【セキュリティ】ゼロトラストの概要/導入方法についてのメモ

セキュリティ

この記事を書いた背景

情シス業務を行う中で、セキュリティの重要性:とりわけゼロトラスト対応が急務であると感じたため、メモとして記事にしました。

既存のセキュリティに課題を持つユーザーが課題解決(ゼロトラストアーキテクチャを導入する)をする上で、概要とコンセプト、ざっくりとした手順を把握するためのメモです。

この記事でわかること

  • ゼロトラストの概要
  • 従来のセキュリティとの違い
  • ゼロトラストのポイント
  • ゼロトラストアーキテクチャの導入手順について
  • 参考図書・関連記事

ゼロトラストの概要

ゼロトラストネットワークは従来の境界型防御と比較すると分かりやすいです。

従来型の境界型防御の特徴

本題に入る前に、従来型の境界型防御の特徴を整理します。特徴は以下の通りです。

  • 外部=インターネット=信頼できない
  • 社内(LAN)=信頼できる
  • 外部と社内LANの間に境界を設ける(FireWall)
  • 社外から社内にアクセスする時はVPNを利用する

上記のように、従来型の境界型防御では、ネットワークを外部(インターネット)と内部(社内LAN)に分け、境界線にFireWallを設置して、内側を防御するという考え方をしました。

また、社外から社内にアクセスする時は、VPN(Virtual Private Network)を利用しました。

しかし近年、クラウドの急速な普及・働き方改革やコロナ禍によるテレワークの推進によって、以下の課題が出てきました。

従来型の境界線防御の課題

主な課題は以下の通り。

  • 社外からの利用が増大/VPNがパンク
  • FireWallに負荷が集中
  • 社内からの攻撃に無防備
  • クラウドの利用で企業システムが外部へ

従来型を利用による上記のような課題に対応するために、ゼロトラストネットワークへの移行が急務とされています。次に、上記のような従来型の境界型防御の特徴と課題を踏まえて、ゼロトラストネットワークの特徴について見ていきます。

ゼロトラストネットワークの特徴

  • あらゆるネットワーク=信頼できない前提
  • 会社が認めたアプリ=信頼できる
  • 会社が認めていないアプリにはアクセスできない
  • 会社が認めた従業員や端末=信頼できる
  • 会社が認めていないユーザーや端末はアクセスできない

「会社が認めた〜」の部分は、事前にID認証基盤と呼ばれる、ID管理システムに登録しておくことを意味しています。また、端末に関しては、MDMと呼ばれる管理システムに登録しておきます。

これにより、許可されたIDや端末以外はSaaSや社内にあるアプリにアクセスできなくすることで、セキュリティを担保することができます。

【関連用語】
>> MDM


ゼロトラストネットワークでの基本コンセプト

  • ゼロトラストネットワークでは全ての通信を「信頼できないもの」として扱う
  • 通信の前に必要な条件を満たしているかチェックしてからアクセスを許可する

ゼロトラストネットワークでは、社外、社内に関わらず、全ての通信を「信頼できないもの」として扱います。また、通信の前に、内部で以下のような手続きを経て、通信が可能かどうか判断します。

ゼロトラストネットワークで行われる通信前のチェックリスト

・IDは適切か
・IDのリソースへのアクセス権
・IDはいつ認証したか
・機器は認証済か
・ウイルス対策ソフトは動いているか

従来のセキュリティとの違いを把握する

ゼロトラストネットワークを導入する前提として、クラウドを安心して快適に使える体制の整備が必要です。一般的に従来の境界型防御を前提としたネットワークでは、以下のような課題があると言われています。


クラウドを利用する際の一般的な課題

管理対象 – 紙の資料と電子ファイルが混在
狙い – 徹底した情報漏えい防止
管理方法 – 機密情報を特別な部屋に隔離
– 物理的な入室制限によって情報にアクセスできる人を制限
– 入室記録・情報の取扱い記録を監査

上記課題の解決策(クラウドネットワークを利用する前に解決しておくのが理想)

管理対象 – 電子ファイル化する
狙い – クラウドサービスを安全に活用する
管理方法 – 全ての電子ファイルを暗号化
– 閲覧が可能な関係者をファイルごとにコントロール
– 電子ファイルのアクセスログや操作ログを常時監視

筆者も多くのPJTに参画させていただきましたが、数年前までは、上記の課題にあるような「紙やメディアで重要文書を保管」「機密書類やメディアはセキュリティ区画に保管」「物理的な入室制限で機密情報を守る」が一般的でした。

しかし、ゼロトラストを利用する上では、原則データはクラウド上に保管されることを前提としていますので、従来の物理的な保管の発想を変える必要がありそうです。

「持ち出し厳禁」というのも、従来のセキュリティの発想になりますね。


ゼロトラストのポイント

続いて、ゼロトラストのポイントを3つ挙げていきます。

ポイントは以下の通りです。

  • 1 ID認証
  • 2 デバイス認証
  • 3 全ての行動の監視と分析

ひとつずつ見ていきます。

1 ID認証


ゼロトラストでは、従来型のデータやセキュリティを「ネットワークの防御」で守る方法から、「アプリケーションの防御」に変わります。

例えば、従来は社内は安全とみなされていたので防御レベルは低いことが多くありましたが、ゼロトラストでは社内社外を問わず、多要素認証などの防御を講じることで、セキュリティを守ります。

方法はIAM(アイアム/アイデンティティアンドアクセス管理)を利用することで対応します。

また、IAMによって、以下のような複数のシステムにSSO(シングルサインオン)が可能になります。ちなみにSSOとは一つの認証システムで複数のシステムにログインが可能になる仕組みのことです。

