企業向けゼロトラストセキュリティモデルの手引書
~すべてを信頼せず、常に検証して、企業に最適なゼロトラストセキュリティモデルを実現~
はじめに
ゼロトラストセキュリティという用語は最近、色々なセキュリティベンダーから提案されています。今までは、“社内は安全”そして“社外は脅威”ということが前提となり、社内と社外の境界を防衛する“境界型セキュリティモデル”が採用されました。しかし、現在多くの企業でクラウドシフトが起きたことから状況は一変し、社内外の区別がなくなり、今まで安全としていた場所がなくなってしまいました。そこで登場したのが“ゼロトラスト”です。
デバイスとデータが同時にどこにでも存在する可能性がある環境では、デバイスと重要データのセキュリティ境界をどのように管理すべきか。企業では、ネットワーク環境が大きくなり複雑になるにつれてこのような疑問が生じます。ゼロトラストセキュリティモデルは、“すべてを信頼せず、常に検証する”という方法論でこの問題を解決しようとします。このモデルとその利点を紹介します。
●ゼロトラストセキュリティモデルが優れているのはなぜですか?
従来の企業のネットワークセキュリティは、“城と堀”(castle and moat)アプローチに依存しています。ネットワークの周囲に1つの大きなセキュリティ境界 (堀) を作成し、その境界内のすべてのユーザが信頼できると想定します。境界内のすべてのデバイス、アプリケーション、リソースを保護するには、十分なセキュリティポリシーと制御を実装する必要があります。ネットワークが拡大し複雑になるにつれて (例えば、ワークロードをクラウドに移動してエッジに近づけたり、リモートロケーションやブランチロケーションを拡大したりすると)、肥大化した境界内のすべての脆弱性を考慮することが難しくなります。さらに、ハッカーが脆弱なアカウントまたはデバイスにアクセスした場合、信頼されたアクセス許可を悪用してネットワーク内を自由に移動できます。
(注)Castle-and-moatとは、ネットワークの外部からは内部のデータにアクセスできないが、ネットワーク内部の全員はアクセスできるネットワークセキュリティモデルです。企業のネットワークを“城”、ネットワーク境界を“堀”と想像します。跳ね橋が下りて誰かが渡ると、城の敷地内を自由に移動できるようになります。同様に、このモデルでは、ユーザがネットワークに接続すると、そのネットワーク内のすべてのアプリケーションとデータにアクセスできるようになります。

ゼロトラストの問題を解決するために異なるアプローチを使用:
First, すべてのユーザ、デバイス、アプリケーション、トラフィックは、たとえ自社のネットワーク内であっても、接続するたびに検証される必要があります。これにより、ハッキングされたアカウントやデバイス1つから発生する被害が最小限に制限されます。
Second, セキュリティ境界を、保護する重要なリソースの周囲にある一連の小さなマイクロ境界に縮小する必要があります。これにより、適切なセキュリティ対策で個々の脆弱性に対処し、各リソースにアクセスできるユーザとデバイスを細かく制御できます。攻撃が発生した場合でも、ネットワークの特定の領域への被害が制限されます。
●ゼロトラストセキュリティモデルの主要原則
ゼロトラストセキュリティモデルを検討する際には、次の6つの重要な原則に留意する必要があります:
1.いかなるトラフィックも信用しない、ゼロトラストの基本原則は、その名前の通り、ネットワークトラフィックを一切信頼できないというものです。LANの安全なセグメントから発信されたトラフィックであっても、検査してログに記録する必要があります。
2.ユーザやデバイスも信頼しないでください. ユーザ、ワークロード、デバイス、アプリケーションなど、IT環境内のいかなるエンティティも暗黙的に信頼しないでください。アクセスや通信を許可する前に、すべてのエンティティのIDを確認する必要があります。
3.ネットワークはセグメント化する必要がある. ネットワークを細かくセグメント化し、セキュリティ制御のマイクロ境界を作成して各セグメントを保護します。
4.信頼を動的に評価する. 状況とエンティティの動作に基づいて、エンティティの信頼性を動的に検証する必要があります。エンティティが一度検証され信頼されたからといって、将来自動的にアクセスできるようになるわけではありません。
5.信頼も一貫して評価する. エンティティの信頼性は、その場所に関係なく、常に同じ基準に基づいて評価する必要があります。デバイスがリモートから接続している場合でも、本社から接続している場合でも、同じ検証基準を適用します。
6.最小権限の原則(PoLP)を適用する. 信頼を検証したら、エンティティには、その機能を完了するために必要な最小限のリソースへのアクセスのみを許可する必要があります。
(注)PoLPとは、principle of least privilegeの略で企業リソースへの正当なアクセス権を持つアカウントが、機密データへのアクセスと流出に使用されたことを意味します。
●これらの原則をどのように実践すればよいのでしょうか?
