ゼロトラストでリモートアクセスを安全に実現する

リモートアクセスの世界が変わった

クラウドコンピューティングが成長しているというのはほぼ決まり文句になっていますが、クラウドへの移行が急速に進んでいることを裏付ける数多くの統計データが出回っています。筆者はそれらの統計情報からいくつかの重要な事実を得る事が出来ました。1つ目はオンプレミス、オンプレミス・プライベート・クラウド、ホスト型プライベート・クラウド、SaaS、パブリッククラウド(AWSやAzure、GCPなどのIaaS/PaaS)など、ワークロードを置く場所の多様性です。

そして様々な統計情報の中で最も興味深いのは、来年までに、そして初めてワークロードを展開する方法の第一位はSaaSアプリケーションになるということです。逆に、従来のオンプレミス型のワークロードは基本的に半分に削減され、アプリケーションを展開するための主要な方法ではなくなり、わずか半分程度に減少するでしょう。

それと同時に、労働者はテレワークで仕事をしたり、複数のデバイスを使用したりするケースも増えています。その他のデータによると、従業員の4分の1強が、時間のすべてまたは大部分を自宅または別の「オフィス以外の」固定された場所(スターバックスなど)で仕事をしていることがわかります。また、3分の2近くの従業員が、週のうち少なくとも一部の時間帯にリモートワークを行っています。残念ながら、これらの傾向はCOVID-19への対応により加速する可能性が高く、VPNVDIのようなものの使用が大幅に増加すると思われますが、SaaSアプリの使用がより一層促進され、やがてAWSやMicrosoft Azure、Google Cloud Platform (GCP)のようなパブリッククラウドに移行するアプリも増えると思います。さらに、このテレワークへのシフトは、少なくともオフィスに戻ることのない一部の社員にとっては、ある程度までは恒久的なものになるのではないかという憶測が広がっています。

VPNは現代のエンタープライズ向けに設計されたものではない

しかし、既存の VPN インフラストラクチャは、この新しい世界に最適化されていません。VPN は、内部リソースへのリモート接続を提供するという点では優れていますが、UXやパフォーマンスの面では多くの欠点があります。また、VPN は、ユーザーが仕事をするために必要なアプリケーションだけではなく、フラットネットワーク全体への広範なアクセスを提供するという意味で、セキュリティ上の課題も抱えています(後述する最小特権の原則)。

ゼロトラストは新しいセキュリティの考え方

また、VPNのハードウェアとクライアント・ソフトウェアを合わせたコストは、すぐに高額になる可能性があります。また、VPNは一般的に導入が困難です。新しいハードウェアをインストールしてVPNクライアントソフトウェアを展開することも、特に請負業者やパートナー、コンサルタントが使用している非管理型のデバイスの場合には課題となります。これは、従業員の20%の従業員がリモートで仕事をしていたのが、80%以上、場合によっては98%になったと最近耳にしたことがあるような企業ではなおさらのことです。

現在、私たちが生きているこの新しい世界では、特にアプリケーションとユーザーの両方が分散化していく中で、境界線ベースのセキュリティモデルはますます重要ではなくなってきています。この1年ほどの間に、ゼロトラストと呼ばれるセキュリティの新しいアプローチが注目を集めています。ゼロ・トラストについては、他のブログ(例えば、「ゼロ・トラストの進化」)で詳しく説明してきましたが、非常に高いレベルでは、ゼロ・トラストのセキュリティは、いくつかのコアコンセプトに基づいています。

  • リソースへのアクセスを「どこにいるか」よりも「誰が」いるかに基づいて、リソースへのアクセスを提供し、継続的に承認します。言い換えれば、アクセスは自分のアイデンティティに基づいて行われるべきであり、これは、自分がどのネットワークサブネットやVLANにいるかだけではなく、MFAやデバイストラストなどの認証技術をより多く使用することを意味します。
  • 最低限の特権の原則を強制する:利用者(またはサービス)が仕事をするために特に必要なものへのアクセスを許可するだけで、それ以上は何もしない。

ゼロトラストを実現するためのNISTガイドライン

Software Defined Perimeter (SDP) は、従来のVPNの代替となり得る、より広範なゼロトラストフレームワークの中に収まる比較的新しい技術である。SDPとゼロトラストベースのアクセスには、多くの異なるアーキテクチャアプローチがあり、NISTは公式の文書で一連の正式な推奨事項を示しています。

正直言って、NISTの論文は濃密な内容で、ほとんどの人は時間がなく、目を通す気にはなれないでしょう。しかし、この記事の残りの部分では、この論文の3つの重要な提言と思われるものに焦点を当て、平均的な企業にとって本当に意味のあることを読み解いていきたいと思います。さらに重要なことは、これら3つのテーマに焦点を当てることで、企業がレガシーなVPN資産を安全なリモートアクセスのためのより近代的なアプローチに置き換えるためのゼロトラストの実装を始める準備をするのに役立つということです。

