政府は2020年12月の閣議決定「デジタル社会の実現に向けた改革の基本方針」で、クラウドサービスの利用を原則とした業務環境を目指し、ゼロトラストアーキテクチャ(ZTA)の適用を推進していくことを示した。そして2022年には、ZTAを適用するための概念と考え方をまとめた「ゼロトラストアーキテクチャ適用方針」を策定、さらに2023年にはアクセス制御に関する技術レポートとして「ゼロトラストアーキテクチャ適用方針における属性ベースアクセス制御に関する技術レポート」を策定している。
3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」にデジタル庁 戦略・組織グループ セキュリティストラテジストの鈴木研吾氏が登壇。これらのドキュメントの内容を紹介し、ZTAの基本的な考え方について説明した。
「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」その他の講演レポートはこちら
業務はアクセスリクエストの連続
講演冒頭で鈴木氏は、ZTAは「業務に関する一連のリソースに対するアクセス制御の評価と試行」だと述べた。普段の業務は、リソースにアクセスする際に要求を送るという、アクセスリクエストの連続だと言える。例えばログインする際には、自分に割り当てられたアカウントに対してアクセスさせてほしいというリクエストを送っている。またファイルストレージにあるドキュメントを参照するなら、まず業務端末にアクセスしたうえでネットワークアカウントにログインし、業務端末というリソースからリクエストを送ってストレージにアクセス、さらにストレージサービスがそのユーザーのファイルに対するアクセス権限をチェックするという流れになる。
このように、単純な業務でも複数のアクセス制御があり、それを中央的なアクセス制御機能が評価して結果を試行するような流れとなっているわけだ。
-
鈴木氏が示すZTAの考え方
ネットワーク防御、境界型セキュリティはもう古いという考え方もあるが、ZTAではこれらも1つのコンポーネントと考えるのだと鈴木氏は言う。ファイアウォールは、特定のインターフェイスを通過するパケットの送信元と送信先のペアを使ったアクセス制御ルールを実装しており、ZTAの考え方と矛盾するものではない。クラウド・バイ・デフォルトにおいては、従来に比べてファイアウォールの有効性が絶対的ではなくなっているのは確かだが、だからといって否定するのではなく、コストメリットも検討しながら判断するべきなのだ。
