検索
連載

「ゼロトラスト」は何を信じてアクセスを許可するのか――テレワーク前提の企業へゼロトラストを展開する方法働き方改革時代の「ゼロトラスト」セキュリティ(8)

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを企業や組織へどのように展開するかについて。

[仲上竜太,株式会社ラック] PC用表示 関連情報
Share
Tweet
LINE
Hatena

 コロナ禍によるソーシャルディスタンスは、これまで当たり前のように行われてきた「オフィスで働く」という常識を一変し、テレワークを新たなスタンダードとして考えざるを得ない時代となりました。

 働き方改革やデジタルトランスフォーメーションといったデジタルテクノロジーの活用とともに注目を集めているゼロトラストについて紹介する本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、連載第5回からNIST(National Institute of Standards and Technology:米国立標準技術研究所)の「SP 800-207 Zero Trust Architecture」から、ゼロトラストの本質的な理解と定義を紹介してきました。

 前回紹介した「ゼロトラストアーキテクチャを構成する論理コンポーネント」に続き、今回は、ゼロトラストを企業や組織へどのように展開するかを見ていきます。

テレワークやマルチクラウドを推進する企業や組織への展開

 NIST SP 800-207の第4章では、展開シナリオや利用ケースを紹介しています。

 企業や組織のネットワーク形態は、テレワークが中心だったり、マルチクラウドを利用していたりなどさまざまです。多くの場合、既に何らかのセキュリティ対策が行われています。このような環境へのゼロトラストの展開では、従来の境界型のセキュリティ施策とゼロトラストがある程度の期間、混在した状態が続きます。

 多くの企業や組織では、どこかに本社オフィスがあり、拠点や従業員の自宅などネットワーク的に分離され、地理的に分散した場所から接続する形態が採られています。本社オフィスでは、会計システムや人事管理システムなど重要な情報を持った社内システムが運用されています。拠点や従業員の自宅からは、インターネット経由のVPNを通じて本社オフィスのネットワークにアクセスし、社内システムを利用して業務を行います。


企業とリモートにいる従業員(NIST SP 800-207のFigure.8「Enterprise with remote employee」を基に作成)

 2020年4月の緊急事態宣言下では、これまで本社オフィス内で勤務していた従業員が一斉にテレワークに移行したため、VPN装置の帯域やライセンスが逼迫(ひっぱく)し、業務に支障をきたしたケースが数多く発生しました。

 さらに、昨今では企業内の情報システムだけではなく、さまざまなクラウドサービスの活用が進んでいます。「Microsoft 365」のような統合オフィス環境をはじめ、顧客管理、営業管理、経費精算といった企業の業務の中心となるシステムが次々にSaaSとして提供されており、複数のクラウドを組み合わせて使用するケースも一般的になっています。

 このような環境でゼロトラストを実装するためには、どのような点に注意すべきでしょうか。

 このようなケースでは、ゼロトラストのコンポーネントであるPE(ポリシーエンジン)とPA(ポリシーアドミニストレーター)をクラウドサービスとしてホストした上で、従業員が利用するコンピュータにインストールした「エージェントモデル」や、インターネット上に設置された「リソースポータルモデル」を適用します。

 エージェントモデルは、従業員のコンピュータに「エージェント」と呼ばれるソフトウェアをインストールし、その端末から企業のリソースにアクセスする際、エージェントを経由して接続します。エージェントはリソースへのリクエストに応じてPEやPAとやりとりし、許可される場合のみ従業員が要求したアクセスを許可する方式です。エージェントがインストールされているコンピュータからのみ接続が許可されるため、比較的強固なセキュリティが確保できる半面、BYOD(Bring Your Own Device)のようにエージェントソフトを導入できないコンピュータからのアクセスは基本的にできなくなります。

 リソースポータル型モデルでは、インターネット上に「リソースポータル」と呼ばれる企業の情報リソースが集約された入り口となるポータルを設置します。インターネットを経由して指定のポータルにアクセスできればリソースの利用を始められるため、どのコンピュータからでもアクセスが可能です。

 クラウドリソースにアクセスする際に従来のVPNモデルのように本社オフィスのネットワークを経由させてしまうと、本社オフィスのネットワークが逼迫(ひっぱく)する恐れがあります。ゼロトラストの導入においては、PEやPAといったコンポーネントはクラウド上に設置することが推奨されます。

