脅威から組織を守る「ゼロトラストネットワーク」を概観

ITインフラテクノロジーAWARD

2020年12月、毎年恒例の「ITインフラテクノロジーAWARD 2021」の審査会が行われ、2021年にブレークするインフラ技術は何かを議論いたしました。私以外の審査員の方は、野村総合研究所（NRI）の石田裕三さん、ウルシステムズの漆原茂さん、国立情報学研究所（NII）の佐藤一郎先生、Publickeyの新野淳一さんです。

注目のインフラ技術　21年は「ゼロトラスト」

様々な技術が候補にあがり、熱い議論の結果、ゼロトラストネットワークをグランプリに選びました。この記事では、この「ゼロトラスト」について解説してみたいと思います。

ゼロトラストネットワーク

ゼロトラストネットワークは、2010年に Forrester Research のプリンシパルアナリストだったJohn Kindervag氏が提唱し始めた概念です。Google は2011年の時点で、ゼロトラストモデルの導入が必要と判断し、2014年から2018年にかけて6本の論文を公開。2021年1月27日、社内のゼロトラストセキュリティサービスであった「BeyondCorp Enterprise」を一般公開したことを発表しました。

BeyondCorp Zero Trust Enterprise Security  |  Google Cloud

ゼロトラストネットワークとは、プライベート・ネットワーク上のリソースにアクセスしようとする全ての人やデバイスに対して、ネットワーク境界線の内側にいるか外側にいるかにかかわらず、厳格な本人確認を要求するITセキュリティモデルが適用されたネットワークです。「絶対に信頼せず、常に検証する」という原則に基づいており、どのアクセスも特別扱いせず（ゼロトラスト）にセキュリティのオペレーションは実行されます。組織は、パスワード、SSH キー、IP アドレスのような、盗まれたり、なりすまされたりする可能性のあるプロキシ情報に頼るのではなく、常にユーザーを認証し、承認するプロセスを持ちます。ネットワークのセグメンテーションを活用し、アクセス許可からの横移動を防止し、ユーザーのアクセスを必要十分に抑え、アプリケーションレイヤの影響をコントロールすることで、現代のデジタル環境を保護します。ゼロトラストは、特定の技術によって実現されるものではなく、アーキテクチャとオペレーションによる総体によって達成されるものです。

城と堀（Castle ＆ Moat）型セキュリティ

従来のITネットワークセキュリティは、城と堀（Castle & Moat）の概念に基づいています。城と堀のセキュリティでは、ネットワークの外部と内部を隔てる境界（ペリメーター）を設定します。ネットワークの外部からのアクセスを得ることは困難ですが、ネットワーク内のすべての人は城の中の人としてデフォルトで信頼されています。中の人は全員が責任を持って行動し、信頼できる人物であることを前提としているわけです。このアプローチの問題点は、一度攻撃者が城（ペリメーター）の内側に侵入してしまえば、（あるいな中の人間が攻撃者になってしまったら、）内部のすべてを自由にアクセスし、支配することもできるということです。クラッカーや悪意のあるインサイダーは、自分がアクセスできた箇所を足がかりにし、そこからネットワーク内を横方向に移動し、制限されていないデータにアクセスし、抽出したり、破壊したりします。実際の脅威は、必ずしもターゲットとされる箇所を直接攻撃してくるわけではないというところがポイントです。

城と堀型のセキュリティシステムのこの脆弱性は、企業がシステムとデータを様々なクラウドに分散させている今日のあり方の中でリスクを高めています。今日では、様々なクラウドベンダーにまたがる企業システム全体を単一のセキュリティシステムで管理することはとても困難なものになっています。そこで、ゼロトラストが必要となります。ゼロトラストでは、城と堀とは対照的に、誰もデフォルトでは信頼されておらず、ネットワーク上のリソースにアクセスしようとする全ての人が認証・認可を求められることを意味します。このようにセキュリティのレイヤーを追加することで、システムへの侵入やデータの漏洩を防ぎます。

ゼロトラストネットワークを支える要素

ゼロトラストとは、誰もどのアクセスもデフォルトでは信用しないことですが、いくつかの要素があります。例えば、IAM（Identity & Access Management）です。IAMはゼロトラストな環境を構成するのにコアとなる要素の1つです。社員や業務委託スタッフ等、従業員のID登録、異動や昇格に伴う権限の変更、退職時のID抹消等という一連のサイクルにおけるID管理と、アクセスが許可されている本人かどうかを確認する認証、適切な権限でアクセス可能な状態とする認可という一連のプロセスにおけるアクセス管理を、一元的に制御・監視します。

その上でゼロトラストネットワーク支える認証・認可が構築されていきます。例えば認証においては、多要素認証（MFA）の導入です。昨今、一般にも広く知られるようになったMFAは、ユーザーを認証するために複数の証拠を必要とすることを意味します。つまり、パスワードを入力するだけではアクセスを得ることはできません。よく見かけるMFAのアプリケーションは、インターネットサービスでよく使用される2要素認証(2FA)です。これらのサービスで2FAを有効にしているユーザーは、パスワードの入力に加えて、携帯電話等の別のデバイスに送信されたコードを入力する必要があります。

