誤解を正し、8つのポイントから真のゼロトラスト導入を考える
2024年6月14日(金)11時20分 マイナビニュース
ゼロトラストの普及が世界的に進んでいます。日本ではデジタル庁が「ゼロトラストアーキテクチャ適用方針」を公表し、米国では米国防総省が「Department of Defense Zero Trust Reference Architecture」を発表するなど、政府機関も着実に歩みを進めています。
2024年3月に経済産業省の宇宙産業室が公表した「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」では、米国防総省が衛星システムなど宇宙分野でもゼロトラストへの取り組みを推進していると指摘しました。経済産業省は、日本も同様の考えを持っていると説明しており、ゼロトラストの裾野が着実に広がっていることを示しました。
しかし、そのゼロトラストについて、多くのユーザーが根本的に誤解しているという現実はあまり知られていません。そこで本稿では、その誤解を明らかにし、ゼロトラストを正しく導入するためのポイントを提示します。
重要であるがゆえに生じた誤解
ゼロトラストと切っても切れない関係にあるのが、アイデンティティ(ID)です。IDはゼロトラストの基本的な要素であり、企業は分散型ID、多要素認証(MFA)、生体認証などの技術を使用して機密データを保護してきました。ID認証は、ゼロトラストにおいて最も広く使用されている手段の一つです。
その重要さゆえに生まれてしまったのが「ゼロトラストを実現するための要素はアイデンティティのみである」という誤解です。組織がIDという1つの要素に過度に注目し、他の要素の存在を忘れてしまうことの危険性は計りしれません。潜在的な脆弱性を生むことにつながり、ひいては重大なサイバーセキュリティイベントを引き起こす可能性があります。
私たちは通常、1つの要素だけに基づいて誰かを信頼することはありません。信頼の獲得には多面的な視点が必要です。ゼロトラストの実現でも同様に、複数の形式による検証が必要です。必要以上に単純化すれば、安全性は保てません。
複数のセキュリティ対策を単一ポイントで制御すべき
誤解を解いたところで、ゼロトラストの正しい導入について考えてみましょう。基本的な考え方として、ゼロトラストは、システムが侵害される可能性があるという前提から始める必要があります。その上で、保護するための対策を豊富に用意すれば、ゼロトラストの信頼を高められます。ID認証はあくまでもその1つの対策という位置づけなのです。
ここで重要な点は、それぞれの対策から流入する情報を制御するために、Policy Enforcement Point(PEP、単一のポリシー施行ポイント)を利用することです。安全で堅牢なゼロトラストを実現するために、企業がPEPに組み込む必要がある要素は、IDのほかに以下があります。
デバイス
ユーザーを理解するだけでなく、利用しているデバイスも把握することが重要です。ゼロトラストの仕組みでユーザーが完全に認証されていたとしても、利用するデバイスが侵害されていれば、依然としてセキュリティリスクが伴います。ゼロトラストでは、アクセスを許可する前に、企業デバイスと個人デバイスを区別し、デバイスの健全性、パッチレベル、セキュリティ構成を検査します。
位置
テレワークの普及により、ユーザーが多様な場所から自社のシステムにアクセスすることを、企業は想定しておかなくてはなりません。そのため、異常な傾向があれば警告を発するシステムが必要です。
例えば、あるユーザーがロンドンからログインしようとして、その1時間後には地球の反対側からログインしたのであれば、それを偶然の産物と考えてはいけません。高い確率でインシデントが発生していることを、フラグを立てて示さなくてはなりません。
アプリ
クラウドサービスの利用者が拡大していることにより、同じ機能を持つ競合アプリが多く存在します。セキュリティ部門は、企業として使用する特定のアプリをできる限り精査し、承認しなくてはなりません。場合によっては、データ損失のリスクを軽減するために、未承認のアプリケーションなどに高度な制御や制限を掛ける必要も出てきます。
インスタンスへの理解
それぞれのクラウドアプリ内には、さまざまな種類のインスタンスが存在します。例えば、多くの組織では、従業員がMicrosoft 365の個人インスタンスなどの個人用クラウドアプリを使用することを許可しています。しかし、企業の機密データが個人用アプリと共有されているようなケースでは、情報漏えいのリスクが出てきます。そのため、各アプリのインスタンスを理解しておく必要があります。
活動
ゼロトラストは、アプリケーション同士が対話する方法やデータにアクセスする方法にまで影響を与えます。単一ユーザーのセッション内であっても、アプリケーションがそのユーザーに代わって実行するアクションは、精査しなくてはなりません。
