ゼロトラストとは？

2010年にForrester Research社がゼロトラストを初めて提唱するまで、組織のセキュリティは、従来型のネットワークセキュリティソリューションを使用したネットワークベースのセグメンテーションモデルが主流でした。その基本的な考え方は、組織のリソースやデータをすべてネットワーク内に置き、ネットワークの境界、いわば組織のネットワークを取り囲む壁の防御力を強化することです。しかし、ひとたび脅威が境界を破ってネットワーク内に侵入してしまうと、攻撃者は検証を受けることなくネットワークにアクセスし、接続されたシステムをラテラルムーブメント(横展開)によって移動することで、資産を侵害できるようになります。

その後、組織のセキュリティは、ネットワーク境界を重視するアプローチから、組織の内外を問わずすべてのデバイス、ユーザー、システムは信頼できないという前提に立ち、すべてのリソースへのアクセスを明示的に認証および認可すべきであるという考え方を基本とするアプローチへと移っていきました。

2020年には、米国国立標準技術研究所(NIST)が、Special Publication 800-207においてゼロトラストアプローチの定義を確立しました。その中でゼロトラストは、「サイバーセキュリティの枠組みを進化させ、ネットワークベースの静的な境界防御から、ユーザー、資産、リソース中心の防御へと転換すること」と定義されています。また、最新の定義では、民間のシステムを対象として、企業環境でゼロトラストフレームワークを中心としたセキュリティの考え方に移行し、それを実践するためのロードマップを提供しています。

ゼロトラストフレームワークを正しく実践するには、いくつかの基本原則を守る必要があります。

• ネットワークには常に悪意が潜んでいるとみなす：ゼロトラスト以前のセキュリティ対策では、既知のネットワークは基本的にアクセスしても安全だとみなしてきました。ゼロトラストでは、安全だとみなしません。
• ネットワークには常に外部および内部からの脅威があると認識する：従来のセキュリティ対策では、脅威が検出されない限りネットワークは安全だとみなしてきました。ゼロトラストでは、やはり安全だとみなしません。
• 企業ネットワークやクラウドプロバイダーの場所だけで信頼性を判断してはならないことを理解する：IPアドレスに基づく従来のセキュリティルールは、信頼できるものではなくなりました。
• あらゆるデバイス、ユーザー、ネットワークフローを認証と許可の対象にする：ゼロトラストモデルでは、すべてのユーザーアクセスを認証し、最小限のアクセス権をセッション単位で付与します。
• できるだけ多くのデータソースから導き出した動的なポリシーを実装する：エンドツーエンドのデータ分析環境を構築して、クラウド環境を含むアーキテクチャ全体の監視と脅威検出を行い、ITとセキュリティの両方の運用要件に対応します。

ゼロトラストアーキテクチャ(ZTA)は、データ漏えい、サイバー攻撃、機密データへの不正アクセスを防ぐとともに、ネットワーク内での攻撃者や悪意ある内部者のラテラルムーブメントを制限するように設計された、ゼロトラストの原則に基づくサイバーセキュリティアーキテクチャです。

ACT-IAC (American Council for Technology and Industry Advisory Council)は、ゼロトラストセキュリティモデルの6つの柱を定義しています。どの柱も、その土台にはデータがあります。

各柱の概要は次のとおりです。

• ユーザー：信頼済みのユーザーおよびユーザーIDでも常に認証し、ユーザーの信頼性を継続的に監視、確認して、アクセスと権限を管理します。
• デバイス：デバイスのサイバーセキュリティ対策と信頼性をリアルタイムで評価して、戦略的なアクセス管理ポリシーを適用します。
• ネットワーク：ネットワーク(ソフトウェア定義のネットワーク、ソフトウェア定義の広域ネットワーク、インターネットベースの技術を含む)をセグメント化し、分離、制御します。
• アプリケーション：アプリケーションレイヤー、クラウドサービス、コンテナ、仮想マシンを保護し、適切に管理します。
• 自動化：SOAR (セキュリティのオーケストレーションと自動化によるレスポンス)によって、複数の製品にまたがるタスクをワークフローで自動化し、エンドユーザーをインタラクティブに監視します。
• 分析：SIEM (セキュリティ情報/イベント管理)、高度なセキュリティ分析、UEBA (ユーザーとエンティティの行動分析)など、可視化ツールや分析ツールを使用して現状を把握し、状況に応じた防御策を実行します。