ユーザーアクセスの認証においては、デバイスアクセスの厳格な制御も必要となります。ネットワークにアクセスしようとしている様々なデバイスを監視し、全てのデバイスにおいて、許可されていることを確認します。

プッシュ通知認証は、特にパスワードなしでの認証が使用されるケースにおいて、ユーザーを認証する簡単な手段となり、近年、人気が高まっています。ユーザーのデバイス上のセキュアなアプリケーションに直接プッシュ通知を送信し、他のデバイスから認証の試みが行われていることを警告することで、ユーザーの認証を補完します。ユーザーは通常はボタンを押すだけで、認証の詳細を表示したり、アクセスを承認したり拒否したりすることが可能です。

認可においては例えば、最小特権アクセスがあります。これは、あるユーザーがネットワークにアクセスした際に認証されたとしても、必要なだけのアクセス権とデータしか与えられないことを意味します。各ユーザーが必要十分以上の機密に触れられないように抑えます。

マイクロセグメンテーションも利用されます。マイクロセグメンテーションとは、セキュリティの対象となるネットワークを小さなゾーンに分割して、ゾーン毎にアクセスを制限することです。例えば、１つのゾーンにアクセスできる個人やプログラムは、個別の権限がない場合は他のゾーンにアクセスすることができません。

認証・認可に加えて忘れていけないのは暗号化です。発信元に関係なく、全てのネットワークトラフィックは、エンドツーエンドで暗号化されているべきです。ユーザーからサービス、あるいは、その逆、あるいはユーザーからユーザー、サービスからサービス、すべての通信は保護されるようにします。

ゼロトラストネットワークの設計

ゼロトラストネットワークを設計するためには、何を脅威から守る必要があるのか、それがどこにあるのかを識別することから始めなければなりません。これは「保護面（Protect Surface）」と呼ばれるもので、保護すべきデータ、アセット、アプリケーション、サービス（略してDAAS）と、ユーザーが含まれており、前述のマイクロセグメンテーションにつながるように可能な限り小さな範囲に限定する必要があります。保護面は、各組織のオペレーションにとって固有のものであり、組織ごとに定義されることになります。SaaSプロバイダ、IoTデバイスも含むので、カタログ化を通し網羅をしておくことが大切です。

そして、保護面を横切るトランザクションの流れを理解し、それに攻撃をさせないためのポリシーを作成します。ユーザーが誰なのか、どのアプリケーションを使用しているのか、どのように接続しているのかを理解することは、システムやデータへの安全なアクセスを保証することにつながります。これは、従来のアプローチとは異なり、城と堀モデルのような境界線（ペリメーター）を識別して保護するのではなく、保護されるべき個々のピースに焦点を当てます。

トランザクションを理解し、DAAS、ユーザ、インフラストラクチャ間の相互依存性を把握したら、保護面に接するように、マイクロペリメーターを作成します。次世代ファイアウォール（NGFW）として一般的に知られているセグメンテーションゲートウェイを導入することでマイクロペリメーターを作成し、既知の許可されたトラフィックまたは適切なアプリケーションのみが保護面にアクセスできるようにすることができます。これにより、本来リンクしていない、DAAS、ユーザ、インフラストラクチャ間を分離し、厳重な境界線を作ることで、横方向の動きを制限します。

継続的な監視と反復的な保守

何でも貫き通す矛と何でも防ぐ盾がともに存在しないように、完璧なシステムも存在しません。設計・実装されたゼロトラストネットワークも、イベントログ、ユーザービヘイビア、データがどうアクセスされているかを監視し、リアルタイムでネットワークを守り続けることが大切です。また、日々進化していくネットワークの変更を適切に把握し、保護面をアップデートしていくことも忘れてはいけません。ゼロトラストは、反復的なプロセスを通して改善されていくオペレーションのことでもあり、高度なモニタリングと分析、そして保守を通して、そのセキュリティが維持されます。

終わりに

以上、ゼロトラストネットワークについて概観しました。

ゼロトラストを実現していくことの難易度は様々です。自社のシステムのほとんどをクラウドに載せているケースでは、クラウドベンダーのセキュリティ機能によりそれほど実現に苦労することはないかもしれません。しかし、大企業においては、クラウドだけでなく、昔ながらの自社固有インフラも、最新の各種SaaSやIoTネットワークも存在し、異種混合の全体像をなしていることの方が多いでしょう。そのような場合では、ゼロトラストの実現の難易度はもちろん上がりますが、むしろそのような、あらゆるポイントでエントリーされて横移動されてしまいそうな環境にこそゼロトラストネットワークによる防衛が必要です。

ネットワークはこれからも複雑さを増していくでしょう。このような止まらない進化の中で、新たな攻撃の脅威につけこまれないように、企業は守りもまた進化させ固めていくことが肝要です。