【徹底解説】ゼロトラスト・セキュリティを簡単に実現する方法

概要:ゼロトラスト・セキュリティの始め方

ゼロトラストセキュリティとは、「信頼された」内部ネットワークと「信頼されていない 」外部ネットワーク、という考えを捨てるべく生まれたセキュリティ対策の考え方です。

企業がモバイル端末とクラウドサーバーを利用することは、もはや自然な事となりました。それはつまり、ネットワークの境界線を中心のするセキュリティ対策の終わりを意味します。いわゆるペリメタモデルです。そしてその境界型セキュリティの代わりに、場所/デバイス/ネットワーク環境に関係なく、さまざまな利用者(従業員、パートナー、契約者など)のアクセスを安全に可能にする必要がでてきました。ゼロトラスト・セキュリティを実現するための銀の弾丸はありませんが、IDとアクセス管理は、企業がゼロトラストへの対応を始める上で中心となる技術です。

この記事では、ゼロトラストの誕生につながった背景としてどのような環境の変化があったのか、最先端のゼロトラスト拡張エコシステム(ZTX)フレームワークはどのようなものなのか、企業が現在および将来のゼロトラストプログラムを成功させるための基盤としてIDaaSをどのように活用できるかを探ります。

ZTX(Zero Trust eXtended)とは

Forresterが一番最初にゼロトラストの概念を出した10年後、より実践的にセキュリティの専門家がゼロトラストを実現できるように、セキュリティコンポーネントを明確にしたゼロトラストのフレームワークZTX(ゼロトラスト・エクステンデッド)が発表されました。ZTXの提唱するセキュリティコンポーネントは次の7つがメインです

  1. ネットワークセキュリティ
  2. デバイスセキュリティ、
  3. 従業員・IDセキュリティ、
  4. ワークロード/アプリケーションセキュリティ
  5. データセキュリティ
  6. セキュリティの可視性と分析
  7. セキュリティの自動化とオーケストレーション

データを保護する境界線が消えたら、どのようにセキュリティを実現するのか?

従来のセキュリティ・アーキテクチャであるペリメタモデルは、社内ネットワーク内の全てのシステムにアクセスできる信頼された個人と、信頼されていない個人を外部に隔離するという考え方を念頭に置いて構築されていました。セキュリティを担当している情報システム部門は、その間の障壁を保護する防御システムに投資し、ネットワークの境界線の保護に重点を置いていました。そしてそのセキュリティ対策としては、多くの場合ファイアウォールが使用されていました。潜在的な脅威と企業のエコシステムの安全性との間に壁を構築することに成功しましたが、この境界型セキュリティモデルは、現代において課題があります。

テクノロジーの側面としてモバイル端末やクラウド技術の導入が進み、業務としては働き方改革など労働生産性の向上・対策が進む中で、企業活動が社内外を問わずに行われている事を考えると、ネットワークを信頼性の境界として強制することは現実的ではなくなっています。現代においては、企業の機密資産を囲うネットワークの境界線はもはや存在しません。従業員、請負業者、パートナー、サプライヤーのすべてが、従来の境界線(≒社内ネットワーク)を越えてデータにアクセスします。

クラウドとモバイルの世界では、これまで以上に多くの人がより多くのデバイスや場所からより多くのデータにアクセスしています。そして社内ネットワークの内外を問わず、たった一人でも悪質な行為者がいれば全体に損害を与える事になってしまいます。その結果、企業はもはやIT資産のどの部分に対しても「信頼」をする事が現実的に難しくなってきています。

ゼロトラストとは?ゼロトラストの原則を解説

このような企業を取り巻く労働環境の変化が、ゼロトラストの誕生につながりました。ゼロトラストは、2009年にForrester ResearchのアナリストであるJon Kindervag氏によって開発されたセキュリティ・フレームワークで、信頼された内部ネットワークと信頼されていない外部ネットワークという所謂ペリメタモデルのような概念を捨て、代わりにすべてのネットワーク・トラフィックを信頼されていないものとみなすべきだと主張しました。

この初期構想では、Kindervag氏はネットワーク境界線の見直しに焦点を当て、企業がすべてのアクセスをリアルタイムで検査することを推奨しました。より具体的には、次の3つの原則をゼロトラストの基本として提唱しました。

