「殿、ゼロトラストでござる！」から始まる城下町（企業ITインフラ）のデザイン方法：ITmedia Security Week 2023 夏

2023年6月、ITmedia Security Week 2023 夏で、日本コンピュータセキュリティインシデント対応チーム協議会 運営委員長の萩原健太氏が「ゼロトラストを進められる組織とは？」と題して講演した。

[宮田健，＠IT]

　ゼロトラストというキーワードが大きく注目されて以降、さまざまなアプローチが模索されている。その中で萩原氏は、このゼロトラストを「城下町」に例え、あるべき町作りのために誰の立場で、何を行うかを語った。本稿では萩原氏が“城下町の作り方”を語った講演をレポートする。

ゼロトラストとは「戦略」、そして「目標」

日本コンピュータセキュリティインシデント対応チーム協議会 運営委員長 萩原健太氏

　萩原氏はこれまで、インシデント対応の専門家としてさまざまなインシデントに携わってきた。特に昨今では医療系のインシデントに携わることが増えてきており、大きな注目を集めた大阪急性期・総合医療センターにおけるランサムウェア被害においても、初動対応支援やアドバイザーとして関係している。

　医療や工場などはITセキュリティの整備が追い付いていないとされることが多いが、萩原氏は「ゼロトラストなど夢のまた夢という組織が多かったり、あるいは既に飽きたなどと表現されたりすることもあるが、ゼロトラストを戦略や目標として捉えなくてはならないと考えている」と述べる。

　一方で、徳島県つるぎ町半田病院でのランサムウェア被害のように、自社において明日にでもインシデントが起きる可能性を無視できない。これら事件の報告書が公開されているが、対策としては基本的なことが指摘されている。「遠回りでも積み重ね、基本に立ち返ることが重要だ」と萩原氏は冒頭に指摘した。

ランサムウェア被害の攻撃構造はほぼ似たようなものとなっている。対策は「基本」が重要だ（萩原氏の講演資料から引用）

　ゼロトラストの概念の基本は、米国国立標準技術研究所が公開した「Special Publication（SP）800-207 ゼロトラスト・アーキテクチャ」にある。ここにはゼロトラストについて「リソースの保護に焦点を当てたサイバーセキュリティのパラダイムであり、信頼は決して暗黙のうちに与えられるものではなく、継続的に評価されなければならないという前提」と記されており、萩原氏は「この中でも『継続的に』という部分が鍵になり、ゼロトラストは製品やサービスの導入で実現するものではなく、継続的なセキュリティ対策の積み重ねによって実現できる」と強調する。データの管理、ID管理など課題も多く、ゼロトラスト実現に向けて動き始めても壁にぶつかる企業も多い。そのような状況にある現場に向け、幾つかの事例と例示を含めて萩原氏は解説する。

城下町全体をゼロトラスト化――ところで“誰”が？

　2022年11月に開催されたITmedia Security Week 2022 冬で萩原氏は、ゼロトラストを「友達作り」と表現した。今回、萩原氏はこれを「城下町をゼロトラストへ」と表現する。

• クラウドは「注文住宅」、ゼロトラストは「友達作り」、製品導入がゴール？――“設計思想”で強化するセキュリティ：ITmedia Security Week 2022 冬

　城下町には城があり、町の中には人、データ、そして事業がある。城にはもちろん重要な殿がいて、城壁や堀で囲まれている“境界防御”が行われている。ゼロトラストとは境界防御の対極にあると考えられがちだが、特に日本においては重要なデータは外、つまりクラウドには出せないという考え方も根強い。このような日本の企業を城下町と例え、萩原氏は解説を続ける。

　ところで、「この城下町をゼロトラスト化せよ」と推進しているのはいったい誰なのだろうか。推進役はセキュリティ部門と考えるのが一般的のように思えるが、これには限界がある。城下町を変えるには、町の構造や投入できるリソースの全体像を基に検討しなければならないので、セキュリティ担当だけでは権限が足りない。そのため、萩原氏は「インフラ部門が中心になって考える」ことを推奨する。

　「セキュリティ部門は既存のシステムの“＋α”なら検討できるが、構造そのものはインフラ部門が適任。インフラ部門が中心となるか、そこを巻き込んで検討を進めるべきだ」（萩原氏）

　次に必要なのは「区画整理」だ。火事が起きた際、延焼を防ぐことができる町の構造、つまり「ネットワークのマイクロセグメンテーション」や、住所を分かりやすく見直すといった「ID管理」が住みやすい町作りには重要になる。区画整理は、ゼロトラストの前提となる考え方だ。

　また、この作業の「責任者」は、老中なのか、あるいは町奉行なのかという点にも注目をしたい。城下町の中心、城をつかさどる老中に、全ての権限があり、何でもできる状況になっていればよいが、この点に関しては必要に応じ、その町の構造自体を作る現場にも権限を与えられるように、承認ルートやプロセス、権限が明確になっている必要がある。

　「経営層は残念ながら技術に明るくなく、ゼロトラストの本質を理解されていないこともある。その場合は、知っている人に権限を委譲できることが重要。また、その人がもしいなくなったとしても、誰に対して権限を渡せばいいのか、ルートやプロセスを明確にしておく」（萩原氏）

