検索
特集

“ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語るITmedia Security Week 2024 秋

2024年11月26日、アイティメディア主催のオンラインセミナー「ITmedia Security Week 2024 秋」の「ゼロトラストセキュリティ」ゾーンで、京姫鉄道 代表社員CEOの井二かける氏が『ゼロトラストで万事解決?「信頼性ゼロ」にならないために』と題して講演した。

Share
Tweet
LINE
Hatena

 架空の鉄道会社「京姫鉄道」を舞台とした情報セキュリティ啓発アニメ「こうしす!」(@IT支線版連載中)、小説「こうしす!社内SE祝園アカネの情報セキュリティ事件簿」などを制作した井二監督が、新たに制作中の新章に登場する新キャラクターを交え、ゼロトラストアーキテクチャへの移行(以降「ゼロトラスト化」)で陥りがちな“トラストゼロ”の事例を解説した。本稿では、講演内容を要約する。


講演で初公開。現在スポンサーを募集中の新章の主役はDX(デジタルトランスフォーメーション)を推進する架空の鉄道会社「蔵王光速電鉄」の社長令嬢

「ゼロトラスト化しますわよ!」にありがちなこと

 井二氏はまず、ゼロトラスト化でよくある、“取りあえず”VPNを廃止するケースをピックアップする。働き方改革でどこでも仕事ができるよう、VPNを整備した組織も多いが、いま、それが不正アクセスの侵入経路となったインシデントが数多く報道されている。「まず、VPNを廃止しようというのがゼロトラスト化の第一歩としてありがちなステップだ」と井二氏は述べる。


“取りあえず”VPN廃止

 しかし、これこそが「信頼性(トラスト)ゼロ」、つまり悪い意味での「ゼロトラスト」になってしまう。脆弱(ぜいじゃく)性の対策を一切行わずに、社内システムをインターネットに公開してしまえば当然ながら問題が起こる。“URLを秘密にしている”だけで認証が行われないと境界型防御のメリットを全てつぶしてしまう。

 井二氏は「これは極端な事例だ」としつつ、「そもそも、脆弱性対策、認証の強化、通信の暗号化などは、境界型防御のある社内システムとしても対応すべきもの。当たり前のことをやることが大事だ」と強調する。


信頼性ゼロ、悪い意味での「ゼロトラスト」になっていないか?

コロナ禍で「取りあえずVPN導入」もあったが……

 続けて、井二氏は“取りあえず”VPNを導入するケースも紹介する。コロナ禍において下記のようなシチュエーションからVPNを導入した組織は増加したのではないだろうか。

取りあえず上から言われてVPNを入れてみましたが……

 セキュリティポリシーについて何も考えずにVPNを導入すると、アクセスログには多くの「サポート切れOS」が接続した履歴が残ることになるだろう。従業員個人の私物PCを利用するBYOD(Bring Your Own Device)がなし崩しで導入されてしまい、VPNクライアントについても正当なものだけが使われているのかどうか分からない状況となる。組織が意図したセキュリティレベルに達していないデバイスが社内に“正規で侵入する”事態になり、私物PCを経由して外部からマルウェアを持ち込まれて社内ネットワークで横展開(ラテラルムーブメント)される原因にもなってしまう。

 「考えなしにBYODを導入すると社内ネットワークの治安は悪くなる。VPNを導入したとしても、全てのPCを信頼すべきではない」(井二氏)

話題のネットワークカメラ/IoTも……

 信頼すべきではないものは、PCだけではない。同じように“取りあえず”導入される可能性があるのは、近年話題になったネットワークカメラやIoT(Internet of Things)デバイスだ。

信頼性ゼロになり得る“取りあえずIoT機器”

 IoTは、ネットワークに機器を直接つなげる上に、外部にピアツーピア通信で接続したり、製造ベンダーが用意したサーバに接続したりする機能を持つデバイスもある。この部分に脆弱性が残っていると、外部からIoT機器に侵入され、場合によっては踏み台となり社内ネットワークも侵害される。ネットワークカメラであれば、その映像が盗み見されることもあるだろう。そのため、IoT機器についても接続される全ての機器は信頼できないものとして考える必要がある。

「〇〇ファイル転送サービス」は?

 もう一つ、井二氏が指摘するのは、ビジネスシーンでよく見る「ファイル転送」に関係する問題だ。ファイル転送のためのサービスは各種存在するが、組織が許可していないサービスだとアクセスが許可されておらず、従業員が“組織にバレないファイル共有サービス”を使ってしまうことがある。これがいわゆる「シャドーIT」となり、信頼性ゼロの状態を引き起こす起点になってしまう。

 「セキュリティポリシーが社内の現実と照らし合わせると“不適合”になっており、見直されていないと、このようなことが起きる」(井二氏)


意外とありがち? 組織に検出されないファイル共有サイトを(勝手に)活用

そもそも、ゼロトラストの原則って「何のこっちゃ」?