  1. 場所に関係なく、すべてのリソースに安全な方法でアクセスすること
  2. アクセス制御は必要に応じて行い、厳格に実施すること
  3. 企業はすべてのトラフィックを検査し、ログを記録することでユーザーが正しい行動をしているか確認すること

2009年以降のクラウドとモバイルの台頭は、Kindervag氏独自のゼロトラストモデルを進化させる確実に大きなきっかけとなりました。ガートナーの2017年版CARTAフレームワーク(Continuous Adaptive Risk and Trust Assessment)では、Kindervag氏のゼロトラスト・フレームワークを踏襲し、フロントゲートでの認証とアクセス権限の付与だけでなく、次のようなポイントにも焦点を当てました。

  1. 継続的なアクセスに焦点を当てる
  2. 潜在的な脅威を特定するために、適応性のあるリスクベースの評価を通じて、ユーザーの体験を向上させる

Googleの提唱するゼロトラストに則った考え方である「BeyondCorp」に関する研究は、2014年に発表され、今現在大規模なスケールで正しく行われたゼロトラストの主要な例として機能しています。

アナリストのChase Cunningham氏が率いるフォレスター社のゼロトラスト・フレームワークの進化版であるゼロトラスト・エクステンデッド・エコシステム(ZTX)も、ゼロトラストがネットワーク・セグメンテーションを超えた概念であることを強く主張しています。Cunningham氏による主張は、ゼロトラストを「次世代ファイアウォール」から「次世代アクセス」へと進化させ、モデルのアイデンティティの側面をより中心的に考え、ネットワークとデータへのアクセス権を持つアイデンティティの管理と制御をモデルの鍵としています。Forrester社のチームは、シングルサインオン(SSO)などの機能を重要な機能として挙げ、多要素認証は「アクセスの脅威を指数関数的に減少させる」と指摘しています。

たとえモデルが進化しても、このコアとなるゼロトラストのコンセプトは変わりません。今日のセキュリティの世界では、もはやネットワークではなく、システムにアクセスする人々と、その人々のためのアクセス制御が重要です。そこで、アイデンティティとIDaaSの出番です。

Forresterは先日、アクセスの重要性をさらに強調するゼロトラストの新調査を発表しました。一部を引用すると「従来の『システム』や『インフラ』という概念がなくなるにつれ、あらゆる形態のIDがますます重要になってきています」と同社は書いています。ID自体が非常に重要と見なされているため、フォレスターはそれを "ゼロトラストの中核的な柱 "と見ています。

ID管理をゼロトラストを実現するためのスタート地点に

ゼロトラストの核心的な原則は、"絶対に信用しない、常に検証する "ということです。これにより、悪意のない適切な人々が、問題ないアクセス環境で、適切な権限でデータにアクセスできるようになります。そしてそれでいて、それらの評価や検証がユーザーの負担になることはありません。そしてゼロトラストなインフラ構成は一夜にして実現するものではなく、組織がゼロトラストを実装するにつれて、段階的にインフラの成熟度が高まっていくことが分かりました。

ステップ0. バラバラに運用されるIDの管理

多くの組織は、Active Directoryなどのオンプレミスのディレクトリと統合されていない、さまざまなオンプレミスとクラウドのアプリケーションを使用してゼロトラストへの段階的な対応を始めていきます。その結果情報システム部門は、多数のシステムがバラバラに保持しているIDの管理に時間を余儀なく費やされます。ユーザー側にとっても、これは多数の(そして安全でない可能性が高い)パスワードを覚え管理することになり、結果的に面倒でシステムの使い勝手を悪くする事にもつながってしまいます。このような断片化されたIDを可視化し、情報システム部門が主体的に管理できる体制にできなければ、どこか使われていないIDから不正アクセスや不正ログインを許す糸口にもなりかねません。

ステップ1. 統一されたID管理とアクセス管理

バラバラに管理されている多くのIDによって生まれているセキュリティホールを解決するための最初のステップは、オンプレミスとクラウドをまたいで1つのID管理システムの下に統合することです。シングルサインオン(SSO)によるこの第1段階の統合は、アクセスを管理する上で非常に重要であり、顧客だけに限定すべきではなく、従業員、請負業者、パートナーなどの企業全体を含む、サービスにアクセスする必要のあるすべてのユーザーに提供される必要があります。更に一つのID管理システムで集中化されたアクセスポイントに2段階認証を加える事で、認証情報を狙った標的型攻撃への対処も進める事ができます。さらに、IT資産の重要な部分であるサーバだけでなく、アプリケーション間のアクセスポリシーを統一することは、ID管理を情報システム部門が適切に管理しやすくするための鍵となります。