 従来、本社のネットワークにアクセスを集約し、VPNの認証という暗黙の信頼に依存していたセキュリティと比較すると、インターネット上に設置されたPEやPAを利用するモデルは、「ネットワークの内側・外側」を意識しない形態になっているのが分かると思います。

 ゼロトラストを導入することで、従業員は逼迫したVPNでストレスを感じながら仕事をする必要はなく、フルスピードのインターネットでさまざまなクラウドサービスに適切にアクセスしながら仕事を進められます。アクセスポリシーの設計によっては、同じ従業員でも、指定された端末からは機密度の高い情報にアクセスでき、自分が所有するスマートフォンからは福利厚生サイトのようなある程度機密性の低い情報にしかアクセスできないなど、利用するデバイスやシチュエーションに応じたアクセス制御が可能になります。

 ネットワークの内側の脅威に目を向け、リソースアクセス単位での認証を可能にしたゼロトラストが、現代のデジタル業務環境にフィットした考え方として注目されている理由がここにあります。

ゼロトラストは何を信じて、アクセスを許可するのか

 ここまでゼロトラストのコンポーネントやその展開方法を紹介してきましたが、PEやPAといったゼロトラストのアクセスを制御するコンポーネントが、どのような考え方でアクセスを許可するのかについて解説します。

 ゼロトラストは、多くの場合「全く信頼しない=ゼロトラスト」という形で紹介されますが、現実には「トラストアルゴリズム」(信頼するためのアルゴリズム)によってアクセスを制御しています。

 では、どのような情報を基にリソースへのアクセスを制御しているのでしょうか。


トラストアルゴリズムのインプット(NIST SP 800-207のFigure.7「Trust Algorithm Input」を基に作成)

 上の図で説明されるように、「ゼロトラストにおける信頼判定」といえるトラストアルゴリズムは複数の入力を参考に、アクセスを判定しています。

 アクセス要求では、どのようなリクエストが誰によってリクエストされているのかをインプットします。その際、アクセスしてきた端末のOS、使われているソフトウェア(ブラウザバージョンなど)、パッチ適用レベルなどの情報も併せて送られます。企業の運用ルールとして、パッチ適用レベルが基準に満たないなどの理由により、この段階でアクセスを拒否する設定も可能です。

 ユーザーデータベースや履歴からの入力では、誰がアクセスしてきたかに着目します。この場合の「誰」は人だけではなく、プログラムのプロセスなども含みます。アカウントIDや認証の結果、アクセス者の時間や場所などユーザーにまつわる情報と現在アクセスしているユーザーの入力情報を比較し、正当な利用者がアクセスしているのかどうかを判定します。

 端末データベースからの入力では、企業が所有しているコンピュータ端末のリストや、OSのバージョンやパッチ適用レベルなどコンピュータの状態がアクセスを許可できるレベルにあるかどうか、ネットワークの場所などからアクセスが許可されるコンピュータか否かを判定します。

 リソースの要求項目では、リソースとなるデータ提供サービスやシステムが持っているID、パスワードをはじめ、利用可能なIPアドレスの制限や多要素認証、端末設定などリソースごとの要求項目により判定します。

 脅威情報インテリジェンスでは、サイバー攻撃などで利用された痕跡のあるIPアドレスやパケットデータ、ファイルなど、攻撃者にひも付くような情報がないかどうかを確認します。

 これらの情報源からの入力や得られたスコアの重要度の組み合わせにより、ゼロトラストのアクセスポリシーであるトラストアルゴリズムを設計します。

 設計したトラストアルゴリズムはPAによって、PEP(ポリシー施行点)で実行可能な形に変換されます。

 ゼロトラストでは、ネットワークの内側・外側というような、壁を境界とした「暗黙の信頼」によるアクセスに代わって、従来セキュリティ上重要視されてきたさまざまな要素を可視化し、パラメーター化することでリソースへのアクセスを安全なものにしています。

 世の中では、人と人とのコミュニケーションがデジタル化され、データがさまざまな場所に点在し、ネットワーク形態やデバイスが多様化しています。これは、状況に合わせてポリシーをリアルタイムに変化させ続けるゼロトラストが、これからのセキュリティスタンダードとして注目されている理由でもあります。

筆者紹介

仲上竜太

株式会社ラック

セキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長

兼 サイバー・グリッド・ジャパン シニアリサーチャー

進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラスナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  3. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  4. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  5. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  6. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  7. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
  8. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  9. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  10. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
ページトップに戻る