政府は2020年12月の閣議決定「デジタル社会の実現に向けた改革の基本方針」で、クラウドサービスの利用を原則とした業務環境を目指し、ゼロトラストアーキテクチャ(ZTA)の適用を推進していくことを示した。そして2022年には、ZTAを適用するための概念と考え方をまとめた「ゼロトラストアーキテクチャ適用方針」を策定、さらに2023年にはアクセス制御に関する技術レポートとして「ゼロトラストアーキテクチャ適用方針における属性ベースアクセス制御に関する技術レポート」を策定している。

3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」にデジタル庁 戦略・組織グループ セキュリティストラテジストの鈴木研吾氏が登壇。これらのドキュメントの内容を紹介し、ZTAの基本的な考え方について説明した。

「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら

業務はアクセスリクエストの連続

講演冒頭で鈴木氏は、ZTAは「業務に関する一連のリソースに対するアクセス制御の評価と試行」だと述べた。普段の業務は、リソースにアクセスする際に要求を送るという、アクセスリクエストの連続だと言える。例えばログインする際には、自分に割り当てられたアカウントに対してアクセスさせてほしいというリクエストを送っている。またファイルストレージにあるドキュメントを参照するなら、まず業務端末にアクセスしたうえでネットワークアカウントにログインし、業務端末というリソースからリクエストを送ってストレージにアクセス、さらにストレージサービスがそのユーザーのファイルに対するアクセス権限をチェックするという流れになる。

このように、単純な業務でも複数のアクセス制御があり、それを中央的なアクセス制御機能が評価して結果を試行するような流れとなっているわけだ。

  • 鈴木氏が示すZTAの考え方

ネットワーク防御、境界型セキュリティはもう古いという考え方もあるが、ZTAではこれらも1つのコンポーネントと考えるのだと鈴木氏は言う。ファイアウォールは、特定のインターフェイスを通過するパケットの送信元と送信先のペアを使ったアクセス制御ルールを実装しており、ZTAの考え方と矛盾するものではない。クラウド・バイ・デフォルトにおいては、従来に比べてファイアウォールの有効性が絶対的ではなくなっているのは確かだが、だからといって否定するのではなく、コストメリットも検討しながら判断するべきなのだ。

ZTA適用のための6つの方針

ガイドラインでは、ZTAを適用するための6つの方針を掲げている。

まずはリソースを識別して特定できる状態にすることだ。アカウントやデバイス、サービス、データといったリソースを特定することで、アクセス制御のルールを適用できるようにする。次に主体の身元確認、当人認証の実施である。これは主体、すなわちアクセスをしようとしているアカウントやデバイス、サービスなどが正当であるかどうかを確認することを指す。3つ目は、正当な主体からの要求やデータが適切な経路で改ざんされずに届くために、ネットワークを保護することだ。4つ目がリソースの状態を確認することである。主体が正当であり、経路が安全であっても、古い端末で脆弱性のあるブラウザからのアクセスなら安全とは言えないためだ。5つ目はアクセス管理である。事前に定めたアクセス制御ポリシーで評価し、正しいアクセスであれば許可するということだ。6つ目はリソースとアクセスを観測することである。ログやアラートなどにより、アクセスが問題ないかどうかを継続してチェックし、必要に応じて修正していくということを指す。

「ZTAは一過性のプロジェクトではなく、その考え方に基づいて継続的に運営するシステム」だと鈴木氏は言う。ZTAを適用した後も、日々の業務に合わせてシステムを改善していかなければならない。そのためのZTAの適用手順としては、まず体制を構築し、その後リソースの特定や識別を行えるようにするため、業務フローや資産を洗い出すことが必要だ。ただ全てについてこれを行うのは難しいため、スコープの絞り込みをし、何を重視するのか優先順位を付ける。その次に、ようやく実装・導入・運用という段階がやってくる。そして運用が始まったらその内容を観測し、そこで得られたデータによって評価を行い、問題点があれば改善していくというサイクルを構築することが大切なのだ。

「継続的にZTAを運用するためには、このサイクルを繰り返して成熟度を上げることが重要です」(鈴木氏)。

属性ベースのアクセス制御「ABAC」

講演後半では、「ゼロトラストアーキテクチャ適用方針における属性ベースアクセス制御に関する技術レポート」の内容が紹介された。これは、ZTAにおいて非常に重要なポイントとなるアクセス制御について、技術ガイドラインとして別途まとめられたものだ。

従来のオンプレミス環境ではリソース保護の境界はネットワークだったが、クラウド・バイ・デフォルトではエンティティへと変わり、ユーザーアカウントやデバイス、ドキュメントといったそれぞれのリソースが対象となる。エンティティが分散した環境では、エンティティ単位で実行できる保護の方が効果的だからだ。こうしたリソースごとの識別や認証を行うことで、不正アクセスから保護するのがアクセス制御だ。「ゼロトラストアーキテクチャ適用方針」を補足するかたちでつくられた本レポートでは、柔軟でスケール性を期待できる属性ベースアクセス制御(Attribute Based Access Control、ABAC)について、その概要やZTAの中で果たす役割が説明されている。

ABACは属性に基づいて制御を行う。属性とは、特定のリソースに紐付けられたプロパティのことで、例えばPCならOSの種類やバージョン、キーボードのタイプなどをまとめて、その端末というリソースを定義するものだ。属性は加工や算出が容易で、複数の属性をまとめて新たな1つの属性としたり、あるデバイスのバージョンが古い場合に、脆弱であると算出したりといったことが可能だ。このように柔軟な運用ができるのが属性ベースの特性である。