クラウド利用の拡大に伴って、セキュリティ対策としてゼロトラストが注目されている。しかし、対策をすべき対象は多々あり、ゼロトラストを実現するソリューションも多数存在している。どの対象に対してどのソリューションを選び、どのような順序で導入していくのが適切かを見極めるのは難しい。
9月17日~19日に開催された「TECH+フォーラム セキュリティ2024 Sep. 次なる時代の対応策」に、名古屋工業大学 産学官金連携機構 ものづくりDX研究所 客員准教授の佐々木弘志氏が登壇。ゼロトラストの基本的な考え方や導入すべきソリューションの選び方、導入の手順について解説した。
ビジネス目標に合わせて必要なソリューションを選ぶ
講演冒頭で佐々木氏は、ゼロトラストの基本的な概念について説明した。ゼロトラストはForrester Research社が2010年に提唱した考え方だ。境界を設けて社内ネットワークの内部を安全なものとする方法ではIT環境の安全性を保てなくなってきたことを踏まえて、“信用しないこと”を前提として全てのトラフィックを検査しログ取得を行うという、性悪説によるアプローチである。テレワークが拡大し、社内サービスについてもクラウドに移行していくと、重要なリソースがクラウド上に置かれるようになる。そうなると、社内外を区別せず、許可された人だけがしっかりと必要なデータにアクセスできるように細かく管理しなければならない。また、従来の対策では防ぎきれないような脅威も出現してきている。そういった理由から、ゼロトラストが必要になってきているのだ。
ゼロトラストの概念は、どのユーザーもどの端末も信用せず、全てのアクセスを評価したうえで認証し、評価結果に基づいて必要最低限のアクセスポリシーを動的に付与するというものだ。これをしっかり監視し、ログを取得して解析すれば、セキュリティは非常に強固なものになる。しかし、こうしたことを全て実現するのは難しい。また、世の中に数多くあるゼロトラストソリューションには、必要な要素のうちの1つが適用されているというものが多く、全てを実現するものは少ないのが現実だ。
「ゼロトラストの導入を目的とするのではなく、本来やりたいこと、ビジネス目標は何かを考えて、必要なソリューションを選ぶことが重要です」(佐々木氏)
ゼロトラストの技術要素として重要なクラウドエッジ
佐々木氏が専門委員を務める情報処理推進機構(IPA) 産業サイバーセキュリティセンターの卒業生による「ゼロトラスト導入指南書」には、ゼロトラスト関連のソリューション一覧がある。ここには、例えばクラウドサービスを可視化するCASB(Cloud Access Security Broker)、設定を継続的に評価して異常を検出するCSPM(Cloud Security Posture Management)、エンドポイントの監視・防御のためのEDR(Endpoint Detection and Response)、クラウド型ID管理サービスのIDaaS(Identity as a Service)、不正なサイトへの接続を遮断するSWG(Secure Web Gateway)、複数ツールを連動させて脅威に自動対応するSOAR(Security Orchestration, Automation and Response)など11のソリューションが記載されている。
その中で「1つだけ分類が違う」と同氏が言うのがSASE(Secure Access Service Edge)だ。そもそも2019年にGartnerが提唱したSASEとは、ネットワークとセキュリティを統合して管理するものである。したがってSASEにはCASBやFWaaS(Firewall as a Service)、DNS(Domain Name System)、SD-WAN(Software-Defined Wide Area Network)などその両方のソリューションが含まれているし、ゼロトラストもSASEの技術要素の1つだ。したがってゼロから構築するならSASEは有効だが、例えばすでにSD-WANを導入するなどネットワーク側の構築がされている企業では導入しにくい。そこでセキュリティ側だけを取り出してまとめたのがSSE(Security Service Edge)だ。
それを踏まえたうえで、ゼロトラスト関連のセキュリティ技術要素として重要になるのは、まずクラウドエッジ、つまりSSEにあたる部分だと佐々木氏は説明する。
