サマリー:ゼロトラストの整理とCARTAへの道筋
主な発見:ゼロトラストの背景やCARTAとの関係性
- ゼロトラストネットワーキングは、デフォルトの拒否というセキュリティ姿勢から始まります。信頼は、ネットワーク接続の開始時に評価されます。しかし、デジタルビジネスや政府の仕事を遂行するためには、必然的に信頼を拡大する必要があるため、ゼロトラストという言葉は誤用です。
- ゼロトラスト・プロジェクトがネットワーク(マイクロセグメンテーションやソフトウェアで定義されたペリメーター)を対象とするのは、ネットワーク接続性に対する過度の暗黙の信頼と、ペリメーター・セキュリティの限界があるからです。
- ペリメータの数は実際に増加し、よりきめ細かくなり、ユーザー、端末、アプリケーション、データ、ワークロードのIDなど、ペリメータが保護する論理的なエンティティに近づいていくでしょう。
- CARTA の戦略的アプローチは、ネットワークの相互作用の間、継続的にリスクと信頼性を評価し、必要に応じて適応させることで、ゼロトラスト・ネットワーキングを拡大します。さらに、CARTA は、この適応的なリスク/信頼性評価を、ネットワーキングだけでなく、すべての情報セキュリティプロセスにまで拡張します。
- 過度の信頼は、過度のリスクと同様に、組織にとって無駄であり、潜在的なコストとなります。継続的にリスク/信頼性を評価し、適応させることは、信頼をゼロにするのではなく、無駄のない信頼につながります。
推奨:セキュリティ担当者がゼロトラストの実装として行うべき事
- 2019年に2つのゼロトラストネットワーキングプロジェクト(マイクロセグメンテーションとSDP)を予算化し、試験的に実施することで、組織のセキュリティ態勢を大幅に改善することができます。
- ビジネスエグゼクティブにセキュリティ投資を売り込むための用語として「ゼロトラスト」を使用することは避けましょう。変化するコンテキストに適応し、ビジネスリーダーのリスク許容度レベルに適応できる継続的に評価されたリスクと信頼について話し、新しいデジタルビジネス、クラウド、モバイルの取り組みを可能にする。
- 過度の信頼が潜在的なコストを表し、信頼をリスク最適化することでセキュリティ態勢を大幅に改善できるゼロトラストネットワーキング以外のプロジェクトを特定する。
- CARTAを戦略的アプローチとして使用して、(ネットワークに限らず)すべてのセキュリティおよびリスクインフラストラクチャの進化をフレーム化し、リスクと信頼のレベルが変化しても継続的に適応できるようにする。
ゼロトラストに関する分析
信頼とは、2つのエンティティ間で確立された双方向の信念であり、相手のエンティティが自分の主張する通りの存在であり、相互作用の期間中に期待される方法で行動するということである。信頼は、そうでなければ不可能であるはずのエンティティ間の能力へのアクセスを導く。
- 信頼は本質的に良いものではありません。信頼とは、絶対的な確実性の代わりに使うものです。しかし、そうでなければ可能ではないはずの能力を拡張したり、アクセスしたりするためには信頼が必要です。
- 信頼は絶対的なものではなく、バイナリでもなく、静的なものでもありません。信頼は、その信念の保証の相対的な強さを示すものです。さらに、信頼のレベルは動的であり、時間の経過とともに変化する。したがって、能力へのアクセスは適応されるべきである。
- 信念に基づいて能力を拡張するリスクを補うために、相互作用中に期待される行動を監視すべきである。行動が危険な方法で期待から逸脱した場合、能力へのアクセスは適応されるか、あるいは完全に削除されるべきである。
ゼロトラスト・ネットワーキングは、企業の境界線の内外を問わず、異なるエンティティ間に暗黙の信頼関係を持たない初期のセキュ リティ姿勢を持つ、安全なネットワーク接続のための概念です。ネットワーク機能への最優先アクセスは、エンティティ、システム、およびコンテキストのアイデンティティを評価した後にのみ動的に拡張されます。
何がゼロトラストへの関心を高めているのか?
