「誰も信頼せず、必ず確認する」ゼロトラストはどうすれば実現できる?
サイバー犯罪は日々姿を変えている。日本マイクロソフト 山野 学氏は「攻撃サービスは低価格化し、攻撃機会が増えています。またクラウドベースの攻撃ツールが標準になっています」と現状を説明する。
モダンワークプレイス統括本部 山野 学氏
一方、防御側の指針として心得ておきたいのがNIST(アメリカ国立標準技術研究所)が発行したCSF(サイバーセキュリティフレームワーク)とゼロトラストだ。CSFは防御側のガイドラインであり教科書とも言える。特徴は資産に対する脅威とリスクが「識別(Identify)」、脅威から「防御(Protect)」、攻撃や侵入を「検知(Detect)」、インシデントに「対応(Respond)」、侵害されたものを攻撃前の状態に「復旧(Recover)」という5つのフェーズで成り立っている点だ。
もう1つはゼロトラスト。こちらはサイバーセキュリティについての基本理念や基本戦略だ。かつては関所のようにネットワークに境界を設け、外側からの攻撃をブロックし、内側を信頼できるゾーンとしていた。
しかし近年では社外にあるクラウドサービスを利用し、テレワークで社外からアクセスするユーザーが増え、境界が意味を成さなくなってきた。また攻撃は高度化、多様化しているため、攻撃者が内部に潜伏していることを前提に対策する必要がある。そこで全てのアクセスを無条件で信頼しないことを前提とした「ゼロトラスト(誰も信頼しない)」の実践が普及している。必ず相手の信頼性を確認し、その相手に適した領域へのアクセスを許可する。
余談だが、ゼロトラストといえばGoogleの実践が興味深い。GoogleはテレワークでVPNを使わない。斬新なようだが考えてみると、VPNは会社のネットワークへの専用通路なので、境界で防御する時代の産物と言える。Googleではどこからのアクセスだろうと、自社開発した端末認証用のチップを用いるなどして認証を厳格にしている。ゼロトラストを徹底できるようになると、Googleのように脱VPNに行き着くのかもしれない。
それでは本題。Microsoft 365など、マイクロソフトが提供するサービスではどうか。日本マイクロソフト 山野氏が解説した。まずはゼロトラストをベースとしたアクセス制御から。ここは識別、認証、認可の3ステップで行う。ユーザーとデバイスをID管理基盤に登録することでアクセス元を「識別」し、正当性を多要素認証等で検証して「認証」し、アクセス元の属性に応じてアクセスを「認可」するという流れだ。
最後の「認可」の段階では、アクセス元の信頼性とアクセス先の機密性の両方で判断する。アクセス元の信頼性とは、アクセス元が疑わしいかどうかだ。例えば資格情報の流出やデバイスの侵害があれば信頼性を「低」、本人とは疑わしいイベント検出やレジストリの異常があれば信頼性を「中」などと区分する。アクセス先の機密性とは、ユーザーがアクセスしようとする情報の機密度だ。製品カタログのように既に公開済みなら機密性は低く、社外秘なら機密性は高い。
例えばアクセス元の信頼性が低い場合、アクセス先の情報の機密度が低ければ大して問題ないのでアクセスは許可する。しかしアクセス先の情報の機密度が高ければ、アクセス元の信頼性を高めるようにするか、できなければアクセスを制限またはブロックする。実際にはより細かい制御をリアルタイムで実行している。
こうしてマイクロソフトのサービスではゼロトラストを基本にして、アクセス制御を行うようにしている。これをCSFの5フェーズに照らし合わせると、識別と防御、加えて検知の一部までに該当する。