行動
IDによってユーザーに最初のアクセスが許可される場合がありますが、その後の行動も継続的に精査しなくてはなりません。従業員が突然大量のデータにアクセスし始めたり、機密ファイルをダウンロードしたりした場合、たとえ最初にそのユーザーがIDによって認証されていたとしても、警告を出すべきです。
データ
ゼロトラストの中心となるのはデータであり、データの整合性と機密性を確保することが「すべて」とも言えます。すなわち、ゼロトラストでは、ユーザーの身元にかかわらず、保存中もしくは転送中のデータを暗号化し、データアクセスパターンを参照することで異常の有無を監視します。
これには、データ分類を自動化することや、カテゴリーごとに求められる特定の制御を実装するといった動作を自動化するための手法も含んでいます。
真のゼロトラストを達成するために
繰り返しになりますが、IDはゼロトラストの基礎であることは間違いないものの、複雑な構造の一部にすぎません。企業がIDに過度に固執すると失敗を招くことになり、ひいてはゼロトラスト導入の思いとは裏腹に、サイバー攻撃の被害を受けてしまいかねません。
真のゼロトラストは、あらゆるタッチポイント、ユーザー、デバイスを考慮した統合的かつ総合的なアプローチを持っている場合にのみ達成できるものです。今回紹介した、IDを含めた8つの要素すべてをゼロトラストアプローチに組み込むことで、企業は自信を持ってシステムを運用できます。セキュリティが主導する形で、ハイブリッドワークの推進、AIの統合、新市場への進出など、安心して未来を開拓できるのです。
○Netskope Japan株式会社 ソリューションエンジニアマネージャー 小林宏光
2018年7月に、Netskope入社。初期メンバーのSEとして、以後Netskopeソリューション/製品の技術的な啓蒙とノウハウの日本市場のユーザーやパートナーへの浸透を支援している。Netskope入社以前は、チェックポイント・ソフトウェア・テクノロジーズ技術本部長、アルバネットワークスシニアコンサルタント、ジュニパーネットワークスパートナー技術本部SEマネージャなどを担当。またそれ以前はAT&T/Lucent Technologiesにおいて通信授業者向け音声/移動体インフラSEを長年担当し、ネットワークとネットワークセキュリティに30年近く幅広い経験を持つ。1992年、大学卒業後にAT&T Japan入社。Lucent Technologies時には2年間の米国NJでの勤務を経験。
2024年3月に経済産業省の宇宙産業室が公表した「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」では、米国防総省が衛星システムなど宇宙分野でもゼロトラストへの取り組みを推進していると指摘しました。経済産業省は、日本も同様の考えを持っていると説明しており、ゼロトラストの裾野が着実に広がっていることを示しました。
しかし、そのゼロトラストについて、多くのユーザーが根本的に誤解しているという現実はあまり知られていません。そこで本稿では、その誤解を明らかにし、ゼロトラストを正しく導入するためのポイントを提示します。
重要であるがゆえに生じた誤解
ゼロトラストと切っても切れない関係にあるのが、アイデンティティ(ID)です。IDはゼロトラストの基本的な要素であり、企業は分散型ID、多要素認証(MFA)、生体認証などの技術を使用して機密データを保護してきました。ID認証は、ゼロトラストにおいて最も広く使用されている手段の一つです。
その重要さゆえに生まれてしまったのが「ゼロトラストを実現するための要素はアイデンティティのみである」という誤解です。組織がIDという1つの要素に過度に注目し、他の要素の存在を忘れてしまうことの危険性は計りしれません。潜在的な脆弱性を生むことにつながり、ひいては重大なサイバーセキュリティイベントを引き起こす可能性があります。
私たちは通常、1つの要素だけに基づいて誰かを信頼することはありません。信頼の獲得には多面的な視点が必要です。ゼロトラストの実現でも同様に、複数の形式による検証が必要です。必要以上に単純化すれば、安全性は保てません。
複数のセキュリティ対策を単一ポイントで制御すべき
誤解を解いたところで、ゼロトラストの正しい導入について考えてみましょう。基本的な考え方として、ゼロトラストは、システムが侵害される可能性があるという前提から始める必要があります。その上で、保護するための対策を豊富に用意すれば、ゼロトラストの信頼を高められます。ID認証はあくまでもその1つの対策という位置づけなのです。
