ゼロトラスト実装の要件と、すぐに成果が出る「簡単・確実な手段」とは:リーントラストの具体的な進め方
ゼロトラストの対策アプローチが求められているが、ピンポイントソリューションで実装できるような単純なものではない。だが、セキュリティリスクは待ってはくれず、業務も止められない。日々のビジネスを阻害せず、スピーディーに対策を実装できる手段はあるのか。
対策は各社各様 多層的、段階的なリスクベースアクセスコントロールが不可欠
クラウドやモバイルの普及、テレワークの浸透などにより、社外を考慮に入れた働き方が求められて久しい。これに伴い“社内は安全”という考え方を軸とする「境界防御」に代わり、一切のアクセスを信用せず逐一認証を行う「ゼロトラスト」な対策が注目を集めている。だが、これはあくまで概念であり、言うまでもなく、ピンポイントソリューションで実現できることではない。「自社の状況に最適な対策」をどう講じていくかが実現のカギとなる。
その現実的な進め方として、昨今、注目を集めているのが「リーントラスト」という対策アプローチだ。さまざまな脅威とリスク、それによって影響を受ける各種IT資産とビジネスへのインパクトなどをリスクベースで評価し、取り組むべき部分から段階的に対策を講じていく。ゼロトラストは新しい概念であるだけに、ともすれば「既存のセキュリティの仕組みを置き換える」といった考え方に陥り、具体的な施策を打てなくなってしまう例も珍しくない。
対してリーントラストは、既存の仕組みを生かし、システム全体の構成を確認した上で、一つ一つ対策を実装し、効果を確認しながら、着実かつスピーディーにセキュリティ強度を高めていく取り組みだ。
このリーントラストを実践するための第一歩であり、最も重要な要素でもあるのがセキュリティ対策の基本となる「認証」だ。何らかのサービスを利用する場合、IDやパスワードによるユーザー認証を行うことが一般的だが、必要に応じて認証手段や認証方法を追加することで、システムの安全性を高めることがゼロトラストに向けた足掛かりとなる。例えば、ユーザー認証の際、デバイス認証も同時に行ってセキュリティ強度を高める、電子証明書(デジタル証明書)を組み合わせてさらにセキュリティ強度を高める、といった具合だ。
セキュリティベンダーのソリトンシステムズは、このリーントラストを実践する上で、4つの段階による多層的、段階的なリスクベースアクセスコントロールを推奨している。具体的には、第1段階は「ネットワークレベルでの認証とアクセス制御」、第2段階は「デバイスレベルでの認証」、第3段階は「ユーザーレベルでの認証」、第4段階は出口対策を中心とした「ユーザーの役割や場所、振る舞いなどに応じた認証」となる。
ソリトンシステムズの倉田和人氏はこう話す。
「ビジネスとそれを支えるシステムは各社各様ですから、対策の進め方も各社各様となります。そこで企業/組織におけるセキュリティ対策の現状を可視化した上で、4段階の対策を柔軟に適用していきます。ただし、システムごと、管理担当ごとにバラバラに取り組んでしまうと、結局はピンポイント対策の積み重ねとなってしまい、期待する効果は出せません。システム全体の現状を可視化し、“組織に対するリスク”を評価した上で、多層的、段階的にリスクコントロールの仕組みを整備することが重要です。リーントラストによって、企業/組織の規模や業種、対象領域を問わず、無駄なく、素早く取り組みを推進することができます」(倉田氏)
リーントラスト実践手段となるクラウドサービス「Soliton OneGate」
こうしたリーントラストの実践に向けて、ソリトンシステムズが提供しているのが「Soliton OneGate」(以下、OneGate)だ。OneGateは、企業が抱えるさまざまなセキュリティ課題を解決するクラウド型のID認証サービスだ。OneGateの特徴は大きく4つある。
特徴1:ID・認証管理の自動化
1つ目の特徴は、「ID・認証管理の自動化」だ。OneGateをクラウド上のIDマスターとして、「Microsoft 365」や「Google Workspace」「Salesforce」「cybozu.com」などのクラウドアプリで利用しているID情報と自動的に同期できる。また、多くの企業が導入しているActive Directory(AD)上のIDをOneGateに自動同期することもできるため、IT管理者は、ADをメンテナンスするだけで、OneGateを介して、各クラウドサービスのアカウントの作成/変更/削除といった運用作業を自動化できるようになる。