「Web無害化のRBI(Remote Browser Isolation)や、WAF(Web Application Firewall)にAPIセキュリティも組み込んだWaaPaaS(Web Application and API Protection as a Service)、その他SWGやCASB、IDaaS、ZTN(Zero Trust Network Access)/SDP(Software Defined Perimeter)など、クラウドエッジ側でいろいろな機能を持ったソリューションが今流行っていて、さまざまな企業が多様な組み合わせでSSEやSASEとして提供しています」(佐々木氏)
そのほかにも、端末側ではエンドポイントでの検出や侵害への対応を行うEDRや端末管理のためのEMM(Enterprise Mobility Managemen)、クラウド側についてはコンテンツや情報の保護のためのCWPP(Cloud Workload Protection Platforms)やCSPM、IRM(Information Rights Management)などがあり、ゼロトラスト関連のソリューションは種類も数も非常に多い。したがって、何をどういった手順で導入していくべきか、よく検討する必要がある。
IDを一元管理し、両端(クラウド/デバイス)を保護する
ゼロトラストの基本として、まず重要になるのがID管理だ。膨大なユーザーIDを一元管理することで、誰がどのようにアクセスしているかを可視化するためである。そこで不可欠になるのがIDaaSだ。例えばColonial Pipelineのランサムウエア攻撃の事例では、多要素認証が設定されていなかった従業員のVPNアカウントの認証情報が盗まれて侵入を許しているし、Twitterのビットコイン詐欺ハッキング事件でも、多要素認証がなかったため従業員の内部管理ツールにアクセスされ、侵入されている。いずれもIDaaSを導入していれば多要素認証によって、不正アクセスを容易に許すことはなかったし、万が一侵入を許した場合でもIDaaSのログ管理とアクセス制御によって対応がより迅速に行われていたはずなのだ。
また、ゼロトラストアーキテクチャの両端の部分、つまりクラウドとデバイスを保護することも重要である。その間の通信で認証が確立されればコンテンツは暗号化されるため、内容をチェックできなくなる。例えば認証が正しく行われた後デバイスが乗っ取られたり、デバイスがマルウエアに感染していたりしても、それを検知できないこともあり得る。したがって、基本的に脅威は両端で検知すべきなのだ。過去の侵害を見ても、EDRのように未知の脅威も検知して対応できるものを導入しておけば防げた事例は少なくない。
クラウド側では、IaaS(Infrastructure as a Service)やPaaS(Platform as a Service)を総合的に保護するためには、CWPPやCSPMなど仮想環境を意識した対策を考えていく必要がある。ただ、クラウドを保護するソリューションも多々あるが、全て導入する必要があるわけではない。これもビジネスとして必要なものを考えることが重要だ。
「何でも導入すれば良いということではありません。ただ、今のビジネス環境を考えると、CSPMはかなり重要だと感じています」(佐々木氏)
ゼロトラスト導入の3ステップ
佐々木氏は、3つのステップでゼロトラストの導入を行うことを薦めている。まずステップ1は基本的な入口を押さえることだ。つまり侵入されるリスクが高いエンドポイントをEDRやEMMでしっかり対策する。Webもリスクが高いためSWGの導入が望ましい。そしてクラウドアクセスにはIDaaSを導入する。さらに社外からのアクセスもある場合には、WAFも必要になる。
ステップ2は、基本的なゼロトラスト実現のために、CASBやZTNA/SDPといったゼロトラストの基本とされるソリューションを導入する。さらに必要に応じて、CWPPやCSPMなども導入していく。
そしてステップ3は分析高度化・事故対応改善で、そのためにSIEM(Security Information and Event Management)やSOAR、UEBA(User and Entity Behavior Analytics)などを検討する。ここまで来ると監視センターの開設も必要になるため、運用負荷も考えながら必要なものを検討することがポイントだ。
最後に佐々木氏は改めて、ゼロトラストはあくまで概念であり、その定義通りに実装するのは難しいことを指摘したうえで、ビジネスリスクと実装、運用負荷を考えながら、段階的に導入を検討することが重要だと話した。
「セキュリティ対策はあくまで手段です。トレンドに流されず、自社の在るべき姿を考えて検討してください」(佐々木氏)