はじめに
みなさまこんにちは。
SB C&Sの竹石と申します。弊社でゼロトラストビジネスを担当しています。
みなさまも多々耳にしていると思われるゼロトラスト。
今あらゆるセキュリティメーカがゼロトラストを謳っており、もはや言ったもの勝ちになっている状況ですが、お客様からのトラストがゼロにならないためにはそれらを整理していく必要があります。
SB C&Sでもゼロトラストキーワードでビジネスをしており、このブログではどの機能がゼロトラスト実現において主要なのか、どのプレイヤーがどこまでカバーしているのかを取り扱い製品豊富なディストリビュータ目線で整理させていただければと思います。
とはいえ、初回の今回はまずはバズワード的になっているゼロトラストのおさらいをさせていただければと思います。
ここに関してはおそらくゼロトラスト界隈でもっとも有用な文書であるNIST SP800 207ゼロトラスト・アーキテクチャーから紐解いていきたいと思います。
哲学的な話をしてもしょうがないのでかいつまんで。
元ネタは以下になります。
https://csrc.nist.gov/publications/detail/sp/800-207/final
NIST的にはゼロトラストには基本的な考え方の7つの原則があります。
通常のサーバやネットワーク機器、PCなどに加えてBYOD端末やIoT端末、クラウドサービスなど多種多用なエンティティを活用している企業も多いと思いますが、それらをすべてリソースとみなしセキュリティを設計していきましょう。
まさにゼロトラストの象徴的な原則で多くのセキュリティメーカはここをピックアップしていることも多いと思います。
今までは境界の中と外で分け、境界の中は盲目的に信頼していたと思いますが、境界内が安全名など保証など決してなくすべての通信を信頼せず、保護対象としましょうということです。
またテレワークがノーマルな今の世の中においてロケーションベースで考えること自体がナンセンスだと思いますのでこの考え方は今の世の中に非常に適しているものだと思います。
レガシーVPNですと一度許可されたら当分そのネットワークにアクセスできることも多いと思いますが、そうではなくアクセスが起こるたびに常に検証しましょうということです。
またネットワーク単位ではなく、"リソース単位で"というのもポイントです。要するに目的を達成するための最小権限のみ与えましょうということです。
後述しますが常に検証というのはここの項目だけでなくゼロトラストを考える上で非常に重要な概念です。
誰が、どのデバイスで、そのデバイスには何がインストールされていて、どんなネットワークからいつアクセスしようとしているのかなど、様々な要素を鑑みてアクセス制御を行っていきます。
レガシーVPNですとソフトウェアがインストールされていて、クレデンシャルを知っていればアクセスできたと思うのでそこから考えると"ゼロトラスト"な感じがしますね。
また端末の状態でポリシーが変わるのでこれらを当然人の手でやっていけないので動的に制御しましょうということです。
ここまでで暗黙を作らず、すべてのリソースをセキュリティの対象にするべきというお話がでてきましたが、ここではその動作も監視し測定しましょうというお話になります。
CDM(Continuous Diagnostics and Mitigation:継続的診断および対策)という言葉をNISTは使っていますが、デバイスやアプリケーションの状態を監視し必要に応じてパッチを当てて修正する必要があります。
項目4と鑑みると、ここでデバイスの脆弱性などが明らかになるとそのデバイスはアクセスが制限されるということになります。
ここまでの内容と重複しているのでほぼ割愛しますが、しいて言うならここでいう"厳格に"というのはNIST的にはMFA(Multi Facter Authentication:多要素認証)なるべく使っていきましょうという感じです。
資産、ネットワーク、アクセスリクエストなど様々な情報を収集し洞察をすることで既存のポリシーを改善していきましょうということです。
ここは前述した"常に検証する"に通ずるものがあり、端末の状態なども常に検証しますが、一度作ったポリシーも様々な情報を鑑みながら常に検証していく必要があります。
特に不確実性の高い世の中で、常に保護すべき環境は変化しつづけておりますのでゼロトラスト観点でどのようなセキュリティを施すべきか継続的に考え続ける必要があります。
まとめ
ゼロトラストをまとめますと、とにかく盲目的な判断、暗黙の部分をいかに排除していけるかがポイントだと思います。
ここまででゼロトラストなエッセンスを盛り込むことでユーザーはガチガチに縛られてしまうのかと懸念される方も多いと思いますが、むしろゼロトラストを取り入れることで様々なものが許されていくのではないかと私は思います。
今まではこれは安全"そう"、これは安全じゃなさ"そう"と盲目的に判断していたため、とりあえず危なそうだから禁止とされることも多かったです。
が、ゼロトラストはその対極で、暗黙を許さず可能な限りすべて白黒つけていくことになりますので、今まで安全じゃなさそうと判断されていたいくつかのアクティビティも許容されることも多いと思います。
次回はSB C&Sの考えるゼロトラストを実現するために重要な機能をお伝えしていけたらと思います。
お問合せ先
著者紹介
SB C&S株式会社
テクニカルマーケティングセンター
竹石 渡
新卒でSB C&S株式会社へ入社し現在12年目。
セキュリティ領域における新規事業開発を担当。
主に目利き、ソリューション提案、エヴァンジェリスト活動などを実施。
ゼロトラストを愛しゼロトラストに愛された男。
linkedin
https://www.linkedin.com/in/wataru-takeishi-95563b42/