「クラウドサービスの利用では、社内のADのユーザー情報と切り離して管理されていることがよくあります。IDを二重に管理すると、管理負荷が高まり、設定の抜けや漏れなどによるセキュリティリスクが生じやすくなります。例えば、退職した社員IDの削除を忘れて、社内リソースにアクセスされるといったことです。ID・認証管理を自動化することで、こうしたリスクを低減します」(倉田氏)
特徴2:シングルサインオン/多要素認証機能
2つ目の特徴は、これまでID/パスワードだけでログインしていた複数のクラウドサービスへのログイン認証を、デジタル証明書認証を追加して多要素認証化した上でシングルサインオンできることだ。また、ID/パスワード以外にFIDO2(生体認証によるパスワードレス認証)とデジタル証明書を組み合わせた多要素認証機能も提供する。
「パスワード認証では、Active Directoryのパスワードを使って認証することができますが、ADのパスワードをクラウドに同期せずに認証できるようにしていることで、重要なADのパスワードが外部に流出するリスクを排除できます。また、デジタル証明書認証を利用することで第三者からのパスワードリスト攻撃をブロックしたり、パスワードの連続間違いでクラウド上のアカウントを一定時間自動ロックしたりするなど、パスワードを不正アクセスから多重に保護しています。認証機能としては、ADパスワード認証、統合Windows認証、デジタル証明書に標準で対応しています。これにより、クラウド上の情報資産へのアクセスを信頼できるユーザーとデバイスだけに限定することができます。特にデジタル証明書が標準で提供されるため、不正アクセスへの対応やFIDO2と組み合わせることによるパスワードレスな多様素認証の実現も容易になり、ユーザーに意識させずに認証が強化でき、利便性も大きく向上します」(倉田氏)
デジタル証明書を使ったパスワードレス化で認証を強化、利便性も向上
特徴3:オフィスWi-Fi/VPNの堅牢化
3つ目の特徴は、オフィスWi-FiやVPN(仮想プライベートネットワーク)の堅牢(けんろう)化だ。OneGateを使って発行、配布するデジタル証明書は、無線LAN認証にも利用できる。オフィスに設置されたWi-Fiは依然としてID/パスワードを使って認証するケースがほとんどだ。また、近年はVPNを使ったリモートアクセスも一般化しつつあるが、その際もID/パスワードによる認証が多い。
しかし、無線LANやVPNへの接続をIDとパスワードだけで認証することは、大きな脅威になりつつある。例えば、悪意を持った第三者が、ある組織のWi-Fiと同じ名前のSSIDを設定しておき、そこに接続しようとした社員からWi-Fiパスワードを盗み取るといった攻撃が観測されている。デジタル証明書を使った認証は、こうしたパスワードを入力させて盗み取るような攻撃に有効だ。
「パスワードを盗まれても、デジタル証明書による認証を行っていれば不正アクセスされることはありません。また、無線LANについては、スマートフォンからのアクセスなども考慮すると、デジタル証明書を使ってパスワードレスにすることで、ユーザーの利便性も向上します」(倉田氏)
無線LANでデジタル証明書を利用する場合、別途RADIUSサーバーが必要となるが、本サービスでは、クラウド上で管理できるアプライアンス型RADIUSサーバー「NetAttest EPS-edge」を提供している。運用しやすいアプライアンス型であることに加えて、クラウド上で設定や管理ができるため、管理者がいない拠点に設置しても安心だ。設置先ではネットワークに接続するだけですぐに利用開始でき、クラウド型無線LANサービスとも非常に親和性が高い。
VPNでデジタル証明書を利用する場合、在宅勤務者などにデジタル証明書をリモート配布することも可能なので、すぐに利用開始できる。
特徴4:社内システムのパスワードレス化
4つ目の特徴は、は、シングルサインオン(SSO)非対応の社内システムのパスワードレス化だ。SSOを実現するにはシステム側がSAMLに対応している必要があるが、社内システムの中には、独自にユーザー認証機能を実装したシステムやSAML非対応のパッケージシステムなどもある。クラウドサービスであってもSAML未対応なサービスも存在する。OneGateはエージェントを使った代理認証機能を提供しており、そうしたパスワード認証しか使えないシステムの認証もSSOできるようになる。
「OneGateではPCとスマートフォンで動作する代理認証アプリを提供しています。このアプリを利用することで、業務アプリケーションへのIDとパスワードを代行送出できます。デジタル証明書と組み合わせることも可能です。デジタル証明書でVPN接続のネットワーク認証やユーザー認証を強化しつつ、認証時のパスワード入力を自動化することで、社外から社内システムにVPNでアクセスして利用するまでをパスワードレス化できるのです」(倉田氏)