ほぼすべてのゼロトラストプロジェクトは、2つのタイプのゼロトラストネットワーキングのうちの1つを参照しています。なぜネットワーキングなのか?インターネットは、接続をブロックするために設計されたのではなく、簡単に接続できるように設計されています。インターネットは本質的に弱い識別子(具体的にはIPアドレス)を使って接続します。IPアドレスとルートがあれば、他のIPアドレスに接続して通信することができます。IPアドレスは認証機構として設計されていません。認証の面倒な問題は、スタックの上位レベル、一般的には OS やアプリケーション層で処理されます。ネットワーク接続では、このデフォルトの許可姿勢は、過剰な量の暗黙の信頼を生み出します。
攻撃者はこの信頼を悪用します。最初にパブリック・インターネットに接続した企業は、社内ネットワークがインターネットに接続するための境界線が必要であることにすぐに気付きました。これが最終的に、境界ファイアウォールの数十億ドル規模の市場を生み出しました。内部のネットワーク化されたシステムは「信頼された」ものであり、お互いに自由に通信することができました。外部システムは「信頼されていない」システムであり、外部との通信は、インバウンドでもアウトバウンドでも、デフォルトでブロックされていました。必要に応じて、ファイアウォールに穴を開けて例外ルールを設定する必要がありました。
ネットワークの中から
ネットワークの外から
レガシーな境界線セキュリティは、デジタルビジネスやデジタル政府の要件に対応することはできませんし、拡張性もありません。デジタルトランスフォーメーション(DX)は、セキュリティモデル全体を覆し、レガシーなネットワークセキュリティモデルのリスクをさらに増大させます。その結果、次のようなことが起きています。
- 社内のユーザーよりも社外のユーザーの方が、社内のユーザーよりもシステムやサービスにアクセスする数が多くなります。
- 当社のシステムやサービスに接続する非管理型端末の数は、管理型端末の数を上回ります。
- 社内のユーザーは、社内のユーザーよりも社外から配信されるアプリケーションや SaaSサービスを多く利用するようになります。
- 支店からのトラフィックは、データセンター経由よりもインターネット経由の方が多くなります。
- モバイル・ユーザーや管理されていない端末の世界では、IPアドレスは一時的なものであり、多くの場合、アドレス変換が使用されます。モバイルユーザーのアプリケーションやサービスへのアクセスを IP アドレスに基づいて制限しようとしても無駄であり、ユーザーは、SaaS アプリケーションであっても、アクセスのためにオンプレミスのシステムを経由してトラフィックをルーティングするために、ネットワークの体操を行わざるを得ません。セキュリティ・ポリシーを設定するためにIPアドレスを使用することは効果的ではありません。
- 最近のハイブリッド・データセンターやパブリック・クラウドのIaaSでは、VMやコンテナ、サーバーレス機能を使用したクラウドネイティブ・アーキテクチャを採用しており、IPアドレスは一過性のものであり、多くの場合、アドレス変換が使用されています。繰り返しになりますが、IPアドレスはセキュリティポリシーを設定するための効果的な方法ではありません。
レガシー・ネットワークの「内側対外側」(南北とも呼ばれる)境界線の価値が低下すると、ネットワーク・トラストを構築するための新しいアプローチが必要になります。これは、境界線がなくなるという意味ではありません。ペリメーターレス」ネットワークに関する誇大広告は、実際には信頼の境界線の数が減少するのではなく、増加することになるため、見当違いです。ペリメータはより細かくなり、保護している論理的なエンティティ、特にユーザー、端末、アプリケーション、ワークロード(マイクロサービス・アーキテクチャのネットワーク化されたコンテナを含む)のアイデンティティに近づくべきです。これが、「アイデンティティが新しい境界線」という言葉が広く使われている理由です。このシフトは、ハイブリッドデータセンター内からのネットワーク接続と、企業のシステムやアプリケーションへの外部ネットワークアクセスの両方に適用されます。
信頼はIPアドレスで確立されるべきではありません。ユーザーの場合は、ユーザーと端末の信頼性を文脈に沿って評価し、データ、アプリケーション、またはトランザクションにアクセスされるリスクを評価して、信頼を確立する必要があります。ワークロードとアプリケーションについては、信頼は、アイデンティティ、実行中のアプリケーション/サービス、処理されるデータ、および関連するタグ/ラベルを含むワークロードの文脈に基づく評価に基づいて確立されるべきである。このような変化と、攻撃の表面積を減らすことでリスクを軽減する必要性から、2つのゼロトラスト・ネットワーキング・プロジェクトに大きな関心が寄せられています。1つのプロジェクトはネットワーク内部の攻撃からの保護を強化し(「悪いものを外に出さない」)、もう1つのプロジェクトは安全なアクセスを強化し(「良いものを中に入れる」)ます。これらのプロジェクトは、CARTA戦略的アプローチに直接対応させることができます。
ゼロトラストとCARTA
-
プロジェクト1:マイクロセグメンテーション
