ゼロトラストってどういうこと？

最近ネット界隈の記事で業務関連で"ゼロトラスト"というキーワードを検索することが多くなりました。ZeroTrust、Zero-Trust、ゼロトラストなど書き方としてどれが正しいかわからないですが、ブログを通して情報を発信していくことで、少しずつ私の中で情報がまとまって行くことを期待しています。

ゼロトラストはセキュリティ対策

言葉の意味としては"ゼロ（0）トラスト（信頼）"という意味です。つまり、信用をしないという意図が込められたキーワードです。バズワードでもあり、具体的な機能要件ではないものですが、調べれば調べるほど奥が深いです。

ゼロトラストを通して、セキュリティ意識を少しでも改善できれば。 昨日よりも今日、明日は今日より安全なセキュリティ対策を目指して、ゼロトラストを使ったセキュリティ対策が進むと私としてもうれしいです。

なぜセキュリティ対策ってなんでしょうか？

主にサイバーセキュリティのことをセキュリティと言う意図で書いていますよ。 自社（組織）のセキュリティ対策を行う場合、有効な対策はどんな手段があるでしょうか？

・　ファイアウォールを導入して、外部からの攻撃に備える
・　ウィルス対策をパソコンにインストールして、マルウェアの感染を防ぐ
・　危険なサイトへアクセスしないように、Webフィルタリングを行う
・　フィッシングメールやスパムメールを受信しないように対策をする

など、セキュリティ対策はさまざまありますが、この殆どを実施している企業は多いと思います。 上記のものは非常に重要な対策で、絶対に欠くことのできないものです。

それでも、不正アクセスだったり、情報漏えいのニュースがありますが、何が問題でしょうか？もちろん、攻撃手法の進化、セキュリティ対策不備、システムのセキュリティホールだったりとさまざまな要因が考えられます。 つまり、どんな対策をしても、万全ということは言えないということが、セキュリティの根底にありそうですね。

Trust but verify

Forrester Zero Trustの内容を正しく理解しようと思っても難しかったです。（英語の能力にも起因しますが）
"Trust but verifi"(信ぜよ、されど検証せよ) - もともとはロシアのことわざをロナルド・レーガン大統領が引用した言葉だそうです。

実際は冷戦時代のソビエトを相手に、信頼するが、いつでもその検証も怠らないということでしょうか。記事の中を見てみると

• セキュリティの脅威が止むことはなく、その戦術自体が収まることはもはやないでしょう。
• "信ぜよ、されど検証せよ"というアプローチ自体も古い。
• 壁や外堀の強化戦略は内部のを脅威に晒すことになる。

ではどのような対応を取るべきか 4つのキーワードが記載されています。 それぞれを見てみると

The Mindset of Zero Trust

サイバー脅威によってすでに侵されているという認識を持つこと。
ゼロトラストは厳しいかもしれないが、プロアクティブで建設的なアプローチ

Risk Assesment

ゼロトラストは組織は攻撃にさらされていることが前提 ゼロトラストはデータセントリックなセキュリテイアーキテクチャの最初のステップです。

Microsegmentation

境界（Perimeter）による保護はもはや効果的な対策ではなく。マイクロセグメント化することで、固有の脅威攻撃のインパクトをなるべく小さくする。

Zero Trust Operations

ゼロトラストモデルへの移行と運用は異なります。 ゼロトラストを運用することは、ミーテイングやプレゼンテーションで設計されるセキュリティではなく、日々組織を守るためのモデルです。

というような具合になるかと。 わかるようで、わかりにくいですが、技術とかそういうことではなく、「考え方」や「行動指針」に当たるものでしょう。

---

信頼（Trust）とはどういう意味？: デジタル大辞泉から

[名］(スル)信じて頼りにすること。頼りになると信じること。また、その気持ち。「信頼できる人物」「両親の信頼にこたえる」「医学を信頼する」

---

サイバーシステムはさまざまな信頼の上に成り立っていることが多いです。信頼するという行為は一見非常に良い行為にも思えますが、システムの世界においては他人に責任をなすりつけているだけの行為とも言えます。

