Programming

【IT基礎知識】究極のセキュリティ!ゼロトラストとは?

Programming

こんにちは、Kパパです。
今回は初めてITについてのブログを書きます😂

これが本業なのにね…😭

今回紹介させていただくのはゼロトラストです。ITをやってらっしゃる方は耳にしたことがあるかもしれません。

今回この話題を選んだのは私自身がゼロトラスト導入の検討に関わり、その知識の整理のためにブログにまとめようと思ったからです。

K赤ちゃん
K赤ちゃん

ゼロトラストって美味しいの?

Kパパ
Kパパ

ゼロトラストとはセキュリティの考え方なんだ。すべてを認証するという考え方で、Microsoft やGoogleも導入してるんだ。

詳細は次節以降に例といっしょに見ていきます。

ITに詳しく無い方もMicrosoftやGoogle はこういうふうにセキュリティを構築しているんだなぁ概要が分かるように解説しますのでぜひご覧ください!

本記事の対象者

ITの知識の有無は問いません。

以下の方であればどなたでも分かるように解説します。

  • Google や Microsoft のセキュリティに興味がある方
  • ゼロトラストに興味がある方
  • 知識を深めたい方

最後の節、まとめをご覧いただいてゼロトラストの概要を掴んでから各節を読んでいただいても構いません。

ゼロトラストとは?

ゼロトラストとはどういう概念なのでしょうか。以下に記載します。

ゼロトラストとは

あるユーザに対して、そのユーザが使用するデバイス・ユーザID及びパスワード・通信内容
等の複数のユーザ固有の情報をもとに認証・認可を行う考え方

ここで「認証」は正規のユーザであることを確かめることで、「認可」はユーザに対して権限を与えることです。

認可は少し分かりづらいですが、Gmail などを想像してもらえると分かりやすいです。

Gmailのログイン後のページ、受信ボックスや送信ボックスが表示されているページですが、ここへのアクセスはIDやパスワードで「認証」を受けたユーザの中でも自分以外はアクセスできませんよね。

これはGoogle側でその人にのみアクセス権を与えているからです。このアクセス権を与えるという考え方が「認可」になります。

いかがでしょうか。定義だけ見ると多要素認証(ユーザIDとパスワードの他にスマホに届く認証コードを加えたユーザ認証方法)とさほど変わらないように見えますよね。

しかし、ゼロトラストはその名の通り何も信頼しない、すなわち全部を認証するがその考えの根底にあります。

また、さきほどから使っている「ユーザ」という言葉に注意してください。

従来のネットワークの考え方では、社内のユーザ・社外のユーザというように「ユーザ」に区別があったのではないでしょうか。

なんと!ゼロトラストで定義されるユーザはそのような区別はありません。

社内のユーザ・社外のユーザ関係なく、同じ尺度で認証を行い、その認証結果に基づいて社内のユーザであるか社外のユーザであるかを判定し、権限を与えます(認可を与えます)。

ここで言った尺度には単なるユーザIDやパスワードにとどまらず、使用しているデバイスや通信内容等も含まれます。

すなわち、従来のセキュリティの考え方とゼロトラストの考え方で異なる点はこの「ユーザ」の捉え方にあります。

ゼロトラストの考え方まとめ
  • ユーザに対して複数のユーザ固有情報をもとに認証・認可をあたえる。
  • 従来のセキュリティの違いは「ユーザ」の捉え方。ゼロトラストでは社内のユーザ・社外のユーザという区別なく、すべてのユーザを対象とする。
  • 認証時に適切な権限を付与する(認可を与える)

ゼロトラストネットワークとは?

前節ではゼロトラストの概念を確認しました。では、ゼロトラストの考えはどこで使われているのでしょうか?

一般的にはゼロトラストとはネットワークの話題といっしょに使われます。ここでいうネットワークは主にAzureやAWSなとのクラウドサービスを利用して構築されたネットワークを言います。

なお、ゼロトラストの考え方を取り得れて構築されたネットワークをゼロトラストネットワークと呼びます。

では、ゼロトラストの考えをどのようにしてネットワークに落とし込むのでしょうか。

以下は、ゼロトラストネットワークの要件になります。

ゼロトラストネットワーク構築時の6つ要件
  1. インターネットに接続していないから、安全・安心という考えを捨てる。
  2. 接続するデバイスは、社内で管理されているデバイスのみ。というわけはではない。
  3. 社内で管理されている端末だから安全・安心というわけではない
  4. その会社が保有するデータやサーバは社内のネットワークだけでなくインターネット上にも分散されている
  5. 通信はhttpsなどの安全な方法で提供し、すべて認証の対象とすべきである。
  6. 社内で管理していもの・していないものに限らずシステム及びネットワークに接続する端末に対して一貫したセキュリティルールを構築する必要がある。

繰り返しになりますが、ゼロトラストネットワークとは、アクセスしてきたデバイスに対して、自社の端末であろうとなかろうとすべて認証をさせた上で、適切なアクセス権限を付与し、ネットワーク上のシステムやデータにアクセスさせるという考え方です。

現状把握とリスク管理あってこそのゼロトラストネットワーク

K赤ちゃん
K赤ちゃん

ゼロトラストネットワークは分かった。じゃあどうやって構築するの?