-
プロジェクト2:ソフトウェアで定義された境界線
プロジェクト1:マイクロセグメンテーション
データセンターのネットワークは通常、公共のインターネットから分離され、エンドユーザーのデスクトップからも分離されています。しかし、データセンター内に入ると、ネットワーク・アーキテクチャは一般的にフラットなものになり、デフォルトではセキュリティが許可されています。信頼された」データセンター内のどのシステムでも、他のシステムとネットワーク通信を開始することができます。1台のサーバに足場を得た攻撃者は、他のシステムに横方向(東西)に簡単に拡散することができます。潜水艦の隔壁がセグメンテーションを使って侵入から守るように、データ・センターには論理的でソフトウェアで定義された隔壁(マイクロ・セグメンテーションと呼ばれています)が必要です。
マイクロセグメンテーション・プロジェクトは、必然的に侵入が発生した場合に、侵入を最小限に抑えます。セグメンテーション・ポリシーのベースとなるIPアドレスを使用するのではなく、ポリシーは論理的(物理的ではない)な属性に基づいています。さらに、より高度なネットワーク・マイクロセグメンテーション・ソリューションでは、フローを監視してベースラインを設定し、異常が発生した場合に警告を発します。また、観察されたネットワーク・セッションの動作(例えば、異常な接続パターン、過度の帯域幅、過度のデータ転送、信頼度の低いURLやIPアドレスへの通信など)のリスク/信頼度の相対的なレベルを継続的に評価します。ネットワーク・セッションのリスクが高すぎる場合は、アラートを発生させたり、セッションを終了させたりすることができます。
マイクロセグメンテーション技術やプロジェクトに対する関心は非常に高く(過去12カ月間で300件以上の問い合わせがあった)、その中でも「ネットワーク・セグメンテーション戦略の必要性が高まってきている」と指摘しています。マイクロサービス・ベースのアプリケーションの時代には、ネットワーク・セグメンテーション戦略の必要性がさらに細かくなるため、一部のベンダーはこれらのプロジェクトをナノセグメンテーションまたはアプリケーション・マイクロセグメンテーションと呼んでいます。
- ワークロードは、ワークロードのアイデンティティに基づいて十分なレベルの双方向信頼が確立されるまで、何も通信してはいけません(デフォルトではdeny)。
- ワークロードのアイデンティティは、証明書のアイデンティティ、アプリケーションサービス、コンテナ、またはワークロードに関連付けられた論理ラベル/タグ(例えば、Payment Card Industry [PCI])の使用などの論理属性に基づいています。これらの論理属性は、ポリシーを設定するために使用されます。最終的には、ポリシーはその下のIPアドレスにマッピングされるかもしれませんが、ポリシーは物理属性ではなく論理属性を使用して設定されます。
- 類似のパターン/機能を持つワークロードは、管理とポリシー設定を容易にするためにグループ化されます(例えば、「PCI」とタグ付けされたすべてのワークロードは一緒にセグメンテーションされ、同様に扱われます)。
- ワークロードのグループには、必要なネットワーク機能のみが提供され、最小特権が実装される。
- ワークロードのマイクロセグメンテーションポリシーは、ワークロードの物理的な場所に関係なく適用する必要があります。これには、オンプレミスとパブリッククラウドの IaaS にまたがるハイブリッドデータセンターや、コンテナベースのアプリケーション内のネットワークも含まれます。
プロジェクト2:SDP(Software-Defined Perimeter)
- 指定されたユーザーは、十分な信頼レベルが確立されるまでサービスにアクセスできません(サービスは最初はすべてのユーザーから隠されています)。最初に認証を行い、次に接続します。
- 信頼度は接続時に確立され、端末の信頼度、ユーザーの信頼度、場所、時間帯などのコンテキストを含むコンテキストベースのものです。許可されるアクセスのレベルもまた、コンテキストベースであり、粒度が細かく、最小の特権のために構成され、典型的には、ユーザのアイデンティティと役割に基づいて特定のアプリケーションまたはサービスに対して設定されます。
- ある種のトラストブローカー、コントローラ、またはサービスは、ユーザーと端末の信頼レベルを検証し、これをサービスを保護するゲートウェイまたはエージェントに伝えます。この時点で、通常はゲートウェイからユーザーへのアウトバウンド接続が行われます(インバウンドのファイアウォールルールの必要性を排除し、攻撃の対象となる企業の表面積を大幅に減らすことができます)。
ゼロトラストネットワーキングプロジェクトの概要
これらのゼロトラスト・ネットワーキング・プロジェクトはいずれも、組織の全体的なセキュリティ姿勢を改善する上で即効性があります。どちらのプロジェクトも、接続時の信頼度の評価に基づいて、過剰な信頼度を、よりきめ細やかで文脈に沿ったアクセスに置き換えます。どちらのプロジェクトでも、ネットワーク接続を拡張するためのリスクと現在の状況に応じて十分な信頼性が確立されるまでは、信頼性ゼロ(何も通信できない状態)が初期のセキュリティ姿勢となります。2つのプロジェクトとそれに関連する購買センターは異なるが、両方のニーズに対応するために同じ基盤技術が使用される可能性がある。実際、ゼロトラスト・ネットワーキング・ベンダーの中には、同じ基盤技術を使用して、これらの異なるユースケースの両方に対応できるものもあります。