何千もの企業が、企業の中でバラバラに管理されたIDを統一するために、SSOを使用しています。そして大抵のケースにおいて、統合的なディレクトリサービスとSSOサービスはペアになっています。IDaaSの提供するディレクトリサービスは、クラウドベースのディレクトリサービスで、IT組織のための単一の真実のソースとして機能し、複数のADやその他のオンプレミスのディレクトリサービスとIDを統合させる機能を提供します。SSOにより、情報システム部門はID管理とセキュリティをよりシンプルにし、ユーザーを悩ませるパスワードの管理を単純化できます。さらにIDaaSのアクセス制御機能を使用すると、情報システム部門は同じアクセス制御をサーバー層であるAPIなどにまで拡張することができ、情報システム部門が管理する必要のあるオンプレミスやクラウドの幅広いリソースに安全なアクセス管理を提供することができます。

ステップ2. クレバーなアクセスポリシーによるアクセス制御

情報システム部門が IDを統一したら、ゼロトラスト・セキュリティの次のステップへと進みましょう。このステップでは、コンテキストベースのアクセスポリシーを導入します。これは、ユーザーのコンテキスト(誰がアクセスしているのか、リスクの高いユーザーグループに属しているか)、アプリケーションコンテキスト(アクセス対象のアプリケーション)、デバイスコンテキスト(端末の種類やアクセス履歴)、ロケーション、ネットワーク環境に関する豊富なシグナルを収集し、それらの情報に基づいてアクセスポリシーを適用することを意味します。例えば、社内ネットワークから管理されているデバイスへのアクセスを許可するポリシーを設定しても、新しい場所からログインした管理されていないデバイスには、多要素認証のための2段階認証が表示されます。さらに、アクセスする人の権限やリスクに合わせて、2段階認証の方法を調整することもできます。例えば、スマートフォンを持つリテラシーの高いユーザーはOTP(ワンタイムパスワード)を使用する。逆に特権IDなどの利用者は、セキュリティ強化のためにFIDOなどのハードウェアトークンを使用させる事もできます。

その他にも、ユーザーが企業内で部署異動したり昇進したり立場が変わってしまった場合も、自動プロビジョニングによりユーザーが業務に必要なツールのみにアクセスできるように自動的に制御できます(退職の場合は、すべてのアクセス権限を自動的に取り消し、退職後にアカウントが取り残されたり、潜在的なアクセスの危険性が発生したりするリスクを軽減します)。

そしてこれらの柔軟なアクセス制御は、最新のアプリケーションの構成要素でありながら、機密データをウェブにさらす可能性のある API への安全なアクセスを含む、従業員が使用するすべてのテクノロジーに拡張する必要があります。

今日、すでに多要素認証を使用している企業では、ユーザーや端末、位置情報、ネットワーク環境にアクセスしたアプリケーションやブラウザに関するさまざまなアクセス環境に基づいた処理をすることで、アクセスポリシーはアクセス環境に基づく権限を提供することができます。このアクセス権限は企業のリスク許容度に基づいており、組織を安全に保つための第一の防御線として機能します。例えば、ユーザーが社内ネットワーク上のいつもの会社のラップトップから認証を試みた場合、組織はそのユーザーにパスワードの入力のみを要求するポリシーを設定することができます。しかし、ユーザーが海外の公衆無線LANネットワーク上の会社のラップトップから認証を試みた場合、ポリシーはパスワードと2段階認証の両方を要求することができます。このような文脈に沿ったアクセスは、従業員と情報システム部門の両方にメリットがあります。アクセスする度に2段階認証を要求するのではなく、リスクの高い環境から認証を要求された時のみ、2段階認証を行うリスクベース認証を活用しているので、業務効率が悪くなることもありません。

