「ゼロトラスト」 ~境界型とは違うゼロトラストのアプローチ~
前回のコラムでは、ゼロトラストはなぜわかりにくいのかを考察し、二つの流派について説明しました。今回は、ゼロトラストのアプローチがこれまでの境界型とどのように違うのかを具体的に見て行きましょう。
このような状況の中でゼロトラストの基本的な考え方を押さえておくとすれば、それは「侵入されることを前提とした対策」ということになります。境界型セキュリティが目指したのは「すべての悪いものを入口で止める」ことであり、それができないことが明らかになったということだからです。
NIST(National Institute of Standard and Technology:米国標準技術研究所)も書いているように、境界型がすぐに不要になるわけではありません。侵入を監視して阻止するための従来型の対策は、引き続き必要です。しかしこれからのセキュリティは、侵入されていることを想定し、ネットワーク上に怪しい動きがないかを常に監視し、怪しい動きがあった場合にいかに迅速にその動きを止めリスクを排除するかに焦点が移っていきます。
このとき、「絶対に流出させてはならないものはネットに置かない」と考える人がいますが、最新の考え方では、これは推奨されません。そもそも現代においてネットに置かないのは効率が悪すぎます。そして、ネットに置かずに金庫に入れたとしても、流出のリスクはゼロではありません。誰かが侵入して中を見て、そのまま金庫を閉めて出て行ってしまえば、流出したことに気づくことすらできません。それであれば、ネット上に置いて常時監視し、厳格にアクセス制限を課し、誰が見たか、触ったかを徹底的にログに残す方がむしろ安全である、というのが最新の考え方です。
流出が判明した場合に、そのファイルをオープンできなくするソリューションも存在しますから、それらを組み合わせて、どこまでのリスクを許容するか、それを守るためにコストをどれくらいかけるかを天秤にかけるのです。
たとえば営業担当者であれば、人事や総務のフォルダにアクセスできる必要は(通常)ありません。IDとパスワードでログインした状態でアクセスできるのは自分のフォルダだけにしておき、他のファイルを見たり操作したりしたい場合にはさらに厳しい認証(2要素や生体認証)を課すか、上司の許可を得てもらうようにします。しかも、アクセスできるのは30分または1時間など厳しく時間を制限し、延長が必要な場合にはその都度、追加の認証を課します。これらは、ポリシーを設定して自動化するか、上司が直接判断するかをリスク許容度に応じて設定します。
いつもは東京にいるユーザーが、その日だけは海外からアクセスしてきたり、業務時間以外にログインしてきたりするような場合は注意が必要です。必要に応じて追加の認証を課したり、さらに厳しいアクセス制限をかけたりします。これがリスクベース認証です。
「そんなこと、いちいち設定していられない」と思われるかも知れません。だからこそ、AIを含むさまざまな自動化オプションが用意されています。逆に言えば、ゼロトラストはAIやクラウドの進化がなければ実現できなかったのです。ここ数年で一気にゼロトラストへの機運が高まってきたのは、AIの進化と無縁では無いでしょう。
脅威インテリジェンスが充実してきた背景にも、膨大なデータを自動的に処理できるAIの進歩が大きく影響しています。これらの脅威インテリジェンスを活用することで、たとえば地球の裏側で大規模なセキュリティインシデントが起きた場合に、いち早くその情報を共有してその脅威が日本に到達する前に対策を講じることができるのです。
そのため、ゼロトラストにおいてはIDaaS(ID as a Service)の導入が鍵となります。IDaaSではIDの管理を一元化できるため、ポリシーの適用やアクセス制限を一カ所で制御できます。
ICTのセキュリティのことならミツイワにお任せください。
ミツイワでは、ネットワークセキュリティからエンドポイントセキュリティまで、お客様のニーズとICTインフラに合わせて幅広いセキュリティ製品/ソリューションの中から最適なものをご提案させていただいております。お勧めの主なセキュリティソリューションはこちら(https://www.mitsuiwa.co.jp/solution_category/security/)
ゼロトラストはどのように機能するのか
前回も書いたように、ゼロトラストはこれまでの境界型セキュリティの限界を克服するための「新しい考え方」です。しかしその歴史はまだ浅く、統一的な指針(NIST SP800-207)も出たばかりです。さまざまな技術が発展途上であり、二つの流派に代表されるさまざまな手法やアプローチが提案されているのが現状です。このような状況の中でゼロトラストの基本的な考え方を押さえておくとすれば、それは「侵入されることを前提とした対策」ということになります。境界型セキュリティが目指したのは「すべての悪いものを入口で止める」ことであり、それができないことが明らかになったということだからです。
NIST(National Institute of Standard and Technology:米国標準技術研究所)も書いているように、境界型がすぐに不要になるわけではありません。侵入を監視して阻止するための従来型の対策は、引き続き必要です。しかしこれからのセキュリティは、侵入されていることを想定し、ネットワーク上に怪しい動きがないかを常に監視し、怪しい動きがあった場合にいかに迅速にその動きを止めリスクを排除するかに焦点が移っていきます。
情報資産を明確化してリスク許容度を設定
