【セキュリティ】ゼロトラストアーキテクチャを支える技術8選

セキュリティ

この記事の背景

ゼロトラストアーキテクチャーを支える技術8選について、概要、特長などをメモにしました。

ゼロトラストアーキテクチャーを支える技術8選

ゼロトラストアーキテクチャを支えるメインの技術は、主に以下の8つです。まずはこの8つの用語の意味・概念・違いの相関関係を押さえると、ゼロトラストアーキテクチャーが理解しやすくなります。

>> CASB
>> DLP
>> EDR
>> IAM
>> IAP
>> MDM
>> SIEM
>> SWG


CASB

Cloud Access Security Broker の略。クラウドアクセスセキュリティーブローカー。
組織が利用するクラウド・アプリケーションについて可視化、データ・プロテクション、ガバナンスを実現するサービス・製品のこと。収集したデータはIAMに送られる。

CASBと他の技術とのマッピング


クラウド・アクセス・セキュリティ・ブローカー(CASB)の主な機能

利用状況の可視化 SaaSへのログイン状況やデータのアップロード、ダウンロードなどの状況を可視化
サンクションIT※上での不正利用やシャドーIT※を検知する
データセキュリティー SaaSのデータを暗号化
ダウンロードや社外への漏洩を制御
コンプライアンス 企業が定めたルールを暗号化し、ダウンロードや社外への漏洩を制御する
脅威からの防御 SaaS上のマルウェアを検知し、隔離などの措置を行う
リスクの高いSaaSへのアクセスをブロックする

※シャドーIT=組織が未許可のSaaS
※サンクションIT=組織が許可したIT機器


CASBを利用するメリット
メリットとして、シャドーITのセキュリティを確保がある。
組織が管理しきれないSaaSの利用を従業員のモラル頼みで抑止するのは難しいし、抑止しすぎると生産性が下がる場合もある。CASBをうまく利用することで、シャドーIT利用による従業員の利便性や生産性を落とすことなく、セキュリティを確保することが可能になる。


CASBの主な製品

米シスコシステムズ Cisco Cloudlock
米ネットスコープ NetScope
米マイクロソフト Microsoft Cloud App Security
米マカフィー MVISION Cloud
米ハロアルトネットワークス Prisma SaaS
米ビットグラス Zero-day CASB
米ブロードコム CloudSOC

>> 目次へ


DLP

Data Loss Prevention、または Data Leak Prevention の略。
DLPは情報漏えいを検出・防ぐことを目的とするセキュリティツール、またはシステムのこと。DLPは特定のデータの持ち出しやコピーを検知し、自動的にブロックすることが可能。機密情報の特徴をDLPに与えることで、AIにより、判別も自動的に行えるようになる。

ゼロトラストにおけるDLPの役割は、ネットワークという場所ではなく、ファイルそのものに着目して機密情報を保護するという点にある。

また、IAMから指示を受けて、情報漏洩防止を行う。


DLPと他の技術とのマッピング


DLPの3分類

エンドポイントDLP -ユーザーの端末に導入したエージェントが端末上のデータをスキャン・監視
-機密データの漏洩を防ぐ
ネットワークDLP -ネットワークを流れるデータをスキャン
-機密データがアップロードされていないか監視
クラウドDLP -SaaSのAPIを経由してクラウド上のデータをスキャン・監視
-機密データの漏洩を防ぐ

DLPの進化

従来のDLP -守るべきファイル(データ)にタグ(メタデータ)を人力で付与
-タグがついたファイルの流出を防御
最近のDLP -DLPポリシーを設定することで、個別のファイルに対する手動でのタグ付けが不要に
-ネットワーク上でファイルの内容をスキャン
-重要キーワードが含まれている場合に、流出を防ぐ

DLPの主な機能

タグ -ファイルに付与するメタデータ
-DLPが機密情報を検出するのに用いる
DLPポリシー -キーワードなど、DLPがファイル中から検索する機密情報の関するポリシー
-DLPベンダーからポリシーがテンプレートが用意されている場合が多い(マイナンバーなど)
画像認識機能 -画像ファイルに含まれる文字列
-パスポートなどのスキャンを認識する機能
監視 -端末・ネットワーク経路上で機密情報の流出を監視する
-ファイルのメール送信やWEBサイトへのアップロード・SaaSからのダウンロード、USBなどの外部ストレージへのコピーなども監視
アクション -機密データの漏洩を検知時に漏洩を起こしたユーザーにアクションをする機能
-情報共有のブロックや多要素認証、管理者へのアラートなどによって漏洩を防ぐ