権限を委譲できるルートやプロセスの明確化が重要になる（萩原氏の講演資料から引用）

殿はクラウドを信頼できているのか？　それとも……

　オンプレミスだけでなくクラウドを柔軟に活用できることが、ゼロトラスト導入の目的の一つだ。とはいえ、重要なデータやシステムを「社外」に持ち出したくないという意識はいまだに根強い。ゼロトラストやクラウド活用を推進しようとしても、経営者の意識や考え方と矛盾してしまえば、プロジェクトは進まない。そのため、萩原氏はまず「クラウド活用において、意識の共有、変化を訴求し、企業方針を明確化。それを経営者と確認することが重要だ」と述べる。

　それに関連して、城下町をゼロトラスト化しても、城の周りなどある一定のエリアだけは特別区画にするかどうか、つまり「境界防御を継続するかどうか？」という点についても、組織全体で意識を合わせる必要がある。全てのリソースを理解し、ゼロトラストを目指せばそういった特別区画は存在しないはずだが、一部を境界防御で守る判断もあり得る。さらには自組織だけでなく、グループ会社やサプライチェーンも含めて考えた場合、ゼロトラストをどこまで実装範囲にするかは、あらかじめ考えておかねばならないポイントだ。

　「完全実施にはコストもリソースもかかってしまうので、その範囲については共通認識を持つことこそが大事だ」（萩原氏）

どこまでやるべきかという共通認識を持つ（萩原氏の講演資料から引用）

　さらには、守るものの定義も必要となる。「町の特別なものはより強固に守るべきか」「町の一般的なものは標準的に守るべきか」を考えるには、情報資産をはじめとするリソースの棚卸しが必須となり、その重要度も組織として定義しなければならない。情報によっては、境界防御の中にしまっておきたいものもあるだろう。ゼロトラストを推進するには、これについても判断、把握しておく必要がある。

リソースの重要性理解が必要不可欠（萩原氏の講演資料から引用）

「殿！　それは御法度です！」と言えるためには

　さらに、萩原氏は「セキュリティのよりどころ」を作る重要性を語る。ゼロトラストに限らず、国内、国外ではさまざまなガイドラインやプラクティスが登場している。組織のセキュリティを高めるには、これらを活用して、まずは身の丈に合ったガイドラインをベースに、自組織に合わせて落とし込む。組織で可能な範囲は限られているが、参考になるガイドラインを基に、業界のレギュレーションを加味しつつ、よりどころを作っていく。

　よりどころがあれば、事業推進に当たって絶対に外せない要件や、ビジネス推進のためにどうしても変更しなければならない部分が明確化する。

　「セキュリティの必須要件を破ってでも事業を進めなくてはならない場合、その理由を社内に文書として残す。各事業部門でリスクを受容して進めていることをデータとして残せば、インシデントの発生原因や侵入経路の推察にも使える」（萩原氏）

セキュリティの方針やルールを定めて運用せよ（萩原氏の講演資料から引用）

　そして、これらのルールをできれば1年に1回、しっかりと見直すことが“運用”だ。「組織によっては1カ月に1回見直しをしている。組織の体力にもよるが、ルールを定めて運用していくことこそが重要だ」（萩原氏）

新製品を入れるだけが手段ではない

　さらに、萩原氏は「今、町にあるものを見よ」と述べる。セキュリティ対策といえば、まず「製品を買う」といったことに結び付きがちだが、広く使われているWindowsをはじめ、最新版にアップデートした際に新たに追加された機能や設定を活用することでも、セキュリティを強化できるポイントがたくさんあるはずだ。

　「新規の製品を購入するものではない。できるものから対策していくことを考える。ネットワークをホワイトリストで運用したり、ログを見直したりするだけでもよい。新規の製品を入れなくてもいいならば、経営者も気になるポイントになるはずだ」（萩原氏）

ゼロトラストセキュリティは製品導入だけではない（萩原氏の講演資料から引用）

　加えて、既にCSIRT（Computer Security Incident Response Team）が大きな力になり得ることを萩原氏は指摘する。日本コンピュータセキュリティインシデント対応チーム協議会の運営委員長の立場として、「CSIRTは単なる火消し役ではない。ゼロトラスト運用の監視役として、CSIRTの本業である『エマージェンシーレディネス』、つまり自演の準備が重要であり、組織の『目』として活躍できる」と述べる。

CSIRTの積極活用こそがゼロトラストの近道（萩原氏の講演資料から引用）

対応状況が適切かどうかを見直そう

　萩原氏はゼロトラストの実現において、「まずは基本に立ち返り、その後『内から内』『内から外』『外から外』を考えていく必要がある」と述べる。

　城下町をゼロトラスト化していったように、「『内から内』ではシステム／ネットワーク構成や設定状況の見直し、マイクロセグメンテーションの実装、認証やファイルサーバの見直し、各種クラウドサービスの利用検討が必要」と述べる。

　「内から外」としては、認証システムの強化やアクセスコントロール（権限管理）の実装、管理やログ活用が重要だ。

　「外から外」の部分では、既存のルールなどの見直しやCASB（Cloud Access Security Broker）などの製品を検討し、データソースの継続的な改善が必要だという。

　「製品を導入したら終わりではない。日々の運用ができているかどうかを議論する。基本的なことも意味があり、全てゼロトラストの考え方につながり、結び付く。今あるものをどう活用するか、今の対応状況が適切なのかをどうか見直すところから始める。セキュリティに関して強いのはCSIRT。ぜひとも、そのCSIRTを有効活用し、組織全体の安全向上につなげてほしい」（萩原氏）