編集部からのお知らせ
記事まとめPDF「日本のスタートアップ」
お勧め記事まとめPDF「マイクロサービス」

ゼロトラスト実現に必要なこと

ZDNet Japan Ad Special

2022-03-14 15:00

[PR]1月26日(水)と1月27日(木)の2日間オンデマンドにて配信された「VMware × ZDNet Japan Network & Security Forum」の概要をお伝えする。

初日のSESSION2は、ラックのサイバー・グリッド・ジャパン シニアリサーチャーを務める仲上竜太氏が「ゼロトラスト実現に必要なこと」をテーマに講演した。ラックが蓄積してきたDX 時代のサイバー脅威動向、変化を読み解き、その変化に対応するためのセキュリティ対策を紹介する。

新型コロナ禍で一変した働く環境

コロナ禍により、働く環境が急激に変化した。働く環境がテレワークに変わることにより、クラウド環境とオフィスレスが浸透し、紙の書類もデータへ変わっていった。

働き方改革を経ながら、以前の緊急避難的なテレワークから、現在はテレワークが常態化している。また、クラウドサービスの利用が増加していることも特徴だという。従来のオンプレミスからクラウドサービスへ移行し、クラウドリフトの推進やSaaSの活用が活発になっている。

脱オフィス・オフィス縮小により、テレワーク常態化に伴う物理オフィスの縮小も進んでいる。「ハンコ出社に対する課題意識やクラウドストレージの進化により、ペーパーレス化も推進されている」と仲上氏は話している。

急激なデジタル化が進みDXの緊急性が高まり、たった1年で大きな変化が起きたといえる。

デジタル環境変化に起因するさまざまな課題

従来は境界防御型セキュリティが一般的であり、オフィス内のLAN環境に発生する脅威への対策や、物理ネットワークを前提としたセキュリティ対策が中心だったとする。コロナ禍による上記のデジタル環境の変化により、テレワークによるオフィス利用者が分散されるだけでなく、クラウドサービスの活用によってデータも分散している。

サイバー攻撃の質の変化

「近年では、サイバー攻撃の質が変化しており、標的型攻撃とランサムウェアが組み合わさった攻撃(二重攻撃)による被害が増加している」

Cyber Espionage(サイバースパイ)から、機密情報を盗むだけでなく、人質とした金銭目的の標的型攻撃・ランサムが増えてきているという。

メール添付ファイルから侵入するケースも以前同様に多い。以前よりも巧妙に作成された偽装メールから展開したり、パスワード付きZIPファイルを悪用し、メールの検疫を通過させたりするケースが目立つという。

コロナ禍でよく見られるサイバー攻撃では、「ゲートウェイ装置からの侵入」も大きな課題である。各種ネットワーク機器の脆弱性を悪用しており、アップデーター公開後から攻撃が急増している。

在宅のテレワーク用ツールを踏み台とした攻撃も行われてきており、リモートデスクトップツールから侵入する。コロナ禍により攻撃そのものの質の変化とアタックサーフェスが増大していることから、境界防御だけでは不十分な状況であり、セキュリティの新たな考え方として、ゼロトラストに注目が集まっている。

ゼロトラストに共通する基本的な考え方と特徴

境界防御型セキュリティ

境界防御型セキュリティは、セキュリティが物理ネットワークに依存したアプローチである。ゾーンによる静的なアクセスコントロール「過去の認証を信用」する形態でセキュリティコントロールを実施する。

主にゾーンとは境界によって隔離されたネットワークインフラを指し(主にオフィスネットワーク)、ゾーンに所属するための静的ルールに基づく認証が行われる(VPN)。認証後は正規ユーザーとしてふるまう。

テレワーク・クラウド環境を想定したとき、オフィスネットワークへはVPN装置を通して接続したり、オンプレミス社内サービスとクラウドサービスを併用したりすることが多い。この場合、クラウドサービスはオフィスネットワークのゲートウェイを介してアクセスし、VPNで認証されたあとは正規ユーザーとして振る舞う。

問題は、基本的に認証は最初の1度だけということ。それだけで、オンプレミスの社内サービスへの接続やSaaS、IaaSへのアクセスが可能(認証はサービスごと)になってしまう。これにより、認証済み正規ユーザーアカウントが不正利用されたときに、見分けることができないことや、VPN・ゲートウェイへのトラフィック負荷集中も課題になっていく。

ゼロトラストのアプローチ

仲上氏によると、ゼロトラストのアプローチとは、テレワークを意識したセキュリティの形式であり、ユーザー認証・デバイス認証・信頼度から動的なアクセスコントロールを行い、「過去の認証を信用しない」ことが特徴だ。静的ルールだけでなく、属性・状態から判定し、常に動的にアクセスコントロールを行う。また、ポリシーそのものも動的に変化していく。

クラウド上のシステムに接続するためのアクセスプロキシを設置し、アクセスの度に経由する仕組みになっている。常に認証を実施しているため、テレワークでも従業員は通常通りインターネットを通じてアクセスできる。

この場合、アクセスプロキシがユーザーからのサービスへのリクエストのたびに認証を実行する。利用者の属性、デバイスの状態、利用状況などを参照する動的なポリシーに基づき認証を実施する。認証後セッション単位でネットワーク接続を切断し、再度接続する場合は再度認証が行われる。

Always Verify, Never Trust(常に検証し、信頼しない)

「信頼しない」部分については、実環境における現実的な課題からネットワークを信用しない、というように考えるという。

ネットワークは常に敵意にさらされており、常に外部と内部の脅威が存在する。また、ID・パスワードはすぐに複製され、「ローカル」「プライベート」という考え方も安全ではないとする。過去に適用されたポリシーは信頼するのも危険であり、不正を行う正規アカウント利用者が存在することが大きな原因である。

「常に検証する」部分については、守るべき重要な情報資産(データ・サービス・IoT機器などのリソース)へのアクセスを常に検証することが大切だ。「動的に検証する」については、ユーザーの属性やふるまい、デバイスの状態などに対し静的なルールだけでなく、外部情報を参照した動的なポリシーで検証する必要があるという。

ゼロトラストとは

ゼロトラストは、ユーザー認証・デバイス認証・信頼度から「過去の認証を信用しない」という考え方をもとに、動的なアクセスコントロールを行うことが特徴だ。境界防御型のセキュリティの課題であった、「暗黙のゾーンを信用しない」「常に最新のポリシーで信頼度を検証する」「全てのリソースへのアクセスを検証する」という取り組みや考え方が必要だと仲上氏は話している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]