従来、サイバーセキュリティでは、境界を強力に固めたうえで、城の周りに堀や壁を築くようにセキュリティツールを幾重にも配置する方法が採られてきました。これは、サイバー脅威が外部のみに存在し、資産がオンプレミスにあったときには理にかなった考え方でした。

しかし、クラウド、リモートワーク、モバイルデバイスなど、企業が抱える今日のエコシステムは、従来のセキュリティ戦略ではもはや守りきれなくなっています。それどころか、データやワークロードがほぼあらゆる場所に分散し、処理、アクセスされるようになったことで、攻撃対象が大幅に拡大しています。ゼロトラストのアプローチなら、すべてのネットワークを最初から信用せず常に検証するため、この課題に対応できます。

オンプレミス、プライベートクラウド、パブリッククラウドを含む複数の場所にデータを保存し、従業員、プロバイダー、請負業者、サプライヤー、パートナー、その他の正規ユーザーが自身のデバイスからこれらのデータに広くアクセスできるようにするには、セキュリティの課題を乗り越えなければなりません。その課題を解決するのがゼロトラストです。

たとえば、ある従業員が、新しく割り当てられたデバイスから組織のケース管理システムを使用することを許可されたとします。この従業員がこのデバイスからリクエストを行うと、アクセスが許可されます。その後、従業員が未許可のサイトから、たとえばプリンタードライバのような無害なソフトウェアをダウンロードしたとします。このデバイスはゼロトラスト戦略で継続的に監視されているため、このアップデートにはフラグが付けられます。ドライバの追加によってデバイスの構成が変化したため、デバイスの信頼スコアが変更されます。これにより、従業員が次にシステムにアクセスする際、新しい信頼スコアと適用されるポリシーに応じて、権限が下げられ、アクセスが拒否される可能性があります。このように、複数の要素(この例ではユーザー、デバイス、リソースのスコア)を組み合わせることで、組織のリソースに対するリスクに柔軟に対応できます。つまり、ゼロトラストシステムでは、状況の変化を考慮に入れて継続的に評価を行い、リソースを保護できるのです。

ゼロトラスト戦略を導入するには、まず、ゼロトラストコントロールとポリシーに沿ってセキュリティインシデントを監視、検出、調査するための体制を整備する必要があります。特に、ユーザー、システム、アプリケーション、データを保護するための仕組みが重要です。

次の成熟度モデルでは、組織のセキュリティジャーニーを複数のステージに分けています。各ステージで段階的に改善を重ねることでステージの目標を達成し、次のステージに進むことを目指します。このジャーニーはセキュリティの成果に重点を置いていますが、データを再利用したり置き換えたりすることで、IT監視能力の強化にも役立ちます。

ゼロトラストの導入には以下のステージが含まれます。

高度な検出：機械学習など、精度の高い高度な検出メカニズムを導入します。

自動化とオーケストレーション：一貫性のある繰り返し可能なセキュリティ運用機能を構築します。

補強：セキュリティデータをインテリジェンスで補強し、イベントのコンテキストや影響について理解を深めます。

拡張：エンドポイントのアクティビティやネットワークのメタデータなど、追加のデータソースを収集して、高度な攻撃を検出できるようにします。

正規化：標準的なセキュリティデータの形式を適用し、資産データとアイデンティティデータを追加します。

収集：環境内の基本的なセキュリティログやその他のマシンデータを収集します。

ゼロトラストモデルを実現すれば、境界のみの防御に依存する従来の仕組みを変えることで、組織のセキュリティ態勢を大幅に強化し、運用の負担を軽減できます。ゼロトラストでは、境界で防御する代わりに、各アクセスポイントで一定の信頼性を確保することにより、ユーザーID、資産、リソースを効果的に保護します。ただし、従来のセキュリティポリシーが不要になるわけではありません。重要な資産を境界だけでなく組織全体で守ることが目標なのです。

数年前までは、多くの組織にとって、ネットワークへのすべてのアクセスリクエストを個別に認証することはユーザーエクスペリエンスの点で非常に難しい課題でした。また、従来のツールでは統合機能が不十分で、組織のリソースのセキュリティを包括的かつ一元的に監視することができず、かえってサイロ化が進んで、実装を手掛けるセキュリティエンジニアの負担が増すことになりました。

今日では、アクセス制御に重点を置くツールが増え、制限された場所や重要情報へのユーザーアクセスの可否を判断するルールを細かく設定できるようになりました。ゼロトラストアーキテクチャでは、これらのツールを連携させることで、複数のセキュリティコントロールを個別に管理する複雑さを軽減できます。

