コンセプトだったゼロトラストが参考書と問題集でより具体的に
IPAが2020年11月から12月にかけてITシステムやソフトウェアに関連するサービスの委託元と委託先に「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を実施した。中間報告によると、委託先はIT企業が多いため9割強がテレワーク実施経験があり、一方、委託元の約半数が「取引先がテレワークをしているのは不安だ」と回答したとある。
NTTデータ先端技術 セキュリティ事業本部 セキュリティコンサルティング事業部 チーフコンサルタント 佐藤雄一氏はコロナ禍を背景に「境界防御モデルでは限界がきている」と指摘する。これまでは機密データは社内ネットワーク内に保存され、皆オフィスに出勤するため社内にあるパソコンから社内にあるサーバーにアクセスしていた。社内という境界を作り、その関門を防御していればよかった。
しかし近年では人間もデータも、社内や社外に散らばるようになり、コロナ禍でこの傾向は一段と加速した。テレワークで自宅にある端末(時には個人所有の)から社内にアクセスすることが増え、機密データであろうともクラウドストレージに保存されることもある。これまでの境界が曖昧になり、境界防御モデルでは機密情報の保護が難しくなってきた。
そこで注目されているのがゼロトラストだ。誰にでもアクセスの許可を与えるのではなく(つまり信用しない)、常に相手を検証する。逆にいえば、これまでは境界内であれば誰でも信用していたようなもの。佐藤氏はゼロトラストを「(ユーザーが)外部から接続することを前提としたセキュリティの考え方」と説明する。
ただしゼロトラストはあくまでコンセプト。もともとゼロトラストとは2010年にフォレスターリサーチのジョン・キンダーバグ氏がセキュリティ戦略として公表したのが始まりだ。この10年間で具体的な実装は多少の変遷がありつつも、近年ようやく参考にできるドキュメントが固まってきた。1つは米国立標準技術研究所(NIST)がまとめたゼロトラストアーキテクチャ(SP800-207)で、もう1つがガートナーのSASE(Secure Access Service Edge)だ。佐藤氏によると前者が教科書を詳しく説明した参考書で、後者がより具体的にやるべきことを示した問題集になるという。
NISTのゼロトラストアーキテクチャには次の7つの原則がある。
- 全てのデータソースとコンピューティングサービスをリソースとする
- ネットワークの場所にかかわらず、すべての通信を保護する
- リソースへのアクセスはセッション単位で付与する
- リソースへのアクセスは動的ポリシーにより決定する
- 全ての資産の整合性とセキュリティ動作を監視し、測定する
- 認証と認可を動的に行い、アクセスが許可される前に実施する
- 多くの情報を収集し、セキュリティの改善に利用する
ガートナーが提唱しているSASEは安全にアクセスするための仕組みだ。主にSD-WANなどネットワーク技術とSWG(Secure Web Gateway)やSDP(Software Defined Perimeter)をクラウドで提供するというもの。ユーザーがどこにいようと、クラウドにあるSASEにアクセスすれば、社内データセンターであろうとクラウドサービスだろうと意識せずに利用できるようになる。
このように基本的な構想や要件になる文書はあれど、全てを網羅する単一の製品やサービスはないのが実状だ。各種製品を組み合わせて実現していくことになる。佐藤氏はテレワークの構成要素をNISTのゼロトラストアーキテクチャが挙げる要素でモデル化し、それぞれに対応する技術を示した。
ではこれを実装するにはどうしたらいいか。まっさらな状態から始めるのであれば、理想的なゼロトラストアーキテクチャを構築できるだろう。これから起業する場合など、該当する企業はそう多くない。現実は多くの企業にはこれまで境界防御モデルをベースとした既存システムがあるので、そこにゼロトラストモデルを導入していくことになる。両者が一定期間共存し、段階的に改良を重ねていく。
共存する形だと、既存のものに悪影響を与えないように気をつける必要がある。何よりも気になるのが順番だ。企業により優先順位に差がでることはあるものの、基本的にはリソース、ネットワーク、エンドポイント、ログ分析の順番で進めていくのがいいと佐藤氏はアドバイスする。
