ゼロトラストについて考え方から全体像、必要なコンポーネント、移行、効果までわかりやすく解説します!
「ゼロトラスト」というワードはよく聞きますね。これは単なるバズワードではなく、サイバーセキュリティに効果的に対応できる新しい考え方です。
ここではゼロトラストについて本質が理解できるよう説明していきます。
なぜゼロトラストがバズワードではないのか、しっかり理解できるようになります。
ゼロトラストの考え方を理解しよう。「絶対に万引きできないスーパーを作ってみよう
ここではゼロトラストの本質を比喩を用いて説明していきます。
とあるスーパーマーケットを想像してみてください。このスーパーマーケットは万引き被害が多く困っています。多額の投資をしてでも万引きを無くしたいと考えています。あなたならどのようにしますか?
ゼロトラストの考え方では、まずありとあらゆる場所に監視カメラを死角なく設置します。何台くらい設置しましょうか?顧客一人一人の一挙手一投足を確実に監視できるよう、1万台も設置しましょうか。【監視】
監視カメラは事後に証拠として使うためだけでなく、リアルタイムに監視するために用います。そのために監視員を2,500人用意します。1人四台の監視カメラを食い入るようにチェックします。人を2,500人も用意できない?それならAIがチェックできるようにしましょう。【監視】
監視カメラで不審な点があったら即時に警備員が駆けつけ、その顧客を徹底的にチェックし、不正が発覚したらその場で退店を命じます【遮断】。
監視カメラでのチェックは定点的に確認するのではなく、顧客一人一人を顔や背格好で【識別】し、監視カメラをまたいで一連の行動をチェックします。つまりお店に入ってから品物を選ぶ、レジで会計する、袋に詰める、退店するという一連の動作がすべてつながるようにチェック【行動評価】します。
例えば一度レジを通った後売り場に戻る行為は確率的に1%以下だとしたら、これは特異な行動であると判断し、優先度を上げて監視するようにします。
どうでしょうか?このようなスーパーマーケットであれば「絶対に」というレベルに近いところまで万引きは減らせるのではないでしょうか? (実際のスーパーでやったら大問題になりそうですが、、あくまで比喩です)
これがゼロトラスト(一切信用しない)の考え方です。
要件をまとめると、
・顧客一人一人を【識別】し、
・すべての動作をリアルタイムに【監視】し、
・監視もその場その場の動作ではなく一連の動作として、つまり点から線になるように【行動評価】し、
・不審な点があれば通信を【遮断】する。
となります。ゼロトラストのコアな考え方に「Never Trust, Always Verify」(決して信用せず、いつも検証する)というものがありますが、ご理解いただけたと思います。
では比喩から離れ、実際の情報システムでどのようにゼロトラストを実現していくかを説明していきます。
ゼロトラストの全体像を理解しよう
ゼロトラストについてはNIST SP800-207が原点となります。
その中に全体像(下図)があります。この図について解説します。
「主体」はユーザです。
「システム」はクライアントです。PCやスマホ、IoTです。
「企業リソース」はサーバです。(正確には利用したいアプリやデータです)
クライアントとサーバは直接接続されるのではなく、「PEP」を介してつながっています。
「PEP」(Policy Enforcement Point: ポリシー実施ポイント)とは通信の「関所」となる部分です。ここで通信の中身を見て【監視】し、不審なところがあれば通信を【遮断】します。ここがゼロトラスト設計の肝となる部分です。
「PDP」(Policy Decision Point: ポリシー決定ポイント)はPEPの頭脳となる部分です。PDPはPEPから通信内容を連携され、またPEP以外の外部情報(両端の四角で描かれているもの、「脅威インテリジェンス」や「データアクセスポリシー」など)も連携され、それら監視の情報を統合し、【行動評価】まで行った上で通信を遮断すべきかどうかを判断し、その判断をPEPに伝える大事な役目を担っています。ここもゼロトラストの肝となります。
