はじめに
こんにちは!新人PMのリョーヤです!
前回のブログ(Part1)では、従来の「城と堀」のように内部を安全とみなし、外部からの攻撃を防ぐことに主眼を置いた「境界型防御」というセキュリティの考え方を紹介しました。
また、その上で「境界型」セキュリティが「技術や競合他社のスピードに対応するために、ITソリューションやインターネットをフル活用しつつ、セキュリティも十分に確保することができる、新時代のセキュリティ」に変化することを求められていることを説明しました。
今回は、その課題に応えるべく登場した「ゼロトラスト」の考え方に、もっと深く踏み込んでいきたいと思います!Part2となるこの記事では、ゼロトラストとは結局どういう考え方なのか? そして、なぜ今、ゼロトラストが必要とされているのか? そのあたりを説明してみたいと思います。
僕自身、まだまだ勉強中の身ですが、今回もスナック感覚で読める記事で皆さんと一緒にゼロトラストの理解を深めていけたら嬉しいです!どうぞお付き合いください!
そもそもゼロトラストとは?
「ゼロトラスト」という言葉を初めて聞く方や、断片的な情報に触れたことがある方は、「あー、何も信頼しないんでしょ?」といった第一印象を持たれてるとよく聞きます。というか、実際僕も「何を信じないのかはよくわからないけど、とにかく何も信じない、信頼しないセキュリティなのかな」と思っていました(実際、その言葉の通り 「何も信頼しない」 というのがゼロトラストの基本的な前提ではありますが)。
でも、それはゼロトラストという概念のほんの一面でしかありません。
ゼロトラストは、「信頼しない」という単にネガティブな考え方というわけではなく、ネットワークの場所に関係なく、すべてのデータソースやコンピューティングサービスを「リソース」とみなし、それらへのアクセスを安全に制御するための考え方と分かりました。Part1の最後で触れたように、競合他社のスピードに対応できる柔軟性が高く、それでいて堅牢なITインフラを構築するためのセキュリティやガバナンスの基盤を構築するためのセキュリティの考え方ということですね。
境界型防御からなぜ今変化を求められているのか
前回のブログでは、従来の「境界型」セキュリティが現代のIT環境に合わなくなってきていると触れました。とはいえ、これは従来のセキュリティ対策が「間違っている」と言いたいわけではありません。従来の対策も、組織ネットワーク内の情報システムを保護する上で、今なお一定の役割を果たしていると言えます。
重要なのはIT環境や働き方が大きく変化したことで、従来の境界防御だけでは対応しきれないリスクが増えてきたという点です。だからこそ、従来の対策を維持しつつも、現代の環境変化に対応するために、ゼロトラストの考え方を段階的に適用し、並行して利用したり置き換えたりしていくのが現実的と言われています。
では、具体的にどのような環境変化や課題に対応するためにゼロトラストが必要とされているのでしょうか。先ほど挙げた「IT環境の変化」「境界型防御だけでは対応しきれないリスク」「DX推進に不可欠なIT基盤」について少し掘り下げてみたいと思います。
IT環境の変化
ここ数年でリモートワークなどが普及した結果、働く場所がオフィスのみならず自宅などであることも増えてきました。その結果、社内ネットワーク以外の様々な場所からも組織の資産やリソースにアクセスされるようになりました。
さらにSaaSなどのクラウドサービスの利用が進み、組織が管理していないITサービス(いわゆるシャドーIT)が利用されるケースも増えています。
内部からの脅威や、高度化・多様化するサイバー攻撃
これは以前から言われていることですが、境界型防御における内側の安全性についても危険視されています。内側の安全性というと、例えば、盗まれた認証情報を使った不正アクセスや内部不正などといったものです。
また、サイバー攻撃の手法は常に進化しており、未知の脅威やAPTなどの高度な攻撃に対抗するためには、従来のパターンマッチングだけでは不十分であると言えます。
DXを推進する上で必要となるIT基盤
現代社会において企業競争力を高めるためにはDX(デジタルトランスフォーメーション)の推進が不可欠です。
そのためには、安全性を確保しつつ、柔軟で効率的なIT基盤が必要であると言えます。 ゼロトラストの考え方は、そうしたデータ利活用を進める上でのリスクを最小化することにも貢献します。
こうした変化に対応するためには、IT環境の現状を正確に把握し、課題に取り組むことで、システムの全体最適を目指す という視点が非常に重要になります。
ゼロトラストの基本的な考え方
それでは、ようやくとなりますが本題となるゼロトラストの基本的な考え方について整理したいと思います。
ゼロトラストの基本的な考え方は、米国の国立標準技術研究所(NIST)が発行した「NIST SP 800-207」という文書に示されています。
今回はNIST SP 800-207で示されているゼロトラストの7つの基本原則をご紹介したいと思います。とはいえ、内容が難しいところもあるので一部表現を噛み砕いてみております。