ゼロトラストの他には？

ゼロトラストというワード以外に、ビヨンドコープ(BeyondCorp) や、リーントラスト(Lean Trust)といったようなワードがあるようです。

これからのセキュリティのあり方をもう一度考える時期

ゼロトラストについて、最近調べたことを書き出してみましたが、サイバー脅威が目まぐるしく進化するので、それに追従するためには、単純な防御のための仕組みだけではもはや追いつかないです。 働き方改革によって、働く場所、働く時間、働く人、デバイスなども大きく変化しているのに、従来の境界型セキュリティを採用して、境界の内部を盲信的に信用すること自体がぜい弱な状態です。

ゼロトラストな世界では、システム管理者は安全と信頼するためには、検証を持って証明する必要があります。例えば、ユーザーが社内の無線LANに接続して、社内システムを利用すると仮定した場合いろんなトラストがあります。

1. 無線LANに接続しているユーザー/デバイス認証をする
2. アクセスしている無線LANや認証サーバーを確認する
3. ネットワークに接続したユーザーには正しいアクセス権限が割り当てる
4. ユーザーは正しい方法で社内のシステムにアクセスする
5. アクセスログを監視する

1. ユーザー/デバイスが正しいことを検証する

ゼロトラストの基本にはやはり、基本となるデバイスやユーザーの認証があります。どんなに安全なしくみを用意しても、悪意、不正なユーザーやデバイスが侵入してしまう可能性があります。社内システムを利用するユーザー/デバイスが正しいく安全であるということを証明するということは非常に重要です。

2. アクセスしているシステムが正しく設置されたものを検証する

1の逆で、ユーザーがいくら正しくても、システムが汚染されていれば意味がありません。攻撃者が社内システムの情報を収集する目的で不正なAPを設置するかもしれないですし、パケットをミラーリングしていたりするかもしれません。社内のネットワークが健全であることを検証する必要があります。

3. 権限の割り当てが正しいことを検証する

一度社内ネットワークにつながってしまえば、社内のあらゆるネットワークやファイルへアクセスできる状態は正常ではありません。内部のユーザーに悪意があれば、ファイルを盗まれるかもしれません。ユーザー、デバイスにはそれぞれに応じた権限を個別に付与することが重要です。

4. ユーザーのアクセスの正当性を検証する

ユーザーが必ずしも正当な理由でサーバーやファイルにアクセスしているとは限りません。デバイスがマルウェアに感染しているかもしれない、管理者が意図しないツールを使ってサーバーへアクセスするかもしれません。

5. アクセスログの正常性を検証する

社内システムが大きくなればなるほど、生成されるログが大量になります。管理者は決められた重要度によってアラートを受け取ることになりますが、ログの見落としや、小さな脅威を無視していたりする可能性があります。異常を確認することも重要ですが、正しい状態であるという証明も必要です。

だからゼロトラストは難しい

5つの例を書いてみましたが、正しいことを証明することこそが本当に難しいのです。本当のシステムではもっと検証すべき項目も非常に多く複雑です。そのため、ゼロトラスト自体はかなり昔から提唱はされていたものの、実現が難しかったのかもしれません。ただしテクノロジーの進化は必ず問題を解決すると考えています。テクノロジーが進化し、ソリューションが常に生み出されます。ゼロトラストも今まさにテクノロジーによって解決できるようになりつつあります。

テクノロジーとして乗り越えるだけではだめです。管理者としては"The Mindset of Zero Trust"を持つこと、システムにおける検証なき信頼はやめておきましょう。

とはいえ、私はテクノロジーを信頼し、人も信頼することにしています。
次回は具体的なゼロトラストソリューションを紹介していきたいと思います。