PEP/PDPが【監視】する際には当然、誰からの通信かユーザを【識別】できていないといけません。識別しないまま誰にでもアクセス権を与えることは認可の観点からできません。また、多人数からの通信を識別しないまま個人の【行動評価】はできないからです。よって「ID管理システム」と連携していることが前提となります。
ゼロトラストではIdentity(アイデンティティ)が重要となります。Identityというのはユーザ名のことだけではありません。例えばスズキイチローさんからの通信であると主張する時、確かにスズキイチローさんであるということを判断できるに足る情報の集合がIdentityです。それはアカウント名、パスワードだけでなく、多要素認証、クライアントのIPアドレス、OSの種類など確かにスズキイチローさんだと判断できるに足る情報をかき集めて認証します。ゼロトラストでは監視が重要なファクターであり、監視をするにはIdentityがなければいけません。以前からある「境界防御」から現在は「Identity is a new perimeter」(Identityが新しい境界だ)という考えに移っていますが、ゼロトラストでも「Identity is a new perimeter」という考え方を積極的に採用しています。
日本の情報セキュリティではIdentityというと「ID管理」としてユーザ名とパスワードの管理と矮小化して考えるのが一般的ですが、Identityはもっと広い概念です。この辺は以下の参考書に詳しく書いてあります。
『デジタルアイデンティティー 経営者が知らないサイバービジネスの核心』
https://www.amazon.co.jp/dp/B099842GV4/
さて、ゼロトラストの全体図が理解できましたでしょうか。
ゼロトラストはあくまで考え方なので、これを実際のソリューションに当てはめて設計・実装していく必要があります。次にゼロトラストを実現するためのコンポーネント、ソリューションについて解説していきます。
ゼロトラストを実現するためのコンポーネント/ソリューション
ゼロトラストの全体図を実際の設計・実装に落とし込みましょう。必要なものは多岐に渡ります。
イメージしやすい図が以下となります。図を見ながら以下の説明を読んでください。
【図引用】日経XTEC ゼロトラストを自社導入するには?製品選びで検討すべき4項目
https://xtech.nikkei.com/atcl/nxt/column/18/01328/083100016/
・認証 - IDaaS
ゼロトラストに限らずIdentityは非常に大切です。ゼロトラストは境界防御から離れ、社外からのアクセスを積極的に受け入れるため、認証はクラウドに置く必要があります。一般的な企業ではVPNで一旦社内に入り、社内にある認証サーバで認証する必要がありましたが、認証サーバ自体を社外に置く必要があります。
そうすると認証サーバへの攻撃が増えてしまいます。よってサイバー攻撃対策が万全に取られたIDaaSを選定する必要があります。
また、IDaaSには誰でもアクセスできてしまうのでなりすましのリスクが増えてしまいます。それを防ぐため、強力なユーザ認証を備えた、つまり多要素認証(MFA)を使えるものを選びましょう。
基本的に認証にはパスワードとOTP(ワンタイムパスワード)、クライアント証明書認証(PKI)を使うべきです。
・クライアント(PC)
クライアント証明書の導入、PCの監視、サイバー攻撃防御、侵害された場合の隔離、PCの資産管理ソフトウェア(デバイス、OSバージョン、ソフトウェアバージョン管理ができるもの)が必要となります。またそれらが、PDPと接続できる必要があります。
ということでそれら要件を満たすEDR(Endpoint Detection and Response)を導入しましょう。選定したEDRで足りない機能があればそれを補う他のソフトウェアも導入します。
【参考】次世代セキュリティ対策のEDRとは?主要な5つのEDR製品について徹底解説!
