【IT基礎知識】究極のセキュリティ！ゼロトラストとは？

こんにちは、Kパパです。
今回は初めてITについてのブログを書きます😂

これが本業なのにね…😭

今回紹介させていただくのはゼロトラストです。ITをやってらっしゃる方は耳にしたことがあるかもしれません。

今回この話題を選んだのは私自身がゼロトラスト導入の検討に関わり、その知識の整理のためにブログにまとめようと思ったからです。

詳細は次節以降に例といっしょに見ていきます。

ITに詳しく無い方もMicrosoftやGoogle はこういうふうにセキュリティを構築しているんだなぁ概要が分かるように解説しますのでぜひご覧ください！

本記事の対象者

ITの知識の有無は問いません。

以下の方であればどなたでも分かるように解説します。

• Google や Microsoft のセキュリティに興味がある方
• ゼロトラストに興味がある方
• 知識を深めたい方

最後の節、まとめをご覧いただいてゼロトラストの概要を掴んでから各節を読んでいただいても構いません。

ゼロトラストとは?

ゼロトラストとはどういう概念なのでしょうか。以下に記載します。

ここで「認証」は正規のユーザであることを確かめることで、「認可」はユーザに対して権限を与えることです。

認可は少し分かりづらいですが、Gmail などを想像してもらえると分かりやすいです。

Gmailのログイン後のページ、受信ボックスや送信ボックスが表示されているページですが、ここへのアクセスはIDやパスワードで「認証」を受けたユーザの中でも自分以外はアクセスできませんよね。

これはGoogle側でその人にのみアクセス権を与えているからです。このアクセス権を与えるという考え方が「認可」になります。

いかがでしょうか。定義だけ見ると多要素認証（ユーザIDとパスワードの他にスマホに届く認証コードを加えたユーザ認証方法）とさほど変わらないように見えますよね。

しかし、ゼロトラストはその名の通り何も信頼しない、すなわち全部を認証するがその考えの根底にあります。

また、さきほどから使っている「ユーザ」という言葉に注意してください。

従来のネットワークの考え方では、社内のユーザ・社外のユーザというように「ユーザ」に区別があったのではないでしょうか。

なんと！ゼロトラストで定義されるユーザはそのような区別はありません。

社内のユーザ・社外のユーザ関係なく、同じ尺度で認証を行い、その認証結果に基づいて社内のユーザであるか社外のユーザであるかを判定し、権限を与えます（認可を与えます）。

ここで言った尺度には単なるユーザIDやパスワードにとどまらず、使用しているデバイスや通信内容等も含まれます。

すなわち、従来のセキュリティの考え方とゼロトラストの考え方で異なる点はこの「ユーザ」の捉え方にあります。

ゼロトラストネットワークとは？

前節ではゼロトラストの概念を確認しました。では、ゼロトラストの考えはどこで使われているのでしょうか？

一般的にはゼロトラストとはネットワークの話題といっしょに使われます。ここでいうネットワークは主にAzureやAWSなとのクラウドサービスを利用して構築されたネットワークを言います。

なお、ゼロトラストの考え方を取り得れて構築されたネットワークをゼロトラストネットワークと呼びます。

では、ゼロトラストの考えをどのようにしてネットワークに落とし込むのでしょうか。

以下は、ゼロトラストネットワークの要件になります。

繰り返しになりますが、ゼロトラストネットワークとは、アクセスしてきたデバイスに対して、自社の端末であろうとなかろうとすべて認証をさせた上で、適切なアクセス権限を付与し、ネットワーク上のシステムやデータにアクセスさせるという考え方です。

現状把握とリスク管理あってこそのゼロトラストネットワーク

はい。ここでは、ゼロトラストネットワークを構築する際にどのような検討を行うべきかを見ていきます。

具体的には以下のとおり検討します。

特に重要なのは、下記です。

ゼロトラストは社内のネットワーク・社外のネットワークという概念を超えて、自社のシステムにアクセスしてきた端末に対してどのようにして適切に認証・認可を行うかの考え方です。

