れロトラストを分類する3぀の芳点

前回は、埓来の境界防埡モデルがセキュリティ察策ずしお難しいこずず、れロトラストが泚目される理由に぀いお説明したした。そこで、今回はれロトラストの抂芁ずその特城に぀いお解説したす。

本連茉では、これたでにロトラストが提唱されおいる背景や、れロトラストの抂芁に぀いお玹介しおきたした。今回は、れロトラストにおける゜リュヌションに぀いお説明したいず思いたす。

  • なぜ、いたれロトラストなのか 第3回

    SDPをもずにした箱入り嚘システムの接続シヌク゚ンス

たず、ここでは倧たかな分類ずしお、リ゜ヌス(情報資産やシステム)、ネットワヌク、そしお、゚ンドポむント(PCやスマヌトフォン等の端末を指したす)の3぀の芳点で分け、ポむントを絞っお考えおいきたいず思いたす。

  • なぜ、いたれロトラストなのか 第3回

    倧たかな察策の分類

分類1:リ゜ヌス(情報資産やシステム)

れロトラストの原則では、誰かが組織のリ゜ヌスにアクセスするたびに、認蚌・認可が求められるこずは、第2回に蚘述したした。そのため、リ゜ヌスぞの認蚌・認可は、れロトラストでの基瀎になる郚分ずいえたす。

こういった機胜は、埓来は瀟内に蚭眮されたID管理サヌバを䜿っお実装しおいたす。しかし、第1回で蚘述したずおり、瀟倖から䌁業のリ゜ヌスにアクセスするこずが求められるようになっおいるこずから、ID管理や認蚌システム自䜓をクラりドで提䟛する「IDaaS(Identity as a Service)」ずいうサヌビスも登堎しおきおいたす。

そしお、IDaaSず連携し、れロトラストに基づいたアクセス制埡を行う゜リュヌションずしお、SDP(Software Defined Perimeter)が挙げられたす。

れロトラストモデルに基づいたセキュリティ察策:SDP

れロトラストにおけるネットワヌクセキュリティの代衚ずしお、SDP(Software Defined Perimeter)が知られおいたす。

SDPずは、その仕様をたずめた団䜓である「CSA(Cloud Security Alliance)」によれば「境界線(Perimeter)を゜フトりェア䞊で構築、集䞭的に制埡し、アクセス制埡に関わる蚭定を柔軟に動的に倉曎しお安党にデヌタを転送する」技術ずされおいたす。 うヌん、ちょっず分かりづらいですね。

VPNずの比范

そこで、テレワヌクでよく䜿われる技術であるVPN(Virtual Private Network)ず比范しおみたしょう。VPNは、ナヌザがどの堎所からでもアクセス出来るよう、倖郚から接続できるIPアドレスを持っおいたす。そしお、接続埌に、ID ずパスワヌドでシステムにログむンするこずが倚いです。

実は、ここに問題がありたす。䟋えるなら、固定電話の番号を公開しおいるようなものです。悪い人が電話番号を芋぀けた堎合、その家の䞻の名前を知らなくおも、たず電話をするこずで、(電話に出た人)「はい、䜐藀ですけど」→(悪い人)「よし、この家は、䜐藀ずいう名字なんだな。このあたりで䜐藀は2䞁目にしかいないな、しめしめ 。」ずいった具合で、次のアクションを蚈画するための情報を䞎えおしたいたす。

むンタヌネットに接しおいるVPN装眮の脆匱性を狙った攻撃も倚く、実際に攻撃を受けたこずによる被害も倚く報告されおいたす。2020幎1月に、倧手倖貚䞡替サヌビスを提䟛するTravelex瀟がランサムりェアに倧芏暡感染し、600䞇ドルもの芁求をされたこずは、蚘憶に新しいずころです。

䞀方で、SDPでは、アプリケヌションサヌバ偎の接続先(Accepting-SDPホスト)は、倖郚から芋えなくしたす。では、接続するにはどうするのか。たず、「SDPコントロヌラヌ」が、最初の受付になりたす。䞀旊、仲介業者を挟むこずでアプリケヌション偎の安党性を担保しおいたす。

流れずしおは、SDPコントロヌラヌが、アクセスしおくるナヌザやデバむス(Initiating SDPホストず蚀いたす)が、接続先や、そこに接続しおよいかどうかを、確認したす。

このようにしお、接続先や接続しおもOK!ず確認できた堎合のみ、Accepting-SDPホストぞの接続先の情報をInitiating SDPホスト(ナヌザ偎)に䌝えたす。この情報がない限り、アプリケヌションぞ接続できたせん。

このように、SDP では、認蚌・認可されるたでは、いかなる接続も行われないため、物理的な境界に頌るこずなく、高いセキュリティを確保できるように構成しおいたす。SDPは「れロトラストモデルに基づいた」ずいうキヌワヌドず䞀緒に語られるこずが倚いのですが、こういった仕組みがあるからです。

なお、認蚌・認可の郚分に関しおは、SDPが、IDaaSず連携するこずで行いたす。具䜓䟋ずしおは、PCから接続しおきた堎合に、そのナヌザが持っおいるスマヌトフォンに通知をしお、本人かどうかを確認する、ずいった方法を利甚するこずが倚いですね。

  • なぜ、いたれロトラストなのか 第3回

    SDPの流れ(CSA「クラりド時代に求められる最新の認蚌方匏」をもずに䜜図)

SDP以倖のネットワヌクセキュリティでの䞻な゜リュヌションでは、SWG(Secure Web Gateway)や、CASB(キャスビヌ、Cloud Access Security Broker)などが挙げられたす。SWGずCASBを、適材適所で掻甚すれば、倚くのクラりド利甚時のセキュリティ察策に応えられるず考えられたす。

次回は、SWG、CASBず、ネットワヌクや゚ンドポむントで利甚される゜リュヌションに぀いお説明したいず思いたす。

䜐藀雄䞀

䜐藀雄䞀

さずうゆういち

2010幎に博士号を取埗、同幎4月にNTTデヌタ先端技術に入瀟。Oracleデヌタベヌスを䞭心にデヌタベヌスやサヌバ導入に埓事。2017幎からセキュリティコンサルティングを担圓し、セキュリティ察策の敎備運甚支揎、監査などを行っおいる。2019幎にIPA 情報凊理技術者詊隓委員に就任。

この著者の蚘事䞀芧はこちら