https://cyberprotec.jp/18685/
・クライアント(スマホ)
スマホの場合もPCの要件と同じですが、導入するソリューションはMDM(モバイルデバイス管理)、MAM(モバイルアプリケーション管理)となります。金融機関などであればすでに導入済みかと思います。
・PEP (Policy Enforcement Point)
PEPは上述の通り、通信の「関所」に当たる部分です。クライアントからサーバへの通信は必ずこの関所(PEP)を通り、必要に応じて通信を遮断します。
ソリューションとしてはCASB(キャスビー)、SWG(Secure Web Gateway)、SDP(Software Defined Perimeter)、SASE(サッシー)、IAP(アイデンティティ認識プロキシ)があります。
ソリューションは必ずIDaaSと連携できるものを選択してください。
・ログ分析
監視の要はログとSIEM(Security Information and Event Management; シーム)です。ゼロトラストに限らずサイバーセキュリティでは様々なソリューションを導入しますがそれらソリューションやデバイスからログを抽出し、ログを統合・分析するためにSIEMを使用します。
また自動でログを分析し異常値を発見するためにはUEBA (User and Entity Behavior Analytics; ユーザーおよびエンティティの振る舞い解析) を導入します。SIEM/UEBAで【行動評価】まで行うことが理想的です。
これらログ分析した結果はPEP/PDPに連携し、不審な通信を発見・遮断につなげます。
・PDP (Policy Decision Point)
PDPは関所(PEP)にこの通信は通して良い、悪いと指示を与える、頭脳にあたる部分でしたね。
あらゆる情報を統合して判断し、「可能な限りリアルタイム」で通信を遮断します。
この「可能な限りリアルタイム」という要件は当然人間では無理なわけで、条件をがっちり作り込むか、AI(機械学習系)の技術でその場で判断させるかしかありません。
そのような仕様を実現しているソリューションを選びます。一つにはSOAR (Security Orchestration, Automation and Response; セキュリティのオーケストレーションと自動化によるレスポンス) があります。
・・・色々なソリューションがありますね。ではこれらはゼロトラスト特有のものでしょうか?違います。
ゼロトラストを意識していない、従来の境界防御型の企業でもこれらソリューションを、特に金融機関だと揃えています。ただソリューションをバラバラに導入し、統合する発想がないのが現状だと思います。
ゼロトラストは、ソリューションを統合し、効果的にサイバー攻撃から守る設計思想(Security By Design)であるという印象です。
ゼロトラストへの移行
ではどのようにゼロトラストへ移行するかを考えます。
Phase1 とにかく認証を強化しよう
まずやるべきは社内にあった認証サーバをクラウドに出し(IDaaS)、社外からでも認証できるようにすることです。
これでリモートワークがVPNを使った境界防御に頼らずに実現できます。
IDaaSでは徹底的に認証を強化します。クライアント証明書認証と多要素認証(MFA)は必須です。また、認証にパスワードなどのユーザ入力だけに頼るのではなく、IPアドレスや認証しようとしているデバイスのOSのバージョンやパッチ適用状況を確認する「リスクベース認証」も必須要件としましょう。
Phase2 EDR/MDMを導入しよう
クライアント(PC/スマホ)を守り、管理します。そのためにPCならEDRを、スマホならMDMを導入します。
EDRはソリューションによってはアンチマルウェア機能が無いものがあるのでその際には別ソリューションを導入しましょう。
IDaaSのリスクベース認証と連携できるかどうかも確認し、OSバージョンやパッチの適用状況と認証が連携できることが大切です。また、不審な点があればそのクライアントを隔離(isolation)できる必要があります。
Phase3 関所を設けよう
クライアントと認証が万全になったら次は「関所(PEP)」です。SASE導入を検討してみてください。SASEにはCASB、SWGの機能が入った、オールインワンなソリューションです。ここで認可(アクセス管理)、セキュリティチェックを行います。クラウド/オンプレにあるサーバはこのSASEとだけ通信するようにすればサイバー攻撃される面積(attack surface)を減らすことができます。代わりにSASEが攻撃されることになるので、SASE自体の防御が大切です。
繰り返しになりますが、IDaaSと当然認証情報を連携できる必要があります。
ここまでやれば「当社はゼロトラストを導入しています」と言えます。(ベーシックレベルのゼロトラストですが)
Phase4 不審な通信を自動で遮断しよう
さらに発展系がこのPhase4です。不審な通信をリアルタイムで検出し、リアルタイムで遮断までします。
つまりPDP部分です。不審な通信であると判断できるだけの情報をかき集め、集約し、PDPに伝える必要があります。そしてPDPで遮断するかどうかをルールベースか、AIベースかで判断し、PEPに遮断を伝えます。
ここまでやれば先進的(アドバンスド)なゼロトラストです。
ゼロトラストでどのように攻撃を防ぐのか?
