見出し画像

ゼロトラスト ~境界防御の先へ~

北島悠(キタジー)

ゼロトラストの考え方は2009年くらいから既にセキュリティフレームワークとして考えられてきました。従来の信頼ベースのセキュリティモデル(境界防御)に代わり、すべてのデバイスやユーザーを常に検証し、アクセスを制限する手法を重視します。これにより、ネットワーク内の全てのリソースが信頼されていないとみなされ、攻撃からの防御を強化する動きにつながるといったものです。
とはいうものの、具体的に実現するイメージが難しいゼロトラストについて概要を紹介したいと思います。

ゼロトラストの広がり

近年のIT/OT(オペレーションテクノロジー:工場や産業設備の技術、現場)に環境変化が訪れています。

環境変化の主な原因

  • コロナ禍によるリモートワークの増加

  • DXによるクラウド利用の増加

  • IoT機器やスマートフォンなどの外部資産の増加

その結果、従来の境界型セキュリティだけでは組織の情報資産の安全な活用や保護が困難となってきており、ゼロトラストを採用する企業が増えてきました。

出典:金融庁 ゼロトラストの現状調査と 事例分析に関する 調査報告書

境界型セキュリティ

今でも(特にOTでは)シンプルで主流な構成です。社内、データセンター、工場内のネットワークは安全としてデータが保存されています。シンプルがゆえに、一度悪意のある攻撃者に入り込まれるとデータ侵害までの障壁が少なく、ラテラルムーブメント(水平移動)が容易となってしまいます。

ゼロトラスト

昨今の複雑な業務環境に合わせた構成となります。複雑な業務環境を守るために、複雑なサービスを導入して実現しようとするため、情報セキュリティ担当者が頭を悩ませている部分となります。

7つの原則

ゼロトラストについて、NIST(米国国立標準技術研究所)がNIST SP800-207を発行しグローバルスタンダードになっていきました。その中で、ゼロトラストを実現するために7つの原則が提示されており、ゼロトラストの説明に広く使われています。

  1. すべてのデータソースとコンピューティングサービスはリソースと見なす

  2. ネットワークの場所に関係なく、すべての通信を保護する

  3. 企業リソースへのアクセスは、セッション単位で付与する

  4. リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する

  5. 企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する

  6. 全てのリソースの認証と許可は動的に行われ、アクセスが許可される前に厳密に実施する

  7. 企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する

ゼロトラストを実現するサービスイメージ

様々なベンダーが提供するサービスを組み合わせる事でゼロトラストは実現されます。本当に守りたい領域を限定して対応を進める必要がありますが、
一般的にはIDaaSを前提として考える事が多いです。

ゼロトラスト実現のためのサービス群

サービスの概要

沢山のサービスを組み合わせており、理解するのが難しいところですが、それぞれ単体でも重要なセキュリティサービスなので、概要を記載しておきます。

一般的な製品・サービス

  • IDaaS(Identity as a Service)

    • Microsoft Entra ID (旧称 Azure Active Directory)のようなID管理

    • 認証情報の漏洩などの対策に重要(個人管理と違い強制力がある)

  • MDM(Mobile Device Management)

    • ポリシーにあわせた端末制御

    • 端末の資産管理と可視化を実施

  • EDR(Endpoint Detection and Response)

    • 昔からあるウイルス対策(シグネチャー)ではなく振る舞いで判断

    • 攻撃の遮断より攻撃の広がりを防いたり原因追及に利用

  • DLP(Data Loss Prevention)

    • 機密データの監視と保護

  • SIEM(Security Information and Event Management)

    • ログを収集、管理して可視化

    • SOCチームがアラート検知に利用

  • SASE(Secure Access service Edge)

    • あらゆる場所からセキュリティ保護とネットワーク機能を提供

    • 以下のように色々なサービスを含んでいる

      • CASB(Cloud Access Security Broker)

        • クラウドアクセスの可視化

        • シャドーITの検知

      • FWaaS(FireWall as a Service)

        • クラウド経由であらゆる通信をフィルタリング

      • ZTNA(Zero-Trust Network Access)

        • ローカルブレイクアウト対策(負荷集中させない)

弊社提供中の製品・サービス

  • OTセキュリティ

    • エンドポイント、ネットワークでサイバー攻撃から防御

    • レガシー環境や入出荷機器を保護したサプライチェーン対策

  • CI/CD

    • SBOMを利用したソフトウェアサプライチェーン対策

    • コンテナからクラウド環境までDevSecOpsを実現

  • MXDR

    • IT/OT領域を問わず攻撃の検知、調査、封じ込め、復旧サービス

    • IRチームが開発した現場志向の検知ロジック

    • ビジネス視点(自動で遮断しない)のインシデントレスポンス対応

さいごに

今現在、境界防御は企業を守る手段の一つでしかありません。拡張的な対策としてゼロトラストという方法があります。
ただ、一方で定型的にゼロトラストのサービスを導入したら安全という事にはなりません。各社のビジネスの領域や守るべき資産に合わせて、セキュリティ対策を少しづつでも検討、実施していくことが重要なのではないでしょうか。

~以下宣伝です~

当社ではITからOT領域までの幅広いセキュリティサービスのご提案も行っています。
また、ご紹介したサービスのCI/CDOTセキュリティMXDRを活用することで、ゼロトラストの幅を広げる事が可能となります。
興味がありましたら、ぜひこちらからお問い合わせいただければ幸いです。


この記事が気に入ったらサポートをしてみませんか?