CARTA が想定している適応型攻撃防御と適応型アクセス防御への包括的なアプローチは、右上隅にある初期のゲーティング評価だけでは終わりません。アクセスが許可されたら?最初の接続が確立されると、CARTA の戦略的アプローチは、攻撃の兆候がないか、資格情報の漏洩がないか、システムの漏洩がないか、異常な動作がないかを監視し、セッションを評価します。相互作用のライフサイクル全体は、セッションの期間中、リスクと信頼のレベルを監視・評価することで保護されなければなりません。信頼度が低下したり、リスクが対策を必要とするレベルまで上昇した場合には、適応的なセキュリティ対応が行われます。 言い換えれば、ネットワーク、データ、API、システム、アプリケーション、サービスなど、すべてのITインフラへのアクセスは、信頼ゼロを起点としたリスクと信頼の継続的な評価に基づいて適応的に行われます。ゼロトラストネットワーキングは、CARTAへのロードマップの最初の一歩です。
CARTAにインスパイアされた信頼がリーン・トラストにつながる
CARTA の戦略的アプローチでは、情報セキュリティを、リスクと信頼のレベルに基づいたデータ駆動型のフィードバックループを持つ、絡み合い、相互に依存した適応的なプロセス、機能、およびコントロールのセットとして捉えています。さらに、CARTA は、このアプローチを新しいデジタル機能の創出やリスクガバナンスにまで拡大しています。リスクと信頼の評価と可視化、そしてコンテキストの交換が、デジタルビジネスの免疫システムとなります。
その結果、私たちが実際に観察しているリスクと信頼の相対的なレベルに基づいて、常に監視、評価、学習、適応を行っている情報セキュリティの未来の姿が見えてきます。情報セキュリティは、データ駆動型の継続的な改善プロセスになりつつあります。CARTA を構築する研究では、製造業における継続的な改善との類似点を多く発見しました。
デジタルビジネスの世界では、物事を成し遂げるためには信頼が必要です。一度拡張された信頼は、固定された量であってはなりません。信頼は、現在の状況やリスクレベルに応じて適応し、最適化されなければならない。私たちはこれを「ジャストインタイム、ジャストイーブンの信頼」と表現してきましたが、これはリーン製造オペレーションにおける在庫によく似ています。同様に、製造業では、物事を完了させるために在庫が必要です。”セキュリティにおける「信頼をゼロにする」というのは、製造環境における「在庫をゼロにする」のと同じことです。両方とも、熱望的である。しかし、信頼、および在庫は、物事を完了させるために必要とされています。
また、一度信頼が広がれば、リスクは避けられない。製造業では、生産が始まれば、ある程度の数の欠陥は避けられません。”リスクゼロ “は “欠陥ゼロ “と同じくらい達成不可能です。単に「不良ゼロ」をイデオロギーとして採用するだけでは、継続的改善のためのライフサイクルアプローチやシックスシグマの品質管理プログラムの方法論は生まれません。シックスシグマは、製造業における継続的改善のための規律ある戦略的アプローチです。それが情報セキュリティのCARTAであり、リスクと信頼を継続的に評価することで、情報セキュリティに継続的な改善をもたらす規律ある戦略的アプローチなのです。CARTAの戦略的アプローチは、情報セキュリティのためのシックスシグマです。
信頼は、インベントリと同様に、現在の状況に応じてリスクを最適化しなければなりません。ゼロの信頼はゴールではなく、リーンの信頼(「リスクに最適化された信頼」、「リスクに応じた信頼」、「適応的な信頼」とも言う)がゴールです。リーン生産では、継続的な改善とデータに基づいた意思決定が、適応して無駄を最小限に抑えるために用いられます。リーン・トラストでは、CARTAにインスパイアされた継続的な改善とデータに基づくリスクベースの意思決定が、ジャスト・イン・タイムなジャスト・イーブン・トラストを提供するために使用されます。過剰な在庫と同様に、過剰な信頼は無駄であり、組織にとってのコストとなります。トラストの使用は、在庫と同様に最適化されなければなりません。CARTA の戦略的アプローチは、現在の状況やリスクレベル、組織のリスク許容度を考慮した上で、無駄のない信頼(ジャストインタイムで十分な信頼)をサポートするセキュリティインフラを想定しています。
ここで紹介した 2 つのゼロトラストネットワーキングプロジェクト以外にも、情報セキュリティの分野には、過剰な信頼が攻撃者の標的となる潜在的なリスクの集中を生み出しているものがたくさんあると考えています。CARTAにインスパイアされた「リーン・トラスト」や「リスクに最適化されたトラスト」の概念を適用することで、組織はこれらの過剰な信頼の特定の領域をターゲットにすることで、全体的なセキュリティ態勢を大幅に改善することができると考えており、今後の研究で検討されるであろう新しいアプローチを用いています。