ではセキュリティ対策は何も行っていないというケースも多々ありました。しかしゼロトラストでは、「どこからアクセスしたかにかかわらず、すべての通信は機密性と完全性を保護し、アクセス元に対する認証を提供しなければいけない」としています。
3. 企業リソースへのアクセスはセッション単位で付与する
ゼロトラストでは、必要最小限の権限でアクセスを許可することが求められています。例えば、特定サーバーの特定情報に一度だけアクセスを許可するように設定しなければいけないということです。
4. リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する
アクセス権限は、状況に合わせてその都度付与しなければいけないということです。
5. 企業は、すべての資産の整合性とセキュリティ動作を監視し、測定する
すべてのハードウェアとアプリケーションにおいて、適切なセキュリティ設定がONになっており、バグフィックスされた状態でセキュリティパッチが当たっているかどうか、常に監視しなければなりません。さらに、セキュリティ動作の状況も常に監視し測定しなければなりません。
6. すべてのリソースの認証と許可は動的に行われ、アクセスが許可される前に厳格に実施する
継続的なアクセスでは、アクセス元の信頼性を継続的に再評価することが求められています。
7. 企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する
常にデータを収集し、そこから得られた洞察をポリシー策定やセキュリティ施策の改善に使用しなければなりません。
一般的に、情報システムのセキュリティというと、認証や暗号化などネットワークセキュリティの分野の話になります。NIST SP800-207では、ネットワーク接続の基本的な前提条件として、以下の6点が挙げられています。
- 企業のプライベートネットワークは、暗黙のトラストゾーンと見なさない
- ネットワーク上のデバイスは、企業が所有していないか、構成可能なものではない可能性がある
- どんなリソースも本質的に信頼されるものではない
- すべての企業リソースが企業のインフラストラクチャ上にあるわけではない
- リモートの企業主体と資産は、ローカルネットワークの接続を完全に信頼できない
- 企業のインフラストラクチャと非企業のインフラストラクチャとの間で移動する資産とワークフローには、一貫したセキュリティポリシーが必要
ただし、ゼロトラスト・アーキテクチャでは、ネットワークセキュリティに加えて、基本原則5あるように、個々の端末のようなエンドポイントのセキュリティについても考慮するようにとされていることが大きな特長です。
ゼロトラストを導入する前に必要なこと
現在、サイバー攻撃の手法が高度化し、セキュリティの脅威は高まっています。このため、従来どおりの境界防御型のアプローチでは、自社の安全が確保できません。これが、ゼロトラストが注目を集めている背景です。
しかし、ゼロトラスト・アーキテクチャは、Architecture(構造)について定義したものなので、対応するには構造を変革しなければなりません。このため、最新のセキュリティを実現できる製品だからといって、自社の現状をあまり顧みないで飛びつくとうまくいかないこともあります。特に、セッションごとに信頼性を検証することで、システムの負荷が上がったりユーザーの利便性が下がったりすることもあるので、自社で実現したいことは何か、そのために許容できることは何か、実現に向けてどのようなテクノロジーがあるか、しっかり検討し見極める必要があります。
まとめ ゼロトラストの実現
アーキテクチャの変革を伴うゼロトラストへの対応は、セキュリティ製品の置き換えや新しい技術の追加などで、単純に達成することはできません。その半面、多くの企業は既にその構成要素の一部を備えています。現状の対策の棚卸しやセキュリティポリシーの整備、ビジネスプロセスの再定義などと並行して、必要な技術を追加していくことで、理想的なゼロトラストの実現が可能です。
例えば、エンドポイントセキュリティの対策がまだだという場合は、タニウムのサイバー衛生管理やEDRなどのソリューションを導入すれば、基本原則5に準拠することができます。こちらはネットワークセキュリティの対策とコンフリクトすることはないので、手始めに取り組むものとしてもお勧めです。
Taniumプラットフォーム