NISTの提示する要件:画一性を排除する

“企業はリモート環境において、社内ネットワークインフラを最初にトラバースする必要なく、企業リソースにアクセスできるようにしなければなりません。例えば、リモートユーザーは、企業によって利用され、パブリッククラウドプロバイダーによってホストされているサービス(電子メールなど)にアクセスするために、社内ネットワーク(仮想プライベートネットワーク/VPN)へのリンクバックを使用する必要はありません。”

意訳:1 つのサイズにすべてのアプローチを適用しても効果はありません。機密性の高い企業アプリケーションが配備されている場所に基づいて、適切なゼロトラストの実現方法を選択してください。

最新のアプリケーションは、従来のデータセンターのオンプレミス、プライベートクラウド、AWS、Azure、Google Cloud Platform (GCP) などのパブリッククラウド環境、または SaaS アプリケーションとして実行されるなど、どこでも実行することができます。しかし、後者はそれぞれ独自のセキュリティ要件を持っているため、アクセス戦略とポリシーは、各アプリケーションのシナリオに合わせて調整する必要があります。簡単に言えば、アプリケーションが実行されている場所に基づいて、適切なゼロトラストの実現方法を適用することです。そして、それがSaaSアプリケーションを意味するのであれば、アプリケーションにアクセスしてセキュリティポリシーを適用するためだけに、ユーザー・トラフィックのすべてを企業のマザーシップに持ち帰る必要はありません。

NISTの提示する要件:クラウドベース

“ゼロトラスト・アクセス決定プロセスをサポートするために使用されるインフラストラクチャは、プロセス負荷の変化を考慮して拡張可能なものにすべきである。ZTAで使用される PE、PA、および PEP は、あらゆるビジネスプロセスの重要な構成要素となる。PEP に到達するまでの遅延や不能(または PEP が PA/PE に到達できない)は、ワークフローの実行能力にマイナスの影響を与えます。ZTAを実装する企業は、予想されるワークロードに合わせてコンポーネントをプロビジョニングするか、必要に応じて使用量の増加に対応するためにインフラストラクチャを迅速にスケーリングする必要があります。”

意訳:スケーラビリティとパフォーマンスが鍵を握る。将来性のあるクラウドベースのアーキテクチャを使用しましょう。

先に述べたように、従来のVPNの欠点の 1 つはスケーラビリティです。さらに、スケーラビリティと俊敏性は、特にKubernetes、マイクロサービス、サーバーレス・コンピューティングなどの新しい開発が普及する中で、よりクラウドベースのアーキテクチャに移行することの主な利点の2つです。しかし、後者のメリットは、ゼロトラストの原則を展開するための拡張性の高いクラウドベースのアーキテクチャを構築しなければ、ほとんど意味がありません。

NISTの提示する要件:柔軟なポリシー

“企業の資産は、観察可能な要因により、特定の PEPsに到達できない場合がある。例えば、要求するアセットが企業の本国以外に位置している場合、モバイルアセットが特定のリソースに到達できない可能性があるというポリシーがあるかもしれません。これらの要因は、場所(地理的位置またはネットワーク上の位置)、デバイスの種類、またはその他の基準に基づ いている可能性がある。”

意訳:既存のエンタープライズと統合されたコンテキストベースなアクセスのための、粒度が細かく柔軟なポリシーを実装する必要があります。

先に述べたように、ゼロトラストフレームワークのセキュリティポリシーは、ネットワークの場所よりも、ユーザのコンテキストと属性に基づいているべきです。どのリソースにアクセスできるかを決定する主要な入力ではなく、ロケーション、多くの異なる文脈(時間帯、曜日、ユーザの役割、地理的速度など)と行動指標(ジョーは通常そのアプリケーションにアクセスしているか?ゼロトラストのソリューションが、ポリシーの決定に必要なすべてのシグナルをネイティブに提供できる可能性は低いでしょう。

ゼロトラストのための厳守事項

ゼロトラストへの道のりには多くの考慮事項が含まれますが、これらの3つの重要な項目を順守することは、強固なゼロトラストの基盤を確立するための長い道のりとなります。

  1. 1 つのサイズですべてのアプローチを行うことはできません。機密性の高い企業アプリケーションが配備されている場所に基づいて、適切なゼロトラストの実現方法を選択してください。
  2. スケーラビリティとパフォーマンスが鍵を握る 将来性のあるクラウドベースのアーキテクチャを使用します。
  3. 既存のエンタープライズツールと統合された、きめ細かく柔軟性のあるポリシーフレームワークを実装して、コンテキストアクセスを実現します。

SNSでもご購読できます。

コメントを残す

*