主なDLP製品

日立ソリューションズ 秘文
米ネットスコープ Netskope Security Cloud Platform
米マイクロソフト Microsoft 365 Data Loss Prevention
米ゼットスケーラー Zscaler Cloud DLP
米ブロードコム Symantec Data Loss Prevention
米マカフィー McAfee Total Protection for Data Loss Prevention

【参考情報】
>> DLP(Data Loss Prevention)とは?仕組みやメリット、IT資産管理との違いなど徹底解説
>> 目次へ


EDR

Endpoint Detection and Response の略。
ファイルベースのマルウェア攻撃を防御し、悪意あるアクティビティを検知して、動的なセキュリティインシデントとアラートに対応する際に必要な調査・修正機能を提供する目的でエンドポイント・端末上に展開されるセキュリティツール、またはシステムのこと。収集した情報はIAMに送られる。

EDRと他の技術とのマッピング

EDRの主な製品
– Apex One Endpoint Sensor(Trend Micro)
– Microsoft Defender for Endpoint
– McAfee MVISION SDR
>> 目次へ


IAM

Identity & Access Management の略。
デジタルアイデンティティとその権限を管理すること、または、その機構(ID基盤)と、アクセスする際の一連のプロセス(制御)を管理する機構(IdP)を有するツール、またはシステムのこと。

IAMと他の技術とのマッピング


IAMの主な機能

プロビジョニング 社員の入社時にIDを作成、データベースに登録し、所属や役職などの情報と紐付ける
ID管理 退職や異動、組織改編があった際にデータベースの情報を更新する
ユーザー認証 IDに対するパスワード入力や多要素認証(MFA)を通して、リソースへアクセスしようとしている人物が本人であることを認証する
ユーザー認可 認証したIDにリソースへの適切なアクセスを許可する
シングルサインオン SAML認証を使って複数のSaaSに一元的にログインする

IAMが持つ情報

IDデータベース ユーザーのIDと氏名や所属、役職情報などの紐付け
アクセスポリシー ユーザーが利用できるアプリケーションやデータなどを規定する

IAMを利用してユーザーがリソースにアクセスする順番

1 ユーザーがIDとパスワードを入力
(ID・パスワードに加えて、MFA認証も提供)
2 IAMがIDデータベースを照合し、ユーザー認証をする
(人事システムと連動し、自動で入社した社員のIDを新規作成したり、退職した社員のIDを削除することも可能)
3 IAMがアクセスポリシーを照合しリソースへのアクセスを許可する
(複数のSaaSと連携するSSOが可能)

上記によりできること

・権限がないSaaSへのアクセスを禁止することが可能
・ユーザーのなりすましによるアクセスを遮断
・人事システムとの連動により、ユーザー管理が自動化(入退職)可能
・MFAの提供により、セキュリティが強化できる
・SSO(シングルサインオン)の提供により、SaaS毎にユーザー管理をする必要がなくなるため、管理負荷が軽減される

このように、IAMはゼロトラストネットワークアクセスにおいては、司令塔の役割を担う極めて重要なポジション。ちなみに、ゼロトラスト関連の同盟(アライアンス)はIAMベンダーを中心に形成されている。

ゼロトラスト関連の同盟(アライアンス)

米マイクロソフト

自社製品 – IAM
– IAP
– EDR
– MDM
– CASB
– SIEM
– DLP
同盟 – Microsoft Intelligent Security Assosiation
– 参加ベンダー 204社

米Google

自社製品 – IAM
– IAP
– MDM
– SIEM
同盟 – BeyondCorp Alliance
– 参加ベンダー 9社

米オクタ、米ピン・アイデンティティ

自社製品 – IAM
同盟 – Identiry Defined Security Allience
– 参加ベンダー 24社

IAMの主な製品

米オクタ Okta Identity Cloud
米オースゼロ Auth0
米グーグル Cloud Identity
GMOグローバルサイン Trust Login
米ピン・アイデンティティ Ping Intelligent Identity Platform
米マイクロソフト Azure Active Directory
米ワンログイン OneLogin

>> 目次へ


IAP

Identity-Aware Proxyの略。
IDとコンテキストを使用して、アプリケーションやVMへのアクセスを保護する。VPNを使用せずに信頼できないネットワークから作業をすることが可能。ゼロトラストのアクセスモデルを実装する。