ゼロトラストを導入したら、即効果が現れるのではなく、上記の「現状把握」「リスクアセスメント」「ポリシー開発」という下積みをしっかり行った上で初めて効果が現れます。

ゼロトラストネットワークの導入を検討される場合、上記はソリューションを選ぶ以上に力を入れましょう。

Azureではじめるゼロトラストネットワーク

次にゼロトラストネットワークを構成するために必要な機能とAzureで該当するサービスを紹介します。

文量が長く、専門的ですので、用語だけご確認いただくか読み飛ばしていただいて構いません😊

１．CASB (Cloud Access Security Broker)

• 利用者と複数のクラウドプロバイダーの間に単一のコントロールポイントを設け,そのポイントでクラウド利用の可視化や制御を行うこと。以下４つの機能を有するもの
  • 可視化
  • データセキュリティ
  • コンプライアンス
  • 脅威防御
• Azure で該当するサービス
  • Microsoft Cloud App Security

２．CSPM (Cloud Security Posture Management)

• パブリッククラウド(IaaS, PaaS)に対して, セキュアな設定がなされていることを継続的に評価し、適切な設定への修正を支援するソリューション
• Azure で該当するサービス
  • Microsoft Cloud App Security – クラウドプラットフォームのセキュリティを管理する

３．EDR (Endpoint Detection and Response)

• エンドポイント（パソコン・サーバ・スマートデバイス等）の操作や動作の監視を行い，サイバー攻撃を受けたことを発見し次第対処するソリューション。

• Azure で該当するサービス
  • Microsoft Defender for Endpoint

４．EMM (Enterprise Mobility Management)

• エンドポイントの動作や操作を監視. 主な要素
  • サイバー攻撃, APTの兆候を検知
  • エンドポイントのログデータを解析し, 相互の関連付けを行う
  • リアルタイム監視
  • アンチウィルスと連携する
  • インシデントレスポンス(IR) とフォレンジック調査に利用できるよう可視化
• Azure で該当するサービス
  • Microsoft Intune

５．IDaaS (Identity as a Service)

• ID管理を一元的に行うクラウドサービス
  • シングルサインオン
  • アクセスコントロール
  • サービス・フォルダ
  • ID管理
• Azure で該当するサービス
  • Azure Active Directory

６．IRM（Information Rights Management）

• ファイルを暗号化した上で, 利用者ごとにアクセス権限を付与し管理する技術のこと.電子メールや文書,画像データ等のコンテンツ管理することで情報漏洩を防止する.
  • アクセス権限の制限
  • 操作権限の制限
  • 参照期間の制限
• Azure で該当するサービス
  • Azure Infomation Protection

７．SASE (Secure Access Service Edge)

• 決まったサービスというより概念。クラウド上のサービスにはCASB・SDP・SWGなどのセキュリティ機能を介してアクセスすべきという考え方。これらのセキュリテイ機能は単一のプラットフォームで提供されることを推奨。

８．SDP (Software Defined Perimeter)

• アクセス制御をソフトウェア上で構築.集中的に制御.アクセス制御に関わる設定を柔軟に動的に変更することで安全にデータを転送する技術。 (例)
  • クライアントにエージェントを導入。SDPのコントローラがセキュアなVPN接続を確立・通信許可等をソフトウェアが管理する。
  • コントローラがアクセス可否を判断し, 問題なければ接続先のネットワーク情報をエージェントへ伝える.
• Azure で該当するサービス
  • Azure AD Application Proxy

９．SWG (Secure Web Gateway)

• 外部への WEB アクセス等を安全に行うためのクラウド型プロキシのこと。
• Azure で該当するサービス
  • 特になし. ただ他のSWGサービスと統合可能. cloud Discovery でログの監視可能
  • Cloud Discovery

10．SOAR (Security Orchestration, Automation and Response)