 これらの“あるある”ケースを紹介しつつ、井二氏は原則に立ち返って、ゼロトラストとは何かを紹介する。それは、下記に挙げる7つの原則と、それに関連する製品群なのだが、井二氏は「これを読んでも、『何のこっちゃ?』と思う方が多いのではないか」と述べる。「分かりそうで分からない。言わんとしていることは何となく理解できても、ゼロトラスト化の開始時に参考になるかどうかというと、参考にはならないだろう」


ゼロトラストの基本と言える、「NIST SP800-207」に記載された7原則


正直、「何のこっちゃ」

 加えて、特に中小企業においては「予算」という大きな課題が存在している。例えば上記にあるように、防御のために「IDaaS(Identity as a Service)を導入し、シングルサインオンを実現する」場合、多くの製品ではシングルサインオン対応が上位プランにしか含まれず、「“要お問い合わせ”となっており、中小企業では厳しい」と井二氏は指摘する。同じように監査ログを監視する、IT資産管理機能の活用を想定したとしても、その機能が下位プランには含まれておらず、悔しい思いをした方もいるだろう。


中小企業では「要お問い合わせ」に手が届かない

 井二氏は「Microsoft 365」などは中小規模の企業に手が届く価格帯で、一通りの機能が含まれることから「第一歩としてはよい」としつつも、「そもそも監査ログのような基本的な機能は、規模を問わず必要なはず」と指摘する。さらに「中小規模の企業ができないものは、そもそも大企業でも運用できるのだろうか?」と疑問を呈する。

 このような現状から、「ゼロトラスト化という大きな目標を達成するには、製品導入ありきではない、部分的にでも取り組むアプローチを採るしかない」と結論付けた。


部分的にでも取り組むアプローチを

境界型防御を併用しつつゼロトラスト化を目指せ

 そこで井二氏は、現在活用しているであろう「境界型防御」を併用しつつ、攻撃面(アタックサーフェス)を抑えながらセキュリティシステムを変えていく方法を提案する。

 基本的なネットワーク構成のイメージは「縦」と「横」だ。縦はインターネットからの脅威を防ぐこれまでのセキュリティ対策。横とは「隣の機器を信用せず、社内LANを“公衆無線LAN”や“ホテルの有線LAN”と同じように考える」ことだ。これは、社内LANを適切にセグメント分割する(マイクロセグメンテーション)によって実現できる。


基本的なネットワーク構成のイメージは「縦」と「横」で守る

 さらに、社内外にある「保護すべきリソース」を特定する。ここでは「データ」と考え、保護すべきデータが何か、そしてそれがどこにあるかを特定する。その上で、「それが社内にあるか、クラウドなど社外にあるかを問わず、同じように対策を講じることが重要だ」(井二氏)


社内LAN、社外を問わず対策を行う

“当たり前の対策”を重ねた先に“ゼロトラスト”がある

 井二氏は、境界型防御を前提とした上でそもそも「当たり前の対策」の重要性を訴え、当たり前の対策として「認証」「暗号化」「LAN内通信制限」「情報収集」「自動化」を挙げる。

 「認証」については、例えば「社内だから」とパスワードなしでアクセスできるようにしたり、「admin」「pass」といった予測しやすいパスワードを従業員全員が共有していたり、従業員全員が管理者権限を持っていたりなど、「問題点が残る認証を用いないことが当たり前の対策だ」井二氏は指摘する。


最小権限の原則を守る

 LAN内であってもTLS(Transport Layer Security)などの暗号化を施し、部門ごとにネットワークを分け、LAN内通信を制限することが重要だ。「最近では、そもそも隣にあるPC同士でつながる必要がない。LAN内通信を制限できれば、簡易ゼロトラストになる」(井二氏)


LAN内通信はできるだけ制限する

 加えて井二氏は、定期的に監査する目的で社内のデジタル資産の情報収集を推奨する。しかし、これを人手で行うのは非常に煩雑な作業であり、集めた情報も古くなる。そこで、この作業はできる限りリアルタイムで対応できるように自動化する。「多くの組織では、この情報収集において製品の導入が必要になるだろう」(井二氏)

 クラウド、ネットワーク機器に対しても情報収集することで、社内のシステム全体を監査できる。プロキシやルーターが残す記録から、どこからどこに通信したか、誰がどの機器にアクセスしたかを相互的にチェックし、アクセス禁止や認証強化を行う。


情報をリアルタイムで収集するために「自動化」する

 「これこそが、“トラストゼロ”ではなく“ゼロトラスト”に向かう道だ。ゼロトラストと銘打たなくても、“当たり前”を重ねていけばよい。その先にゼロトラストがあるということがイメージしていただければ」(井二氏)


当たり前を重ねた先に“ゼロトラスト”がある

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る