アプリケーションに対するアクセスを制御すると同時に、オンプレミスのアプリケーションを社外から利用可能にする仕組み。セキュリティー強化と同時に脱VPNも図れる。


IAPと他の技術とのマッピング


IAPの主な機能

コネクター -IAPとアプリケーションの通信を中継するサーバーで、オンプレミスやIaaS内に設置
-コネクター側からクラウドにあるIAPにアウトバウンドの通信を始める
エージェント -エンドユーザーの端末にインストール
-HTTPS以外のプロトコルでも、IAP経由でアプリケーションにアクセス可能になる
IAM連携 -IAP経由アプリケーション利用の許可をIAMによって行う仕組み。
-IAMの機能によっては以下が可能
-コンテキスト認証(ユーザーの属性や日時、場所、端末の状態、接続先のアプリなどを総合的に見てアクセスの許可を判断)
-多要素認証を求めたりできる
名前解決 -オンプレミスのDNSを使って名前解決をしているアプリケーションであっても、インターネット越しにIAPを通じて接続できるようにする
RDP変換 -Akamai Enterprise Apprication(EAA)が備える機能
-WIndowsのリモートデスクトップ接続をWEBブラウザから利用可能にする

IAPの主な製品

米アカマイ・テクノロジーズ Akamai Enterprise Application Access
米グーグル Identity-Aware Proxy
米クラウドフレア Cloudflare Access
米ゼットスケーラー Zscaler Private Access
米ネットスコープ Netskope Private Access
米マイクロソフト Azure Active Directory Application Proxy

【参考URL】
>> Identity-Aware Proxy を使ったウェブサイトへのアクセス制御


>> 目次へ


MDM

Mobile Device Management の略。
PCやスマートフォン、タブレットなどを一元的に管理するための仕組みのこと。取得した情報はIAMに提供する。


MDMと他の技術とのマッピング

MDMの主な機能

ポリシー管理(MDM) 部署や役職によってい異なる管理ポリシーを遠隔から配布して適用する
資産管理(MDM) ハードウェア構成やOSのバージョン、アプリケーションの追加・排除状況、端末やOSのバージョン、位置といった情報を自動収集して一元管理する
アプリケーション管理(MDM) アプリを配布・バージョンアップする
デバイス管理(MDM) 内蔵カメラやSDメモリカードへのアクセスなど業務に不要な機能を制限する
リモートロック(MDM) 端末紛失時などにネットワーク経由で端末を操作不能にする
リモートワイプ(MDM) ネットワーク経由でコマンドを発行して端末を向上出荷時の状態に初期化する
企業内アプリストア(MAN) 会社専用のアプリストアを通じで端末に業務アプリを配布する
アプリ単位の制御(MAN) 業務アプリと個人アプリとの連携制限や、業務アプリから端末へのデータコピーの禁止、Webアクセスの制御など、アプリ単位で挙動を制御する
アプリ単位のVPN通信(MAN) 特定の業務アプリだけ社内アクセス用のVPNを許可する
アプリ単位のワイプ(MAN) 特定の業務アプリだけをワイプ(消去)する

MDMの主な製品
– Googleエンドポイント管理
– Jamf Pro(ジャムフ プロ)
– Microsoft Intune
>> 目次へ


SIEM(シーム)

Security Information Event Managementの略。
ターゲットを絞った攻撃やデータ侵害を早期に検出するためにイベント・データをリアルタイムで分析し、インシデント対応、科学捜査、規制へのコンプライアンスのためにログ・データを収集、保存、調査、レポートするシステムのこと。

分析した情報をIAMに提供する。


SIEMと他の技術とのマッピング

SIEMの主な機能

コネクター セキュリティー機器や業務アプリケーションなど様々なデータソースからログを収集。
分析しやすい形に変化した上で蓄積する。
異常検出 ログに対して時系列分析を行い、リアルタイムで異常を検出する
ルールエンジン 監視対象とすべき「異常な行動」を定義する仕組み。
ルールエンジン専用のプログラミング言語「YARA-L」も登場している。
ダッシュボード/アナライザー 特定のミドルウェアやネットワーク機器に特化したログ分析機能
分析結果を可視化したダッシュボード
相関分析 複数のデータソースから収集したログの相関関係を分析
単一のデータソースからでは分からない異変を突き止める
脅威分析 複数のデータソースから収集したログの相関関係を分析
サイバー攻撃特有のパターンを見つけ出す
SOAR連携 セキュリティー運用の自動化ツールであるSOAR(Security Orchestration Automation and Response)と連携する機能
SIEMが検出した脅威情報をSOARに即座に送る→迅速な対応を実現