ステップ3. セキュアでかつ柔軟性の高い労働環境

ゼロトラスト導入の最終段階では、認証とアクセス権限の付与に企業の焦点を拡大します。認証はもはやフロントゲートだけで行われるのではなく、潜在的な脅威を特定するための適応性のあるリスクベースの評価を通じて、UX全体を通して継続的検証されることを意味します。情報システム部門は、リスク許容度を設定し、特定の認証イベントの危険性を判断するために、様々なアクセスのデータに基づくリスクスコアを可視化し、そのスコアリング結果に基づいて2段階認証を促すことができるようになりました。

このリスクベース認証は、取得したアクセス環境に関するデータシグナルのいずれかに変化があるかどうかを継続的に監視し、ユーザのアクセス環境が変化した場合には、認証と認可の検証を再度促すようになっています。そして更に、これらのリスクベース認証によってより強固なアクセス制御が可能となりセキュリティが向上する一方で、エンドユーザーの体験は最終的によりシームレスになり、柔軟なアクセスが可能になっます。また情報システム部門が設定していれば、パスワードレスな認証も可能になるケースがあります。

IDaaSを利用する際には、情報システム部門の管理者が柔軟にアクセスポリシーを設定することで、従業員であるエンドユーザーの認証体験を劇的に改善する事ができます。認証フローからパスワードを完全に削除することができます。パスワードを代替要因(Google AuthenticatorやFIDOなど)に置き換えて第一の認証手段とすることで、情報システム部門は従業員がパスワードを失念した際にも、パスワードを管理・再設定する手間がなくなります。システムが、今アクセスしているユーザーが正しい従業員だと確信している場合、そのユーザーはパスワードレスでログインができるようになるのです。

現在、ほとんどの企業はゼロトラストの成熟度曲線のゼロ地点にありますが、セキュリティ対策の中心に「絶対に信頼しない、常に検証する」というアプローチを採用し続けているため、IDaaSを提供している事業者は強力でシンプルなアクセス管理を可能にする追加機能のサポートを継続的に行っています。

広範なセキュリティエコシステムの全てに、ゼロトラストの考え方を投入する

ゼロトラストの基盤としてIDを提供するだけでなく、IDaaSのサービスプロバイダはセキュリティソリューション全体を深く統合し、ゼロトラストへのアプローチを統一します。IDaaSは、彼らが提供するディベロッパーネットワークを通じて、次のような拡張されたゼロトラストエコシステムのすべてのコンポーネントに深いインテグレーションを実現・継続しています。

企業の抱えるシステムリソースへのアクセスを制御することはセキュリティ上、行動監視の基本となります。しかし、実際にセキュリティ・インシデントの根本原因を特定することは困難です。セキュリティ分析とSIEMの統合することで、IDaaSは豊富なIDの情報とそのID対象の行動履歴を活用し、侵害されたアカウントに対して是正予防・対応に関する措置を自動的に実施することができます。また、IDaaSの事業者はNetskopeやMcAfeeなどのCASBと統合し、企業にアクセスやリスクの詳細可視化とアラートを実現します。そしてこの連携により、IDaaSは認証済みセッション中の危険なイベントを継続的にチェックすることができます。IDaaSのSIEMパートナーと同様に、IDaaSは貴重な認証データを提供して異常をよりよく検出し、CASBサービスがIDaaSに異常かどうかの結果を返すことができます。勿論これらは、IDaaSの提供するディベロッパーネットワークが企業にゼロトラストを提供する方法のほんの一例に過ぎません。

ゼロトラストを実現したFOXコーポレーションの事例

FOXコーポレーションは、ケーブル、放送、映画、有料放送、衛星放送などの資産を有する世界有数のポートフォリオを持つ企業であり、常にセキュリティを重視しています。毎日約50カ国語で18億人以上の加入者にリーチしているFOXコーポレーションは、映画やテレビの制作スタジオを含むケーブル・放送ネットワークやプロパティの世界的なポートフォリオを有しています。数年前、別の大手スタジオの攻撃を受けたことをきっかけに、同社はセキュリティ目標の強化に乗り出しました。