ゼロトラストでどのように攻撃を防ぐのかを示しつつ、ゼロトラストについて理解を深めていきましょう。
・ユーザのID/パスワードが盗まれました
クライアント証明書、MFAが盗まれていなければ守れます。またリスクベース認証を導入していれば不審な点が見つかりそこで防げる可能性もあります。
・標的型攻撃やフィッシングに引っかかってマルウェア感染した
クライアントのEDRが検出し、それが管理者に伝わりデバイスを隔離するなどします。またそれがIDaaSに伝わり、認証トークンを無効化などします。
【参考】ソーシャルエンジニアリングを用いた標的型攻撃の事例紹介と防ぎかた
https://cyberprotec.jp/19201/
・サーバに重大な脆弱性が見つかった
サーバは関所(PEP)経由じゃないと繋がらないようにしているので、サーバにリモート攻撃(AV=N)ができる脆弱性があっても直接攻撃できない可能性が高まります。その他の脆弱性については関所のセキュリティチェックや、サーバ側のログを分析したSIEM/UEBAで不正を発見し、それがPEPに伝わり通信を遮断することが期待できます。
・サプライチェーン攻撃
自社以外、外部委託先だったりへの攻撃から自社に不審な通信が入ってくるサプライチェーン攻撃ですが、これも上述の「サーバに重大な脆弱性が見つかった」と同様にPEPのセキュリティチェック、SIEM/UEBAでの発見、PEPでの遮断という一連の流れで遮断できることが期待できます。
【参考】サプライチェーン攻撃とは! その被害事例と中小企業向け対策を解説する
最後に
ゼロトラストについて考え方から全体像、必要なコンポーネント、移行、その効果まで駆け足で解説しました。
基本的なことは網羅できていると思います。次に読むべきものを示しますので、最終的には原点であるNIST SP800-207を読めるようになりましょう。
ゼロトラストセキュリティの現在導入の進捗状況や実務についてhttps://cyberprotec.jp/17814/
テレワークを支える新たなセキュリティ「ゼロトラスト」とは?https://cyberprotec.jp/19249/
情報セキュリティ10大脅威2021 No.1脅威!ランサムウェアに最も狙われているRDPの守り方、教えます
https://cyberprotec.jp/18365/
金融庁 ゼロトラストの現状調査と事例分析に関する調査報告書https://www.fsa.go.jp/common/about/research/20210630.html
IPA ゼロトラスト導入指南書https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/zero-trust.html
NIST SP800-207
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/zero-trust-architecture-jp.pdf
さらに詳しくサイバーセキュリティについて学ばれたい方に、以下のeラーニングコースと書籍を紹介させていただきます。
サイバーセキュリティアカデミー(サイアカ)
実践的で、わかりやすく、お手頃価格で、いつでもどこでも学べるサイバーセキュリティ専門のeラーニングコースを提供しております。マルウェア解析、IoTのペネトレーションテスト、クラウドセキュリティ、デジタル・フォレンジック、OSINT、FinTech関連のセキュリティなどのコースがあります。 コースについてお知りになりたい方は、https://cyberprotec.jpにアクセスください。
書籍のご紹介
サイバーセキュリティの基礎及びその監査の方法をわかりやすく解説しています。サイバーセキュリティの脅威、攻撃手法、対策を詳しく説明するとともに、NISTのサイバーセキュリティのフレームワーク、AICPAのサイバーセキュリティリスクのマネージメント報告なども解説しています。Amazonへのリンク