Kパパ
Kパパ

K赤ちゃん、ちょっとまって!ゼロトラストネットワーク構築前に

・自分たちのシステムの現状把握

・ゼロトラスト導入に伴うリスクアセスメント

行わないと運用方針がブレて宝の持ち腐れになるよ!

K赤ちゃん
K赤ちゃん

確かに…まだ0歳児だけど、運用設計が蔑ろにされて放置されたシステム、たくさん見てきたよ!

はい。ここでは、ゼロトラストネットワークを構築する際にどのような検討を行うべきかを見ていきます。

具体的には以下のとおり検討します。

ゼロトラストの運用(参考:IPA ゼロトラストという戦術の使い方)

特に重要なのは、下記です。

ゼロトラストの運用
  1. 現状把握
    ・自社で保有しているデバイスや情報資産等に対してアクセスを許可するものアクセスを制限するものを把握
  2. リスクアセスメント
    ・ゼロトラストを導入した場合のリスクとコストの評価。最初は低コスト・低リスクの業務で行い、範囲を拡大すること。
  3. ポリシー開発
    ・ユーザ認証の方法. ID/パスワードに加え、スマホを用いた認証など。
    ・どのようなルールで社内の端末・社外の端末の区別をシステムに把握させるか。
    ・システムで社内の情報資産にアクセスを許可したデバイス・ユーザにどのようなルールで、どのような権限をあたえるか

ゼロトラストは社内のネットワーク・社外のネットワークという概念を超えて、自社のシステムにアクセスしてきた端末に対してどのようにして適切に認証・認可を行うかの考え方です。

ゼロトラストを導入したら、即効果が現れるのではなく、上記の「現状把握」「リスクアセスメント」「ポリシー開発」という下積みをしっかり行った上で初めて効果が現れます。

ゼロトラストネットワークの導入を検討される場合、上記はソリューションを選ぶ以上に力を入れましょう。

Azureではじめるゼロトラストネットワーク

次にゼロトラストネットワークを構成するために必要な機能とAzureで該当するサービスを紹介します。

文量が長く、専門的ですので、用語だけご確認いただくか読み飛ばしていただいて構いません😊

1.CASB (Cloud Access Security Broker)

  • 利用者と複数のクラウドプロバイダーの間に単一のコントロールポイントを設け,そのポイントでクラウド利用の可視化や制御を行うこと。以下4つの機能を有するもの
    • 可視化
    • データセキュリティ
    • コンプライアンス
    • 脅威防御
  • Azure で該当するサービス

2.CSPM (Cloud Security Posture Management)

3.EDR (Endpoint Detection and Response)

  • エンドポイント(パソコン・サーバ・スマートデバイス等)の操作や動作の監視を行い,サイバー攻撃を受けたことを発見し次第対処するソリューション。
EDRの主な要素
  • サイバー攻撃,高度標的型攻撃(APT 攻撃)の兆候を検知する
  • エンドポイントのログデータを解析し,相互の関連付けを行う
  • リアルタイム監視(エンドポイントに影響を与えない,または最小限にする)
  • アンチウイルスと連携する
  • インシデントレスポンス(IR)とフォレンジック調査に利用できるよう可視化

4.EMM (Enterprise Mobility Management)

  • エンドポイントの動作や操作を監視. 主な要素
    • サイバー攻撃, APTの兆候を検知
    • エンドポイントのログデータを解析し, 相互の関連付けを行う
    • リアルタイム監視
    • アンチウィルスと連携する
    • インシデントレスポンス(IR) とフォレンジック調査に利用できるよう可視化
  • Azure で該当するサービス

5.IDaaS (Identity as a Service)

  • ID管理を一元的に行うクラウドサービス
    • シングルサインオン
    • アクセスコントロール
    • サービス・フォルダ
    • ID管理
  • Azure で該当するサービス

6.IRM(Information Rights Management)

  • ファイルを暗号化した上で, 利用者ごとにアクセス権限を付与し管理する技術のこと.電子メールや文書,画像データ等のコンテンツ管理することで情報漏洩を防止する.
    • アクセス権限の制限
    • 操作権限の制限
    • 参照期間の制限
  • Azure で該当するサービス

7.SASE (Secure Access Service Edge)

  • 決まったサービスというより概念。クラウド上のサービスにはCASB・SDP・SWGなどのセキュリティ機能を介してアクセスすべきという考え方。これらのセキュリテイ機能は単一のプラットフォームで提供されることを推奨。

8.SDP (Software Defined Perimeter)

