EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

NTTデータ先端技術が「ゼロトラスト」を解説 技術要素の組み合わせによる具体方策とは 「NTT DATA Innovation Conference 2021」佐藤雄一氏講演レポート

edited by Security Online   2021/02/18 08:00

  テレワーク要請とクラウドサービス利用促進を背景に、従来型となる境界防御モデルでは機密情報を保護することは困難になりつつある。代わりに注目されているのがゼロトラストだ。ここで改めてゼロトラストの要点から、実際に実現するための具体的な方策までNTTデータ先端技術 チーフコンサルタント 佐藤雄一氏が解説した。(本稿はオンラインイベント「NTT DATA Innovation Conference 2021」で発表された「開発者の在宅勤務を90%にするだけでは終わらせないゼロトラストセキュリティ実現のステップ」より構成)

コンセプトだったゼロトラストが参考書と問題集でより具体的に

 IPAが2020年11月から12月にかけてITシステムやソフトウェアに関連するサービスの委託元と委託先に「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を実施した。中間報告によると、委託先はIT企業が多いため9割強がテレワーク実施経験があり、一方、委託元の約半数が「取引先がテレワークをしているのは不安だ」と回答したとある。

 NTTデータ先端技術 セキュリティ事業本部 セキュリティコンサルティング事業部 チーフコンサルタント 佐藤雄一氏はコロナ禍を背景に「境界防御モデルでは限界がきている」と指摘する。これまでは機密データは社内ネットワーク内に保存され、皆オフィスに出勤するため社内にあるパソコンから社内にあるサーバーにアクセスしていた。社内という境界を作り、その関門を防御していればよかった。

 しかし近年では人間もデータも、社内や社外に散らばるようになり、コロナ禍でこの傾向は一段と加速した。テレワークで自宅にある端末(時には個人所有の)から社内にアクセスすることが増え、機密データであろうともクラウドストレージに保存されることもある。これまでの境界が曖昧になり、境界防御モデルでは機密情報の保護が難しくなってきた。

 そこで注目されているのがゼロトラストだ。誰にでもアクセスの許可を与えるのではなく(つまり信用しない)、常に相手を検証する。逆にいえば、これまでは境界内であれば誰でも信用していたようなもの。佐藤氏はゼロトラストを「(ユーザーが)外部から接続することを前提としたセキュリティの考え方」と説明する。

 ただしゼロトラストはあくまでコンセプト。もともとゼロトラストとは2010年にフォレスターリサーチのジョン・キンダーバグ氏がセキュリティ戦略として公表したのが始まりだ。この10年間で具体的な実装は多少の変遷がありつつも、近年ようやく参考にできるドキュメントが固まってきた。1つは米国立標準技術研究所(NIST)がまとめたゼロトラストアーキテクチャ(SP800-207)で、もう1つがガートナーのSASE(Secure Access Service Edge)だ。佐藤氏によると前者が教科書を詳しく説明した参考書で、後者がより具体的にやるべきことを示した問題集になるという。

 NISTのゼロトラストアーキテクチャには次の7つの原則がある。

  • 全てのデータソースとコンピューティングサービスをリソースとする
  • ネットワークの場所にかかわらず、すべての通信を保護する
  • リソースへのアクセスはセッション単位で付与する
  • リソースへのアクセスは動的ポリシーにより決定する
  • 全ての資産の整合性とセキュリティ動作を監視し、測定する
  • 認証と認可を動的に行い、アクセスが許可される前に実施する
  • 多くの情報を収集し、セキュリティの改善に利用する

 ガートナーが提唱しているSASEは安全にアクセスするための仕組みだ。主にSD-WANなどネットワーク技術とSWG(Secure Web Gateway)SDP(Software Defined Perimeter)をクラウドで提供するというもの。ユーザーがどこにいようと、クラウドにあるSASEにアクセスすれば、社内データセンターであろうとクラウドサービスだろうと意識せずに利用できるようになる。

 このように基本的な構想や要件になる文書はあれど、全てを網羅する単一の製品やサービスはないのが実状だ。各種製品を組み合わせて実現していくことになる。佐藤氏はテレワークの構成要素をNISTのゼロトラストアーキテクチャが挙げる要素でモデル化し、それぞれに対応する技術を示した。

[クリックして拡大]

 ではこれを実装するにはどうしたらいいか。まっさらな状態から始めるのであれば、理想的なゼロトラストアーキテクチャを構築できるだろう。これから起業する場合など、該当する企業はそう多くない。現実は多くの企業にはこれまで境界防御モデルをベースとした既存システムがあるので、そこにゼロトラストモデルを導入していくことになる。両者が一定期間共存し、段階的に改良を重ねていく。

 共存する形だと、既存のものに悪影響を与えないように気をつける必要がある。何よりも気になるのが順番だ。企業により優先順位に差がでることはあるものの、基本的にはリソース、ネットワーク、エンドポイント、ログ分析の順番で進めていくのがいいと佐藤氏はアドバイスする。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5