リーントラスト実践の軸となるのは「デジタル証明書」
こうしたOneGateの機能群の中でも、冒頭で述べた「4段階の多層的、段階的なリスクベースアクセスコントロール」の実践において、特に重要な要素となるのがデジタル証明書だ。
例えば、第1段階の「ネットワークレベルでの認証とアクセス制御」では、Wi-Fi認証、VPN認証、SDP(Software Defined Perimeter)認証でデジタル証明書を活用することで、より強固で堅牢な認証を実施できるようになる。第2段階の「デバイスレベルでの認証」においても、デジタル証明書によって「管理下にある端末かどうか」を検証できる。さらに、第3段階の「ユーザーレベルでの認証」でも、デジタル証明書を多要素認証の1要素とすることができる。FIDO2対応で安全にパスワードレス化することも可能だ。
また、デジタル証明書は任意の有効期限を設定することができるため、運用ポリシーに合わせて定期的な棚卸運用を行ったり、利用者との契約期限に基づいて期限を設定したりすることで自動的に無効化することもできる。利用者の退職時に自動的に無効化することや、盗難・紛失時に即時に無効化することができ、許可していないデバイスやユーザーがリソースにアクセスできないようにするといった運用も可能だ。
「デジタル証明書を簡単に管理・利用できる機能を標準装備していることは、OneGateにおける他社製品との最大の差別化ポイントです。認証だけでなく、デジタル証明書の管理に不可欠なプライベートCA(認証局)機能も備えているので、証明書の発行から配布、利用までをSolitonが提供する単一プラットフォーム上でシンブルに実現できます。デジタル証明書は、1ユーザー10枚まで追加料金なしで発行できますので、1ユーザーで複数デバイス利用している場合も、利用目的によって1デバイスで複数枚必要となった場合でも、コストを気にせず利用できます」(倉田氏)
デジタル証明書は、端末認証の手段としてデファクトスタンダードとなっているが、その配布は「利用申請時に端末内で公開鍵と秘密鍵の鍵ペアを自動生成する」「公開鍵のみ認証局へ署名要求し、秘密鍵は端末外に一切出さない」という証明書不正コピーを許容しない仕組みが不可欠。OneGateはこの仕組みを実装する(提供:ソリトンシステムズ)《クリックで拡大》
このように、OneGateは、デジタル証明書を軸とした機能群により、企業や組織のリーントラスト実践を強力に支援する。今後は、第4段階の「細かなアクセス制御」の部分でも、セキュアブラウザやセキュアコンテナのサービスとの連携を強化する予定とのことだ。また、EDR(Endpoint Detection and Response、エンドポイントでの検出と対応)製品やログ監視サービスなどと連携して、サイバーセキュリティ対策面でのリスク管理の強化も予定されている。
「リーントラストやゼロトラストに取り組もうとして、どこから手を付けるべきか分からず悩んでいる方は多くいます。OneGateはそうした悩みに対する1つの現実解です。デジタル証明書を加えるだけで、認証に対する考え方と求められる対策が根本的に変わることを実感できるはずです」(倉田氏)
OneGateはクラウドサービスのためスモールスタートも容易だ。また、ソリトンシステムズは「4つの段階による多層的、段階的なリスクベースアクセスコントロール」に基づく対策の推進支援も行っている。まずはリーントラストの起点となる「認証」に、OneGateで取り組んでみてはいかがだろうか。
関連記事
- 「ゼロトラスト」の誤解と、現実的な実装への“最短アプローチ”とは
社内前提からリモート前提の働き方へと変わり、セキュリティ/ネットワークの仕組みにも変革が求められている。こうした中、各種ITリソースへの全てのアクセスを信用しない「ゼロトラスト」のアプローチが注目されているが、その現実的な実装方法とはどのようなものか。 - 失敗も頓挫もしない「ゼロトラスト」の現実的な実装法
働き方が「社外前提」に変わりつつあるいま、多くの企業が「社内で働くこと」が前提だったネットワークやセキュリティの仕組みを見直しつつある。そうした中で注目されている「ゼロトラスト」だが、まだまだ実装には至らない例が多い。その理由と現実的なゼロトラスト実装法とは。
関連リンク
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2021年9月18日
Copyright © ITmedia, Inc. All Rights Reserved.