  • アクセス制御をソフトウェア上で構築.集中的に制御.アクセス制御に関わる設定を柔軟に動的に変更することで安全にデータを転送する技術。 (例)
    • クライアントにエージェントを導入。SDPのコントローラがセキュアなVPN接続を確立・通信許可等をソフトウェアが管理する。
    • コントローラがアクセス可否を判断し, 問題なければ接続先のネットワーク情報をエージェントへ伝える.
  • Azure で該当するサービス

9.SWG (Secure Web Gateway)

  • 外部への WEB アクセス等を安全に行うためのクラウド型プロキシのこと。
  • Azure で該当するサービス
    • 特になし. ただ他のSWGサービスと統合可能. cloud Discovery でログの監視可能
    • Cloud Discovery

10.SOAR (Security Orchestration, Automation and Response)

  • セキュリティ運用の連携及び自動化・効率化を行う技術のこと
    • 脅威と脆弱性の管理
    • 情報収集, 証跡管理, インシデント対応
    • セキュリティ運用の自動化
    • タスクを自動化する.
    • セキュリティ・インシデント対応
    • 脅威に対する対応を計画, 管理, 調整, 監視する方法とのこと.
  • Azure で該当するサービス

11.UEBA (User and Entity Behavior Analytics)

  • ネットワーク内のユーザやデバイスによる通常/異常な振る舞いをモデル化・分析, 検知するサービスのこと。振る舞いを監視・学習・処理することで特定の行動や振る舞いがサイバー攻撃に至る可能性を評価する.
  • Azure で該当するサービス

とくに重要なのが「Cloud App Security」「Azure Active Directory」「Azure Sentinel」「Microsoft Defender for Endpoint」「Microsoft Intune」になります。これらが認証・認可の基礎となりますので、Azureでゼロトラストネットワークを構築する場合、これらの機能はMicrosoft のドキュメントでしっかり確認しましょう。

これぞ究極!ゼロトラストネットワークの最終形

どうでしょうか。ゼロトラストネットワークのカタチがなんとなく見えてきましたでしょうか。ここではゼロトラストネットワークの最終形について触れます。

ゼロトラストネットワークの最終形、具体例は皆様ご存知の Google です。

K赤ちゃん
K赤ちゃん

Google!?

Kパパ
Kパパ

そう、ゼロトラストネットワークの最終形の1つはGoogleなんだ!

Google の Gmail はどこからでも・誰でもアクセスできて、個人の認証機能があり、自分自身のメールボックスには自分しかアクセスできせん(自分のメールボックスには自分しかアクセスできないという認可を与える機能になります)。

そのため、Gmail は ゼロトラストネットワーク上に構築されたサービスと言えます。

また、大多数の方はスマホからGmailにアクセスしていませんか??

さきほど、ゼロトラストネットワーウの最終形は Google と説明しました。
ゼロトラストネットワークの最終形。これは言い換えると、

スマホとアカウントさえあれば、だれでも・どこからでも使えるサービスであることです。

もちろんスマホはインターネットにつながっている端末と置き換えることができます。

すなわち、究極のゼロトラストネットワークを導入した会社とはスマホ一つで会社のシステムにアクセスできるシステムです(下図)。

Azure上の社内システムにスマホでアクセスする人

このとき、この会社のサーバ室には何もありません。そして、通信はすべてスマホの回線経由です。

この例は、あくまで理想であり、会社の業務の形態・内容や支払えるコストによりゼロトラストの実現方法は変わります。

まとめ

いかがだったてしょうか。ゼロトラストの概要がすこしつかめたなら幸いです。
最後に少し復習をして当記事を終えたいと思います。

ゼロトラストネットワークと従来のネットワークの違いは、ユーザの考え方でした。
従来のネットワークは社内・社外という区分けがあり、社内のユーザのみしか社内システムにアクセスできないといった構成でした。一方、ゼロトラストネットワークはそのような区分けはなくアクセスしてきたユーザをポリシーをもとに認証し、認可(アクセス権限)を与えるネットワークです。

そのため、ゼロトラストネットワークはソリューションの選択以上に、リスクの見積もりとポリシーの開発(社内ユーザを見分ける方法等)が最重要の課題です。

実際にゼロトラストネットワークを構築するためのソリューションとして、MicrosoftのAzureがあります。AzureではSWG以外網羅することができます。今後導入を予定されている方はぜひ検討してみてください。

現在、ゼロトラストネットワーク上に構築されているサービスの例としてGoogleのGmailがあります。このサービスから分かるように、究極のゼロトラストネットワークとはスマホなどのインターネットに接続しているデバイスのみあればどこからでもシステムを利用できる形態です。この際、自社が抱えるサーバ機器等は1つもありません。

以上、本記事では、ゼロトラストの概要・運用・Azureでのソリューションの選定等について見てきました。

本記事を通して、少しでもゼロトラストに興味を持っていただけたら幸いです。

今後このようなITの記事や少し踏み込んだシステムの実装の話など書いていければとも思っています。

引き続きよろしくお願いいたします。

参考

本記事は以下を参考に作成しています。

ゼロトラスト導入指南書[IPA]

コメント

タイトルとURLをコピーしました