【関連用語】
>> IAM


IAMで利用が可能になるシステム例
– SaaS
– IaaS
– オンプレミス

また、IAMは認証も制御することが可能です。

IAMで可能になる認証例
– 多要素認証
– コンテキストベース認証
※コンテキストペース認証は人工知能(AI)によって、以下のようなものを防御します
– いつもと違う場所からアクセスを防御
– 経理アカウントのユーザーが人事システムにアクセスするなど、想定していないアクセスを防御

次にIAMの主な製品を見ていきます。

IAMの主な製品

  • Okta Idendity Cloud(Okta)
  • Cloud Identity(Google)
  • Azure Active Directory(Microsoft)

2 デバイス認証


ゼロトラストのポイント2つ目はデバイス認証です。

まず、デバイスを保護するため、MDMやマルウェア対策ソフトを利用します。また、IAMやIAPを連携させて、利用可否を細かく制御するすることで、許可されていないデバイスがクラウド上のデータやアプリにアクセスすることを制限することが可能になります。

【関連用語】
>> MDM
>> IAM
>> IAP


IAPの主な製品
– Akamai Enterprise Application Access
– Identity-Aware Proxy
– Azure Active Directory Application Proxy

3 全ての行動の監視と分析


ポイントの3つ目は行動の監視と分析です。言葉が「行動監視」や「分析」という感じで強くてドキッとしますが、従業員を拘束するために監視ではなく、アクセスの状況や操作状況を見て人工知能(AI)が最適な判断で防御をするためのものです。

まず、SIEMを導入することで、セキュリティイベント情報管理が可能になります。


SIEMの主な製品
– Chronicle Security Analytics Platform
– Azure Sentinel

また、補足的にCASBやSWGを利用して防御を固めます
※CASB:クラウドアクセスセキュリティブローカー
※SWG:セキュアウェブゲートウェイ


【関連用語】
>> SIEM
>> CASB
>> SWG


ゼロトラストの導入

次に、ゼロトラストの導入について見ていきます。

完璧に実施するのはハードルが高いため、導入が容易で効果が出やすい箇所から始めるのがセオリーと言われています。また、AI(人工知能)の積極的な活用がポイントとも言われています。

導入手順は以下の通り

  • 1 認証基盤の導入
  • 2 デバイス保護
  • 3 脱VPN
  • 4 社内網の刷新
  • 5 SaaS利用の監視・分析
  • 6 社内アプリの監視・分析

詳しく見ていきます。

1 認証基盤の導入

まずは認証基盤を導入するのが先決です。具体的にはIAMを導入して、SSOや厳密なアクセス管理を実現することが可能になります。

IAMの主な製品
Octa
Cloud Identity
Azure Active Directry
Ping

【関連用語】
>> IAM


2 デバイス保護

次にデバイスを保護していきます。MDM/MAM EDRを導入することで、デバイスのセキュリティ保護が可能になります。

また、PCやスマートフォンはセキュリティチップ搭載機種に限定することで、セキュリティが向上します。

MDM/MAMの主な製品
Googleエンドポイント管理
Jamf Pro
Microsoft Intune

【関連用語】
>> MDM
>> EDR


3 脱VPN

次に、VPNをやめ、IAPなどを導入することで、VPNなしで社内アプリを社外から利用が可能にする仕組みを導入します。これにより、VPNのアカウント管理から解放され、社内社外を問わずセキュアな接続が可能になります。

4 社内網の刷新

次に、社内網を是正していきます。拠点と本社を繋ぐ専用線やVPNを廃止し、認可されたIDやデバイスであれば、物理的なロケーションを意識せずクラウド上の社内リソースにアクセスが可能となる構成を実現します。

5 SaaS利用の監視・分析

CASBを導入してSaaSの利用を監視・分析ことも忘れてはいけません。

【関連用語】
>> CASB


6 社内アプリの監視・分析

次に、SIEMなどを導入して社内アプリやIDの利用を監視・分析する仕組みを整えます。

【関連用語】
>> SIEM


本記事の参考文献とURLをご紹介します

ゼロトラストについて把握する
筆者はこの本を読んで、ゼロトラストについて腹落ちしました。この本でゼロトラスト関連の用語を把握し、経済産業省のレポートを熟読すれば、ある程度ゼロトラストに関する知識全般と、導入方法についての知見は得られます。

>> すべてわかるゼロトラスト大全 さらばVPN・安全テレワークの切り札


経済産業省のレポート

このレポートは秀逸です。経済産業省やるなって思いました。企業のIT担当者の方や、DX推進、ゼロクラウド対応の方にはぜひ一読することをオススメするレポートです。

>> 経済産業省のレポート(DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~)
>> 経済産業省のレポート(経済産業省DX室、ゼロトラストの概念を取り入れた「デジタルツール導⼊実証・調査事業報告書」を公開)


クラウドネイティブ社の動画

クラウドネイティブ社(経済産業省のゼロトラストアーキテクチャ設計をコンサルティングしたセキュリティベンダー)のYouTube動画です。ゼロトラストの時代背景、経産省で構築したアーキテクチャの説明など、非常に分かりやすく、参考にさせていただきました。
>> 経産省で実証したゼロトラストこそ利便性が高まる現代的セキュリティ


関連記事

>> 情シスの仕事内容まとめ/情シスになる方法/コーポレートエンジニア/社内SE
>> 【セキュリティ】ゼロトラストの概要/導入方法についてのメモ
>> 【セキュリティ】ゼロトラストアーキテクチャーに関する用語
>> 【セキュリティ】ゼロトラストアーキテクチャーを支える技術8選
>> 【セキュリティ】ゼロトラストアーキテクチャをMicrosoft Azure Active Directory (Azure AD)で構築する手順