1.すべてのデータソースとコンピューティングサービスを「リソース」とみなす
組織が持つあらゆる情報やサービス(データ、アプリケーション、サービス、デバイスなど)は、守るべき対象である「リソース」として扱います。
2.ネットワークの場所に関係なく、すべての通信を保護する
社内ネットワークの内側か外側かは関係ありません。どこからアクセスしようとする通信も、安全性を確認し保護します。これは、従来の境界防御との大きな違いの一つです。すべての通信・アクセスを仲介し、ルール(ポリシー)を適用・強制する「完全仲介システム(リファレンスモニター)」という概念が重要になります。
3.企業リソースへのアクセスは「セッション単位」で付与する
一度認証が通ればずっとアクセスできるのではなく、リソースへのアクセス要求ごとに許可を検討します。
4.リソースへのアクセスは、ユーザーやデバイスの状態、行動など様々な情報に基づいた「動的なポリシー」により決定する
アクセスの可否は、誰が、どのデバイスから、どのような状況でアクセスしようとしているのか、といった多様な情報(属性)に基づいて、リアルタイムに、そして継続的に判断される「動的なポリシー」によって制御されます。組織内外の脅威情報なども活用されます。
5.すべての資産(リソース)の整合性とセキュリティ動作を「監視し、測定する」
デバイスやアプリケーションが安全な状態に保たれているか(セキュリティパッチは最新か、マルウェアに感染していないかなど)を常に監視・評価します。CDMと呼ばれる継続的な診断と緩和やそれに類するシステムが重要になります。
6.すべてのリソースへのアクセスにおいて、許可される前に「厳格な認証」と「動的な認可」を実施する
これがゼロトラストの核心部分の一つです。アクセス要求があった主体が「誰(何)であるか」を確実にするための厳格な認証を行い、その上で、「その状況で、そのリソースにアクセスすることを許可しても安全か」を判断し制御する動的な認可を行います。この判断はセッション中も継続的に行われます。
7.資産、ネットワーク、通信に関する情報を可能な限り収集し、セキュリティ態勢の改善に利用する
様々なログや監視システムから情報を収集し、分析することで、組織全体のセキュリティ状況を把握し、対策の改善に繋げます。脅威インテリジェンスなども活用されます。
以上が7つの基本原則です。なるべく分かりやすく書いてみたつもりですが、いかがだったでしょうか。
これらの考え方を見ると、従来の「境界の内側は安全」という前提に立ち、一度境界を超えれば内部を信頼していた防御とは全く異なり、アクセス要求がある「その都度」、そしてアクセス中も「常に検証」し、「状況に応じて制御する」 というアプローチであることが分かりますね。
ゼロトラストは「リスク管理」の考え方であり、ビジネスと一体である
セキュリティ対策と聞くと、つい「新しい製品を入れよう」「あの技術が流行っているらしい」と考えがちですが、ゼロトラストは単にセキュリティ製品を導入することではありません。ベンダーの「ゼロトラスト」というラベルがついた製品を買えば解決、という単純な話ではないんです。
ゼロトラストの本質は、組織のビジネス環境におけるリスクを把握し、そのリスクを受容可能なレベルまでコントロールするための考え方 です。そして、その実現のためには、テクノロジーだけでなく、組織文化やIT部門以外の部署との連携、そしてビジネスへの貢献という視点が非常に重要になります。
リスクを適切に管理するためには、まず組織が保有する「資産」(デバイス、データ、アプリケーションなど)を正確に、そして網羅的に把握することが極めて重要です。その上で、既知の脆弱性への対策や、日々の基本的なセキュリティ対策(例えば、デバイスの適切な管理や公共の場での端末利用ルールの順守など)といった、公衆衛生になぞらえた「サイバーハイジーン」を徹底することが、ゼロトラストを実現するためのベースラインとなる考え方 と言えます。
まとめ
今回は、ゼロトラストが単なる製品や技術ではなく、「何も信頼しない」という前提に立ち、アクセスを「常に検証し、状況に応じて制御する」というセキュリティの「考え方」 であること、そして、IT環境の変化や脅威の高度化、DX推進といった現代の課題に対応するために、この考え方がなぜ必要とされているのかを見てきました。
特に、NISTが示す7つの基本原則を通じて、「すべてのものをリソースとして扱い」「ネットワークの場所に関係なく保護し」「アクセスごとに検証・制御し」「資産の状態を監視し」、「厳格な認証と動的な認可を組み合わせる」 というゼロトラストのアプローチが、従来のセキュリティとは異なる点、そして、それが単なる技術論ではなく、リスク管理やデータガバナンスといったビジネスと一体になった取り組みであることをお話ししました。また、そのベースには資産把握やサイバーハイジーンといった基本的な取り組みが重要であることも触れました。
次回は今回理解したゼロトラストの考え方を具体的に実現するために、どんな「道具」や「要素技術」が必要になるのかを紹介したいと思います!
今回も最後までお読みいただき、ありがとうございました! 次回もお楽しみに!m(_ _)m