ステップ1. ゼロトラストによるセキュリティ対策を開始

FOXコーポレーション社では、ファイアウォールからウイルス対策ソフトまで、所謂境界型のセキュリティ対策をすべて実施していました。CISOのMelody Hildebrandt 氏が情報システム部門に課した最初のプロジェクトの 1 つは、Fox 社内のすべてのユーザーを同じ環境にすることでした。この取り組みには、認証を強化し、どのユーザーがどのアプリケーションへのアクセスを要求しているかを簡単に確認できるようにし、更にID管理プロセスを効率化することが含まれていました。コアとなるIDとアーキテクチャを統一した後、彼女は新しいゼロトラストなアーキテクチャの設計に目を向けました。これは、今日の話題のデータ侵害の多くの原因となっているクレデンシャル盗難の試みやフィッシング攻撃に対抗するためのものでした。そしてこの変更は、Foxネットワークをサポートする従業員、請負業者、およびパートナーのユーザー体験を損なうことなく行われました。

ステップ2. アクセス管理に、多要素認証を用いたリスクベース認証を採用

FOXコーポレーションはゼロトラストアプローチに取り組むために、とあるIDaaSのプロダクトを利用しました。同社はすでにIDaaSによるSSO、IDaaSの提供する統合されたディレクトリサービス、その他にもライフサイクル管理サービスを使用していましたが、これらに加えて多要素認証を用いたリスクベース認証とAPIのアクセス管理を追加することを決定しました。

Hildebrandt氏のチームは、メインとなるインフラ構成を整備した後、自動化されたID管理への移行が必須であったため、ライフサイクル管理と統合的なディレクトリサービスを導入しました。Foxの人事システムであるWorkdayでユーザーのステータスが変更されるとすぐに、ディレクトリサービスがユーザーの属性を確認し、ユーザーを適切なグループに振り分けます。その後ライフサイクル管理は、ユーザーが業務を遂行するために必要な権限を提供します。所謂プロビジョニングです。

最終的に、ユーザーは入社初日から必要なものをすべて手に入れることができ、持っているはずのない情報に誤ってアクセスしてしまうリスクがなくなりました。さらに、万が一認証情報が漏洩した場合でも、他の誰かが機密データやコンテンツにアクセスするリスクを減らすことができます。また、FOXコーポレーションの従業員が退職したり、パートナーが契約を終了したりした場合でも、IDなどが放置されセキュリティホールとなってしまう問題はほぼ即座に解決されます。彼らのアカウントがディレクトリサービスにデプロビジョニングされるとすぐにアクセス権限は取り消され、「ゾンビアカウント(≒消し忘れたID)」が残ることはありません。またリスクベース認証を活用した多要素認証を使用することで、誰がアクセスしようとしているのか、どの端末を使用しているか、どこで仕事をしているか、どのアプリケーションにアクセスを要求しているかなどの要素に基づいて、スマートな認証を行うことができます。これは、認証プロセスの中で従業員に不要なステップを踏ませることなく、高いレベルのセキュリティを維持できることを意味します。FOXコーポレーションはリスクベース認証を活用した多要素認証を導入するにあたり、従業員やパートナーの声に耳を傾け、YubiKey(FIDOに加入するハードウェアトークン)、SMSメッセージ、ハードウェアトークンなど、可能な限り多くの2段階認証オプションを提供しました。

ゼロトラストが実現するセキュリティと業務効率の両立

FOXコーポレーションにとって、消費者に簡単かつ安全にコンテンツを提供する力が非常に重要です。その一例として、同社がインドの消費者に提供しているモバイルアプリケーション「Hot Star」は、最近では700万人を超える同時ライブ視聴者数を記録しました。リリースからたった2年未満のアプリが、ゼロトラストによってDDoSやクレデンシャルスタッフィング攻撃からきちんと防御されました。

FOXコーポレーションの従業員とパートナーは、IDaaSを活用することで、外部からの脅威を気にすることなく、自社の顧客に魅力的なコンテンツを提供することに専念できるようになりました。より本質的には、ユーザーや情報システム部門の管理に関する複雑さを軽減しながら、大きなセキュリティギャップを解消することができたのです。

ゼロトラストを実現するために、まずは何をすべきか

現代社会において全ての企業は、企業の労働生産性や労働環境の柔軟性を向上させるテクノロジーを採用したいと考えています。しかし、ゼロトラストの実現に銀の弾丸はありません。そのため今日の企業は、ゼロトラストの導入ファーストステップとしてID管理のIDaaSに注目し、次世代セキュリティ戦略の中核に据えています。そして、適切な人だけが適切な情報に適切なタイミングでアクセスできるようにしています。

SNSでもご購読できます。

コメントを残す

*