SIEMの主な製品
– Chronicle Security Analytics Platform
– Azure Sentinel
>> 目次へ


SWG

Secure Web Gatewayの略。
URLフィルタリング、アプリケーションフィルター、アンチウイルス、サンドボックスなど複数のセキュリティ機能を搭載した、主にクラウド型で提供されるプロキシサービスのこと。


SWGと他の技術とのマッピング


SWGの主な用途
ユーザーを守る門番。エンドユーザーによるインターネット通信をチェックし、不審なサイトへのアクセスや怪しいファイルおよびスクリプトのダウンロードなどを防止する。ゼロトラストにおけるユーザー防御の要。

SWGの主な機能

プロキシー/DNSサーバー プロキシサーバーやDNSサーバーとして機能する
SSL復号 SSLの復号通信を復号して、通信パケットを詳細に分析する
URL/IPアドレスフィルタリング 不審なURLやIPアドレスへのアクセスをブロックする
サンドボックス 実行ファイルやOfiiceファイルをサンドボックスで開いて不審な振る舞いがないかチェックする
マルウェア検出 定義ファイルを使ってマルウェアを検出する
Web無害化 WebサイトのHTMLファイルをサーバー上のブラウザーエンジンで描画
JavaScriptなどを無効化したバージョンのHTMLファイルを再生成してクライアントに送信する
クライアントエージェント ユーザーの端末にインストールし、SWG関連の設定を変更不可能にしたり、通信を全てSWGに送ったりする
情報漏洩防止(DLP) ユーザーによる業務ファイルのアップロードなどを禁止する
CASB ユーザーによるSaaSなどの利用情報を分析して、許可されない行動をしていないかチェックする
SIEM連携 ユーザーのログをSIEMに転送する

SWGの主な製品
– Akamai Enterprise Threat Protecror
– Cisco Umbrella

【参考情報】
>> SWGってなに?
>> 目次へ


本記事の参考文献とURLをご紹介します

ゼロトラストについて把握する

筆者はこの本を読んで、ゼロトラストについて腹落ちしました。この本でゼロトラスト関連の用語を把握し、経済産業省のレポートを熟読すれば、ある程度ゼロトラストに関する知識全般と、導入方法についての知見は得られます。
本記事を書く際にも大変参考にさせていただきました。

>> すべてわかるゼロトラスト大全 さらばVPN・安全テレワークの切り札


経済産業省のレポート

このレポートは秀逸です。特に、「デジタルツール導入実証・調査事業報告書」については、経済産業省のDX室が実際にゼロトラストアーキテクチャを構築した際の、背景・要件・技術選定の理由など、とても詳しくレポートされています。行政だけではなく、一般企業でもゼロトラストアーキテクチャを導入する際の、ベストプラクティスとして大変参考になります。

企業のIT担当者の方や、DX推進、ゼロクラウド対応の方にはぜひ一読することをオススメするレポートです。

本記事を書く際にも大変参考にさせていただきました。

>> 経済産業省のレポート(DXレポート ~ITシステム「2025年の崖」克服とDXの本格的な展開~)
>> 経済産業省のレポート(経済産業省DX室、ゼロトラストの概念を取り入れた「デジタルツール導⼊実証・調査事業報告書」を公開)


クラウドネイティブ社の動画

クラウドネイティブ社(経済産業省のゼロトラストアーキテクチャ設計をコンサルティングしたセキュリティベンダー)のYouTube動画です。ゼロトラストの時代背景、経産省で構築したアーキテクチャの説明など、非常に分かりやすく、参考にさせていただきました。

もちろん、本記事を書く際にも大変参考にさせていただきました。

>> 経産省で実証したゼロトラストこそ利便性が高まる現代的セキュリティ


関連記事

>> 情シスの仕事内容まとめ/情シスになる方法/コーポレートエンジニア/社内SE
>> 【セキュリティ】ゼロトラストの概要/導入方法についてのメモ
>> 【セキュリティ】ゼロトラストアーキテクチャーに関する用語
>> 【セキュリティ】ゼロトラストアーキテクチャーを支える技術8選
>> 【セキュリティ】ゼロトラストアーキテクチャをMicrosoft Azure Active Directory (Azure AD)で構築する手順