ここで重要な点は、それぞれの対策から流入する情報を制御するために、Policy Enforcement Point(PEP、単一のポリシー施行ポイント)を利用することです。安全で堅牢なゼロトラストを実現するために、企業がPEPに組み込む必要がある要素は、IDのほかに以下があります。
デバイス
ユーザーを理解するだけでなく、利用しているデバイスも把握することが重要です。ゼロトラストの仕組みでユーザーが完全に認証されていたとしても、利用するデバイスが侵害されていれば、依然としてセキュリティリスクが伴います。ゼロトラストでは、アクセスを許可する前に、企業デバイスと個人デバイスを区別し、デバイスの健全性、パッチレベル、セキュリティ構成を検査します。
位置
テレワークの普及により、ユーザーが多様な場所から自社のシステムにアクセスすることを、企業は想定しておかなくてはなりません。そのため、異常な傾向があれば警告を発するシステムが必要です。
例えば、あるユーザーがロンドンからログインしようとして、その1時間後には地球の反対側からログインしたのであれば、それを偶然の産物と考えてはいけません。高い確率でインシデントが発生していることを、フラグを立てて示さなくてはなりません。
アプリ
クラウドサービスの利用者が拡大していることにより、同じ機能を持つ競合アプリが多く存在します。セキュリティ部門は、企業として使用する特定のアプリをできる限り精査し、承認しなくてはなりません。場合によっては、データ損失のリスクを軽減するために、未承認のアプリケーションなどに高度な制御や制限を掛ける必要も出てきます。
インスタンスへの理解
それぞれのクラウドアプリ内には、さまざまな種類のインスタンスが存在します。例えば、多くの組織では、従業員がMicrosoft 365の個人インスタンスなどの個人用クラウドアプリを使用することを許可しています。しかし、企業の機密データが個人用アプリと共有されているようなケースでは、情報漏えいのリスクが出てきます。そのため、各アプリのインスタンスを理解しておく必要があります。
活動
ゼロトラストは、アプリケーション同士が対話する方法やデータにアクセスする方法にまで影響を与えます。単一ユーザーのセッション内であっても、アプリケーションがそのユーザーに代わって実行するアクションは、精査しなくてはなりません。
行動
IDによってユーザーに最初のアクセスが許可される場合がありますが、その後の行動も継続的に精査しなくてはなりません。従業員が突然大量のデータにアクセスし始めたり、機密ファイルをダウンロードしたりした場合、たとえ最初にそのユーザーがIDによって認証されていたとしても、警告を出すべきです。
データ
ゼロトラストの中心となるのはデータであり、データの整合性と機密性を確保することが「すべて」とも言えます。すなわち、ゼロトラストでは、ユーザーの身元にかかわらず、保存中もしくは転送中のデータを暗号化し、データアクセスパターンを参照することで異常の有無を監視します。
これには、データ分類を自動化することや、カテゴリーごとに求められる特定の制御を実装するといった動作を自動化するための手法も含んでいます。
真のゼロトラストを達成するために
繰り返しになりますが、IDはゼロトラストの基礎であることは間違いないものの、複雑な構造の一部にすぎません。企業がIDに過度に固執すると失敗を招くことになり、ひいてはゼロトラスト導入の思いとは裏腹に、サイバー攻撃の被害を受けてしまいかねません。
真のゼロトラストは、あらゆるタッチポイント、ユーザー、デバイスを考慮した統合的かつ総合的なアプローチを持っている場合にのみ達成できるものです。今回紹介した、IDを含めた8つの要素すべてをゼロトラストアプローチに組み込むことで、企業は自信を持ってシステムを運用できます。セキュリティが主導する形で、ハイブリッドワークの推進、AIの統合、新市場への進出など、安心して未来を開拓できるのです。
○Netskope Japan株式会社 ソリューションエンジニアマネージャー 小林宏光
2018年7月に、Netskope入社。初期メンバーのSEとして、以後Netskopeソリューション/製品の技術的な啓蒙とノウハウの日本市場のユーザーやパートナーへの浸透を支援している。Netskope入社以前は、チェックポイント・ソフトウェア・テクノロジーズ技術本部長、アルバネットワークスシニアコンサルタント、ジュニパーネットワークスパートナー技術本部SEマネージャなどを担当。またそれ以前はAT&T/Lucent Technologiesにおいて通信授業者向け音声/移動体インフラSEを長年担当し、ネットワークとネットワークセキュリティに30年近く幅広い経験を持つ。1992年、大学卒業後にAT&T Japan入社。Lucent Technologies時には2年間の米国NJでの勤務を経験。
関連記事(外部サイト)