• セキュリティ運用の連携及び自動化・効率化を行う技術のこと
  • 脅威と脆弱性の管理
  • 情報収集, 証跡管理, インシデント対応
  • セキュリティ運用の自動化
  • タスクを自動化する.
  • セキュリティ・インシデント対応
  • 脅威に対する対応を計画, 管理, 調整, 監視する方法とのこと.
• Azure で該当するサービス
  • Azure Sentinel

11．UEBA (User and Entity Behavior Analytics)

• ネットワーク内のユーザやデバイスによる通常/異常な振る舞いをモデル化・分析, 検知するサービスのこと。振る舞いを監視・学習・処理することで特定の行動や振る舞いがサイバー攻撃に至る可能性を評価する.
• Azure で該当するサービス
  • Azure Sentinel ユーザとエンティティの行動分析(UEBA)

とくに重要なのが「Cloud App Security」「Azure Active Directory」「Azure Sentinel」「Microsoft Defender for Endpoint」「Microsoft Intune」になります。これらが認証・認可の基礎となりますので、Azureでゼロトラストネットワークを構築する場合、これらの機能はMicrosoft のドキュメントでしっかり確認しましょう。

これぞ究極！ゼロトラストネットワークの最終形

どうでしょうか。ゼロトラストネットワークのカタチがなんとなく見えてきましたでしょうか。ここではゼロトラストネットワークの最終形について触れます。

ゼロトラストネットワークの最終形、具体例は皆様ご存知の Google です。

Google の Gmail はどこからでも・誰でもアクセスできて、個人の認証機能があり、自分自身のメールボックスには自分しかアクセスできせん（自分のメールボックスには自分しかアクセスできないという認可を与える機能になります）。

そのため、Gmail は ゼロトラストネットワーク上に構築されたサービスと言えます。

また、大多数の方はスマホからGmailにアクセスしていませんか？？

さきほど、ゼロトラストネットワーウの最終形は Google と説明しました。
ゼロトラストネットワークの最終形。これは言い換えると、

スマホとアカウントさえあれば、だれでも・どこからでも使えるサービスであることです。

もちろんスマホはインターネットにつながっている端末と置き換えることができます。

すなわち、究極のゼロトラストネットワークを導入した会社とはスマホ一つで会社のシステムにアクセスできるシステムです（下図）。

このとき、この会社のサーバ室には何もありません。そして、通信はすべてスマホの回線経由です。

この例は、あくまで理想であり、会社の業務の形態・内容や支払えるコストによりゼロトラストの実現方法は変わります。

まとめ

いかがだったてしょうか。ゼロトラストの概要がすこしつかめたなら幸いです。
最後に少し復習をして当記事を終えたいと思います。

ゼロトラストネットワークと従来のネットワークの違いは、ユーザの考え方でした。
従来のネットワークは社内・社外という区分けがあり、社内のユーザのみしか社内システムにアクセスできないといった構成でした。一方、ゼロトラストネットワークはそのような区分けはなくアクセスしてきたユーザをポリシーをもとに認証し、認可（アクセス権限）を与えるネットワークです。

そのため、ゼロトラストネットワークはソリューションの選択以上に、リスクの見積もりとポリシーの開発（社内ユーザを見分ける方法等）が最重要の課題です。

実際にゼロトラストネットワークを構築するためのソリューションとして、MicrosoftのAzureがあります。AzureではSWG以外網羅することができます。今後導入を予定されている方はぜひ検討してみてください。

現在、ゼロトラストネットワーク上に構築されているサービスの例としてGoogleのGmailがあります。このサービスから分かるように、究極のゼロトラストネットワークとはスマホなどのインターネットに接続しているデバイスのみあればどこからでもシステムを利用できる形態です。この際、自社が抱えるサーバ機器等は１つもありません。

以上、本記事では、ゼロトラストの概要・運用・Azureでのソリューションの選定等について見てきました。

本記事を通して、少しでもゼロトラストに興味を持っていただけたら幸いです。

今後このようなITの記事や少し踏み込んだシステムの実装の話など書いていければとも思っています。

引き続きよろしくお願いいたします。

参考

本記事は以下を参考に作成しています。

ゼロトラスト導入指南書[IPA]