そのためには、まず「何をどこまで守るのか」を決める必要があります。社内にある情報資産をリストアップし、その保管場所、コピーの数とその在処、万一流出した場合の影響などを検討します。その上で、リスク許容度を設定します。流出しても大きな影響の無いものについて、過剰なセキュリティをかけても仕方ありません。逆に、絶対に流出させてはいけないものには二重三重の対策を施すべきです。このとき、「絶対に流出させてはならないものはネットに置かない」と考える人がいますが、最新の考え方では、これは推奨されません。そもそも現代においてネットに置かないのは効率が悪すぎます。そして、ネットに置かずに金庫に入れたとしても、流出のリスクはゼロではありません。誰かが侵入して中を見て、そのまま金庫を閉めて出て行ってしまえば、流出したことに気づくことすらできません。それであれば、ネット上に置いて常時監視し、厳格にアクセス制限を課し、誰が見たか、触ったかを徹底的にログに残す方がむしろ安全である、というのが最新の考え方です。
流出が判明した場合に、そのファイルをオープンできなくするソリューションも存在しますから、それらを組み合わせて、どこまでのリスクを許容するか、それを守るためにコストをどれくらいかけるかを天秤にかけるのです。
きめ細かくアクセス権を設定
次に、アクセス権限の設定です。誰がどのファイルにアクセスする必要があるか、その権限は閲覧のみか、書込みも許可するかは、情報資産のリストアップと検証が済んでいれば、簡単に決められるはずです。大事なのは、ファイル一つ一つにいたるまで、きちんと設定すること、そして最初はなるべく権限を限定することです。これが「最小権限の原則(PoLP:Principle of Least Privilege)」で、最小特権の原則とも呼ばれます。たとえば営業担当者であれば、人事や総務のフォルダにアクセスできる必要は(通常)ありません。IDとパスワードでログインした状態でアクセスできるのは自分のフォルダだけにしておき、他のファイルを見たり操作したりしたい場合にはさらに厳しい認証(2要素や生体認証)を課すか、上司の許可を得てもらうようにします。しかも、アクセスできるのは30分または1時間など厳しく時間を制限し、延長が必要な場合にはその都度、追加の認証を課します。これらは、ポリシーを設定して自動化するか、上司が直接判断するかをリスク許容度に応じて設定します。
AIによる行動分析
そして、ログインしてきたユーザーの行動を監視します。怪しい挙動をしていないか、アクセス禁止のデータにアクセスしようとしていないか。ユーザーだけでなく、システム上のプログラムも同様です。マルウェアが侵入して人知れず活動しているかも知れないからです。いつもは東京にいるユーザーが、その日だけは海外からアクセスしてきたり、業務時間以外にログインしてきたりするような場合は注意が必要です。必要に応じて追加の認証を課したり、さらに厳しいアクセス制限をかけたりします。これがリスクベース認証です。
「そんなこと、いちいち設定していられない」と思われるかも知れません。だからこそ、AIを含むさまざまな自動化オプションが用意されています。逆に言えば、ゼロトラストはAIやクラウドの進化がなければ実現できなかったのです。ここ数年で一気にゼロトラストへの機運が高まってきたのは、AIの進化と無縁では無いでしょう。
脅威インテリジェンスによるバックアップ
そして近年活用が拡大しているのが、脅威インテリジェンスです。脅威インテリジェンスとは、全世界のサーバーやデバイス、セキュリティソリューションからサイバーセキュリティに関するデータを収集し、それらを解析して知見を抽出したもので、各セキュリティベンダーが取り組んでいる他にオープンに公開されているものもあり、ベンダーを横断して知見を集約しようという動きもあります。脅威インテリジェンスが充実してきた背景にも、膨大なデータを自動的に処理できるAIの進歩が大きく影響しています。これらの脅威インテリジェンスを活用することで、たとえば地球の裏側で大規模なセキュリティインシデントが起きた場合に、いち早くその情報を共有してその脅威が日本に到達する前に対策を講じることができるのです。
鍵となるIDaaS
そして、ゼロトラストの肝となるアクセス制御に欠かせないのが、認証基盤です。境界型セキュリティ時代には、境界に入ってくるところでユーザーIDとパスワードによる認証を行えば良かったのですが、さまざまな場所のさまざまなサービスを行き来しながら処理を行うクラウド時代には、そうは行きません。さまざまなサービスに一つのIDとパスワードでログインするための技術としてはSSO(Single Sign On)がありますが、SSOは複数の認証機構を相互に接続するための技術であり、ユーザー管理や権限設定は個々の基盤で行われるため、ポリシーを一括で適用したり、アクセス制限を管理したりすることはできません。また、個々に設定する必要があるのは煩雑でもあります。そのため、ゼロトラストにおいてはIDaaS(ID as a Service)の導入が鍵となります。IDaaSではIDの管理を一元化できるため、ポリシーの適用やアクセス制限を一カ所で制御できます。
これからのゼロトラスト
冒頭にも書いたように、ゼロトラストは始まったばかりで、ソリューションやテクノロジーは急速に進化している途中です。そして5GやIoTなど、新しいテクノロジーが利用可能になれば、それにあわせて方向性はどんどん変わって行きます。次回は、これらの新しいテクノロジーがセキュリティ環境に与える影響を考えてみましょう。ICTのセキュリティのことならミツイワにお任せください。
ミツイワでは、ネットワークセキュリティからエンドポイントセキュリティまで、お客様のニーズとICTインフラに合わせて幅広いセキュリティ製品/ソリューションの中から最適なものをご提案させていただいております。お勧めの主なセキュリティソリューションはこちら(https://www.mitsuiwa.co.jp/solution_category/security/)
