ゼロトラストの基本
企業がゼロトラストアーキテクチャに基づいてセキュリティ対策を講じる場合、具体的に何をしていけば良いのか。その際、今後多くの企業担当者がベースラインとして参照すると予測される文書がZTAである。
そこでは、NISTがゼロトラストアーキテクチャ実現のための7原則を定義付けている。
- すべてのデータソースとコンピューティングサービスは、リソースと見なす
- ネットワークの場所に関係なく、すべての通信を保護する
- 企業リソースへのアクセスは、セッションごとに許可する
- リソースへのアクセスは、クライアントIDやアプリケーション、サービス、必要なツールの監視可能な状態や、振る舞いなどの属性を含めた動的ポリシーによって決定する
- 企業は、所有するすべての資産と関連する資産の整合性とセキュリティの状態を監視測定する
- すべてのリソースの認証と認可は、アクセスが許可される前に動的かつ厳密に実施する
- 企業は、資産やネットワークインフラ、通信の現状について可能な限り多くの情報を収集し、セキュリティを向上させるために利用する
この7原則を、さらにかみ砕いて実現方法を考察すると以下となる。
- 全てのデータ、機器、サービスが対象
- ネットワークの場所はセキュリティ構成要素と無関係とし、全ての通信を暗号化
- アクセス許可は、IPアドレス発信元やデバイスなどに対して行うのではなく、セッションごとにその都度許可
- アクセスに対し、ID、利用アプリケーション、デバイス情報、認証結果、認証時間、アクセス権、振る舞い、エンドポイント保護(Endpoint Protection Platform:EPP)/エンドポイント検出対応(Endpoint Detection and Response:EDR)の動作状態などに基づく動的なポリシーを生成
- 全ての資産に対するセキュリティ維持のための監視、測定
- リソースの認証認可は全て動的に行い、アクセス許可する前に厳密に実施
- 認証認可、アクセス制御のための動的セキュリティポリシー生成や傾向分析の向上のために、ログの解析に基づく情報、脅威インテリジェンスからの情報、通信の傾向分析情報などを取込み、ポリシー適用やアクセス制御に反映する
結果として、以下がポイントとなる。
- 社内、社外といった場所や安全なネットワークという概念の撤廃と全通信は信頼できないという前提を置くこと
- エンドツーエンドでの全通信暗号化
- アクセス制御実施前の動的な認証認可
- 全セッションに対する、アクセス制御のための動的なセキュリティポリシー適用
- デバイスの構成情報や脅威インテリジェンスの継続的な収集と活用
これらを具体的な構成例として示した内容は、Microsoftが公開しているので参考にすると良い。
ZTAを構成する個々の技術要素は、第2回で述べたデファクトスタンダードとなるガイドラインでも求められている内容だが、境界型セキュリティを導入している多くの企業は、セキュリティアーキテクチャとして抜本的に組み直す必要性に迫られる。事業継続が命題である各企業において、これは現実的には不可能だろう。
NISTのZTAでも既存のネットワーク環境がある中で、一気にZTAに移行することは困難だと言及しており、段階的な導入を考えていくのが妥当だろう。
取るべきアプローチ
では、どのように段階的な導入を考えるべきだろうか。
まずは、ID管理基盤とデバイスの構成情報管理基盤を整え、多要素認証の標準化とリソースにアクセスするデバイスの正当性を検証できる仕組みは整えたい。IDとデバイス情報は、ZTAにおける基礎データとなるため、これらを整えていない企業はまずはここから着手する事が重要だろう。
その次に、ZTAが紹介する3つの方式を参考に、各企業に適したアーキテクチャを部分的に導入する事を検討するのが良いだろう。今回は詳細に触れることができないが、「IDガバナンスの拡張」「マイクロセグメンテーション」「ソフトウェア定義による境界(Software Defined Perimeter:SDP)」の3方式がZTAでは紹介されている。
多要素認証を標準化して、多要素認証によるIDベースのアクセス基盤を導入し、その次のステップとして、マイクロセグメンテーション化やSDPの保護導入を段階的に進めることが現実解として考えられるだろう。
今後も、クラウド利用は拡大し、テレワークの推進もアフターコロナにおいても継続されることが予測される。その結果、各企業がゼロトラストセキュリティの検討に迫られるのは、市場の流れから避けられないと予測される。
第2回で述べたガイドラインへの準拠を確実に実行継続させつつ、今の段階から、少しずつでもどのようにゼロトラストセキュリティーにアプローチしていくべきか検討を開始しておくべきだろう。
次回は、ゼロトラストセキュリティを支える基盤であり、かつゼロトラストセキュリティを促進させる要因の一つとなったクラウド活用を、「クラウド利用の責任共有モデル」に基づいて考察する。

- 倉橋 孝典(くらはし たかのり)
- クニエ サイバーセキュリティ対策/CISOサポート担当
- ディレクター
- 大手サービスプロバイダーにてサイバーセキュリティ対策やITアーキテクトとしての実務経験を経て現職。ITインフラやセキュリティテクノロジーに精通し、情報システム部門や情報セキュリティ部門、ITサービス事業社のサイバーセキュリティ対策や設計支援、各種認定取得支援、セキュリティ規程整備などのプロジェクトをリードし、CISOをサポートする。また、QUNIEセキュリティラボを運営し、新たなクラウド環境やセキュリティ動向の研究とソリューション開発をリードする。