SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

バズワード「ゼロトラスト」を読み解く①~NIST SP800 207まとめ~

ゼロトラスト
2021.06.28

はじめに

みなさまこんにちは。

SB C&Sの竹石と申します。弊社でゼロトラストビジネスを担当しています。

みなさまも多々耳にしていると思われるゼロトラスト

今あらゆるセキュリティメーカがゼロトラストを謳っており、もはや言ったもの勝ちになっている状況ですが、お客様からのトラストがゼロにならないためにはそれらを整理していく必要があります。

SB C&Sでもゼロトラストキーワードでビジネスをしており、このブログではどの機能がゼロトラスト実現において主要なのか、どのプレイヤーがどこまでカバーしているのかを取り扱い製品豊富なディストリビュータ目線で整理させていただければと思います。

とはいえ、初回の今回はまずはバズワード的になっているゼロトラストのおさらいをさせていただければと思います。

図①.jpg

ここに関してはおそらくゼロトラスト界隈でもっとも有用な文書であるNIST SP800 207ゼロトラスト・アーキテクチャーから紐解いていきたいと思います。

哲学的な話をしてもしょうがないのでかいつまんで。

元ネタは以下になります。
https://csrc.nist.gov/publications/detail/sp/800-207/final

NIST的にはゼロトラストには基本的な考え方の7つの原則があります。

2.png

通常のサーバやネットワーク機器、PCなどに加えてBYOD端末やIoT端末、クラウドサービスなど多種多用なエンティティを活用している企業も多いと思いますが、それらをすべてリソースとみなしセキュリティを設計していきましょう。

3.png

まさにゼロトラストの象徴的な原則で多くのセキュリティメーカはここをピックアップしていることも多いと思います。

今までは境界の中と外で分け、境界の中は盲目的に信頼していたと思いますが、境界内が安全名など保証など決してなくすべての通信を信頼せず、保護対象としましょうということです。

またテレワークがノーマルな今の世の中においてロケーションベースで考えること自体がナンセンスだと思いますのでこの考え方は今の世の中に非常に適しているものだと思います。

4.png

レガシーVPNですと一度許可されたら当分そのネットワークにアクセスできることも多いと思いますが、そうではなくアクセスが起こるたびに常に検証しましょうということです。

またネットワーク単位ではなく、"リソース単位で"というのもポイントです。要するに目的を達成するための最小権限のみ与えましょうということです。

後述しますが常に検証というのはここの項目だけでなくゼロトラストを考える上で非常に重要な概念です。

5.png

誰が、どのデバイスで、そのデバイスには何がインストールされていて、どんなネットワークからいつアクセスしようとしているのかなど、様々な要素を鑑みてアクセス制御を行っていきます。

レガシーVPNですとソフトウェアがインストールされていて、クレデンシャルを知っていればアクセスできたと思うのでそこから考えると"ゼロトラスト"な感じがしますね。

また端末の状態でポリシーが変わるのでこれらを当然人の手でやっていけないので動的に制御しましょうということです。

6.png

ここまでで暗黙を作らず、すべてのリソースをセキュリティの対象にするべきというお話がでてきましたが、ここではその動作も監視し測定しましょうというお話になります。

CDM(Continuous Diagnostics and Mitigation:継続的診断および対策)という言葉をNISTは使っていますが、デバイスやアプリケーションの状態を監視し必要に応じてパッチを当てて修正する必要があります。

項目4と鑑みると、ここでデバイスの脆弱性などが明らかになるとそのデバイスはアクセスが制限されるということになります。

7.png

ここまでの内容と重複しているのでほぼ割愛しますが、しいて言うならここでいう"厳格に"というのはNIST的にはMFAMulti Facter Authentication:多要素認証)なるべく使っていきましょうという感じです。

8.png

資産、ネットワーク、アクセスリクエストなど様々な情報を収集し洞察をすることで既存のポリシーを改善していきましょうということです。

ここは前述した"常に検証する"に通ずるものがあり、端末の状態なども常に検証しますが、一度作ったポリシーも様々な情報を鑑みながら常に検証していく必要があります。

特に不確実性の高い世の中で、常に保護すべき環境は変化しつづけておりますのでゼロトラスト観点でどのようなセキュリティを施すべきか継続的に考え続ける必要があります。

まとめ

ゼロトラストをまとめますと、とにかく盲目的な判断、暗黙の部分をいかに排除していけるかがポイントだと思います。

ここまででゼロトラストなエッセンスを盛り込むことでユーザーはガチガチに縛られてしまうのかと懸念される方も多いと思いますが、むしろゼロトラストを取り入れることで様々なものが許されていくのではないかと私は思います。

今まではこれは安全"そう"、これは安全じゃなさ"そう"と盲目的に判断していたため、とりあえず危なそうだから禁止とされることも多かったです。

が、ゼロトラストはその対極で、暗黙を許さず可能な限りすべて白黒つけていくことになりますので、今まで安全じゃなさそうと判断されていたいくつかのアクティビティも許容されることも多いと思います。

次回はSB C&Sの考えるゼロトラストを実現するために重要な機能をお伝えしていけたらと思います。

バズワード「ゼロトラスト」を読み解く②~ゼロトラスト実現に必要な機能とは?~

banner-in-article.PNG

著者紹介

SB C&S株式会社
テクニカルマーケティングセンター
竹石 渡

新卒でSB C&S株式会社へ入社し現在7年目。
セキュリティー製品のプリセールスエンジニアとして案件支援やハンズオン、プロダクトの性能検証などに従事。 昨年は年間20回以上セミナーに登壇し、セキュリティーのエヴァンジェリスト活動にも力を入れている。CISSPを保有。 2018年4月からビジネスデベロップメントに従事。
新規プロダクト立ち上げの一環としてDevOpsを担当。 DevOpsを愛し、DevOpsに愛される男を目指し日々邁進中。