技術的な課題をクリアしても、ゼロトラストアーキテクチャの構築やゼロトラストソリューションの導入は大掛かりなプロジェクトに感じられるかもしれません。しかし、ゼロトラストアプローチを取り入れるために、システムを全面的に刷新する必要はありません。ゼロトラストへの移行は、ポリシーやアクセス制御を変えていきながら段階的に進めることができます。

ゼロトラストアーキテクチャを導入するための最適な方法は、現在のネットワーク設定に関するさまざまな要素よって異なります。この記事では詳細な手順は説明しませんが、導入の計画に役立つ主なステップをいくつかご紹介します。

ステージ1：関連データの収集：まずは、保護および監視する必要のある組織内の資産を洗い出し、優先度を判断します。資産の優先度を明確にしておけば、リソースの割り当てや取り込むデータソースを決める際に参考になります。ゼロトラストではさまざまなテクノロジーを組み合わせます。一部はすでに導入済みである場合もあります。それらのシステムはIT監視とセキュリティ監視の重要なデータソースになると同時に、エンドツーエンドの包括的なゼロトラストプログラムの土台となります。

ステージ2：データの理解とコンテキスト追加：データのコンテキスト追加はゼロトラスト戦略の要です。データを理解するには、すべてのデータソースに共通の分類基準を定める必要があります。この作業を行わないと、大量のノイズに悩まされることになります。データの分類基準を定めておけば、特にセキュリティジャーニーのステージを進む中で、多くの混乱を解消できます。

たとえば、ファイアウォールのログ形式やデータ構造はベンダーによって異なります。一元監視を実現するには、ファイアウォールのログデータの構造を変換して、フィールド名と値の組み合わせに正規化し、他のデータと形式を統一する必要があります。

ステージ3：データソースの拡張：セキュリティコントロールを継続的に監視していても、高度なセキュリティ脅威を検出するのは難しいものです。この課題を解消するには、対象のシステムの動作状況だけでなく、システムが正しく使用されているかどうかも監視する必要があります。また、システム、データ、ユーザーを包括的に監視することも重要です。そのためには、行動やインフラレベルの監視が不可欠です。なぜそこまでする必要があるのでしょうか。ゼロトラストでは、正当な手段を使用した不正行為、内部脅威、高度な攻撃(盗んだアカウントによるなりすましなど)を完全に防ぐことはできないからです。

一方、インシデントを封じ込めて被害を最小限に抑えることはできますが、監視対象を誤れば、このタイプの脅威の検出が後手に回る可能性があります。ゼロトラストポリシーと正規ユーザーの正しい行動を考慮に入れることで、監視すべき異常な状態を想定して、悪質なアクセスをより迅速に検出できます。

ステージ4：データの補足と強化：脅威インテリジェンスは、ゼロトラストコントロールや保護対象システムで侵害の痕跡(IoC)を特定するのに役立ちます。脅威インテリジェンスを活用すれば、保護対象のシステムやユーザーが影響を受ける脅威を把握できます。また、ゼロトラストセキュリティコントロールでこれまで検出できなかった既知のIoCを検出することもできます。たとえば、フィッシング攻撃で使用されるIPアドレス、URL、ファイルハッシュや、悪質な目的に使用される既知のSSL証明書情報を調査できます。

また、保護対象の資産のセキュリティ対策や、これらのリソースにアクセスするシステムを把握すれば、リスクスコア、セキュリティインシデントの優先順位、アクセス許可の判断に役立ちます。たとえば、必要なパッチが適用されていないユーザーデバイスから重要なシステムへのアクセスを制限したり、既知の脆弱性に関連するセキュリティインシデントの優先順位を上げたりできます。

さらに、攻撃対象領域管理ソリューションを使用すれば、セキュリティコントロールの最適化とエンドツーエンドの可視化を徹底することで、全体的なセキュリティを強化できます。コントロールにセキュリティギャップがある場合は、ギャップを軽減したり監視を強化したりできます。

これまで、多くの組織が機密データや価値の高いデータをクラウドに移行してきた中で、攻撃の被害を受けた組織がごく一部にとどまっているのは幸運としか言いようがありません。新型コロナウイルス対策としてのリモートワークの急増やSolarWindsの脆弱性を突いた攻撃は、オープンなネットワークの弱点を露わにしました。新しいマインドセット、文化、一連の関連プラクティスを取り入れることは決して容易ではありませんが、ゼロトラストの考え方を理解すれば、組織のネットワークのどこにどのような弱点があり、その解消に何が必要であるかが見えてきます。