改めてゼロトラストの定義をまとめる
さて、まとめに入ろう。まずはZTAからである。
1. ZTA(ゼロトラスト・アーキテクチャ)
定義・役割
「決して信頼せず、常に検証せよ(Never Trust, Always Verify)」を基本原則とするセキュリティの設計思想・戦略。ネットワークの場所(社内・社外)にかかわらず、すべてのユーザー、デバイス、アプリケーションのアクセスを継続的に検証し、最小限の権限(最小権限の原則)のみを与える。
ガイドライン
NIST SP 800-207がこの概念を技術的・アーキテクチャ的に定義している。CISAのゼロトラスト成熟モデルでは、「ゼロトラストへの道のりは段階的プロセスを必要とし、実施には何年もの歳月がかかる可能性がある」と解説されている(※) 。何かのソリューションを購入してきて、すぐにZTAが完成するという代物ではないということだ。
※:Cybersecurity & Infrastructure Security Agency(CISA)『Zero Trust Maturity Model』
たとえば現在、1800程度ある全国の地方自治体は自治体強靭化の三層分離モデルを導入しているが、2030年を目処にゼロトラスト環境に移行していくことを目指している。この移行において、各自治体が個別に実装・運用すべきゼロトラスト要素と、国(デジタル庁など)が共通基盤として提供すべき要素は、その役割が異なると私は考えている。具体的には、認証基盤(IDaaS)、EDR、SASE、およびZTNAといった、利用者や端末のアクセスを直接制御するセキュリティ対策は、各自治体側で実装すべき要素となるだろう。
一方で、国などが提供すべきゼロトラストの要素技術は、いわゆる“ゼロトラスト監視センター“のようなものである。そこでは、各自治体の脅威情報などを集積して脅威インテリジェンスデータに変換し、その時々の脅威への対策が反映されたエンドポイントやネットワーク制御機器へのポリシーを、動的に反映できる仕組みが不可欠だ。SIEMやSOARなどの要素技術も必要になるだろう。それらを監視し分析する、SOC(セキュリティオペレーションセンター)のスキルを有する人員も必要だ 。
次図は、地方自治体でのZTAの実装をイメージしたものだ。潤沢な予算や、ノウハウ豊富なセキュリティ運用人員などが装備可能なエンタープライズの大企業などでは、上記をすべて自社で実装することも考えられる。
以降は、ZTAを構成する主な要素技術の解説をしていく。ゼロトラストの要素技術はこれ以外にもあるが、それらは以下のガイドラインに示されているので、ぜひ参考にしてほしい。
- 情報処理推進機構(IPA)『ゼロトラスト導入指南書 』(2021年6月)
- 情報処理推進機構(IPA)『ゼロトラスト移行のすゝめ 』(2022年6月)
2. ZTNA(ゼロトラスト・ネットワーク・アクセス)
定義・役割
ZTAの原則をネットワークアクセスに特化して実現する技術。従来のVPNのようにネットワーク全体へのアクセスを許可するのではなく、個々のリソース(アプリケーションやサービス)へのアクセスを、ユーザー、デバイスの状態、文脈に応じて動的に認証・認可し、必要最小限のアクセスのみを許可する。
他の要素との関係
ZTNAは、ZTAを実現するための主要かつ具体的な技術手段の一つである。
3. SASE(Secure Access Service Edge)
定義・役割
ネットワーク機能(SD-WANなど)とセキュリティ機能(CASB、SWG、FWaaS、ZTNAなど)をクラウド上で統合し、単一のサービスとして提供するクラウドベースのアーキテクチャ(Gartnerが提唱)。
他の要素との関係
SASEは、分散した環境(リモートワーカー、クラウド利用)において、ZTAの設計思想を最も効率的かつ包括的に実現するための統合プラットフォームである。SASEに含まれる主要なセキュリティ機能の一つがZTNAだ。
4. IDaaS(Identity as a Service)
定義・役割
ID管理、認証、認可の機能(SSO、MFAなど)をクラウドサービスとして提供する中核要素。
他の要素との関係
ゼロトラストの原則である「アクセスは常にIDに基づいて決定される」を実現する上で、IDaaSは最も重要な基盤となる。ZTNAやSASEがアクセスを制御する際、IDaaSが提供するID情報と認証サービスが必須となる。
改めて考える「なぜ、ゼロトラストに移行するのか?」
ゼロトラスト・アーキテクチャを理解し、原点に立ち返っていただくことを目的として、ここまで解説してきた。
「なぜゼロトラストに移行するのか?」目的があるはずだ。みんながゼロトラストを導入しているからではないはずだ。それは、クラウドの利活用による従業員の働き方改革のようなものかもしれないし、外部パートナーとの協業のための安全なアクセス環境の整備かもしれない。それをまずは決めてほしい。
そのうえで、重要な資産の配置場所を洗い出す。自社内のオンプレミス環境にあるのか、クラウド上に存在するのかを把握し、リスクアセスメントを実行し、リスクが高まる資産を把握する。それらのリスクを低減させる適材適所の対策の導出を検討する。それら対策も、優先順位を決めたうえで段階を踏んで実装していくことが重要である。
この記事は参考になりましたか?
- 何かがおかしいセキュリティ連載記事一覧
-
- 最近よく聞く「ゼロトラスト」の謳い文句は鵜吞みにして大丈夫?原点に立ち返り、本質と目的を見...
- そのセキュリティ製品は自社にとって本当に必要か?真に対策すべきリスクを分析・把握する手順を...
- クラウドセキュリティ界隈の疑問──「クラウドの“設定ミス”」という表現は適切か? 問題の本...
- この記事の著者
-
伊藤 吉也(イトウ ヨシナリ)
2022年より、米国本社の日本支社であるフォーティネットジャパン合同会社にて全国の自治体、教育委員会向けビジネスの総括を担当。専門領域は、IPAの詳細リスク分析+EDC法による対策策定。ISC2認定 CISSP、総務省 地域情報化アドバイザー、文部科学省 学校DX戦略アドバイザー、デジタル庁 デジタ...
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