企業ごとに要件やネットワークアーキテクチャが異なるため、ゼロトラストセキュリティの実装もそれぞれ異なります。ただし、ゼロトラストをうまく実装している企業のほとんどは、次の基本的な手順に従います:

Step 1: 環境を可視化する
まず、ネットワークインフラとその相関を可視化します。ネットワークに接続するすべてのユーザ、アプリケーション、デバイス、データ、およびその他のリソースを検出して分類する必要があります。
企業がゼロトラストセキュリティ実装を構築している場合は、ネットワーク自動化ツールを使用して環境の検出と可視化を処理する必要があります。
Step 2: protect surfacesを定義する
保護する必要があるネットワークデータ、アプリケーション、資産、サービスを定義し、優先順位を付けます。ネットワークセグメントにグループ化し、保護サーフェスと呼ばれるセキュリティ制御のマイクロ境界の背後にある1つのユニットとしてまとめて保護する必要があるリソースを特定します。目標は、各保護サーフェスを可能な限り小さく、具体的にすることです。これにより、正確なセキュリティポリシーと制御を設定できます。この時間を利用して、各保護サーフェスを保護するために実装する必要がある正確なセキュリティ対策とテクノロジを特定します。例えば、ゼロ トラストID検証と一時的なアクセス権限をサポートするIDおよびアクセス管理 (IAM) ソリューションが必要になります。また、ポリシー管
理ソリューションがエッジインフラ全体にセキュリティポリシーを作成して適用できることも確認する必要があります。
· Data—企業にとっての重要性、ハッカーにとっての価値、コンプライアンス要件、その他の基準に基づいてデータを識別、分類、優先順位付けします。
· Applications—機密データを処理するアプリケーション、独自のコードを含むアプリケーション、ビジネスに不可欠なリソースとインターフェースするアプリケーションを特定します。
· Assets—ネットワークに接続されたデバイスとモノのインターネット (IoT) デバイスをすべてインベントリし、ビジネスにとっての重要度と攻撃に対する脆弱性に基づいて優先順位を付けます。
· Services—Active Directory、DNS、DHCP などの重要なネットワーク サービスを識別して見つけます。
Step 3: マイクロ境界を構築する
次に、ネットワークをセグメント化し、各セグメントを保護するためのマイクロ境界を確立します。マイクロ境界は、各ネットワーク セグメント/保護面を保護するセキュリティ制御です。1つの大きなネットワーク境界ではなくマイクロ境界に重点を置くことで、個々のリソースにアクセスできるユーザとデバイスをより適切に制御できます。
従来のネットワーク境界は、多くの場合、あらゆるシステムとアプリケーションのあらゆる脆弱性を考慮しようとするセキュリティ制御の肥大化したパッチワークです。これに対して、マイクロ境界は、特定の保護面を防御することを目的としています。つまり、ギャップを残さずにアクセスを制御するために必要なテクノロジを正確に実装できます。
たとえば、次世代ファイアウォールを ZPE Systems の Nodegrid と統合して、ネットワーク セグメントとマイクロ境界を作成し、トラフィックを監視してアクセス制御ポリシーを適用できます。
Step 4: セキュリティポリシーを作成する
保護対象を定義し、マイクロ境界を確立したら、各ネットワーク セグメントへのアクセスを制御するセキュリティポリシーを作成する必要があります。保護対象を小さく限定しているとします。その場合、最小権限の原則を使用して、必要なエンティティにのみアクセスを許可するように、より正確なポリシーを作成できます。例えば、1日中自宅で仕事をしている従業員は、Office 365 やZoom などのアプリへのリモートアクセスのみを必要とする場合があります。PoLPと正確なセキュリティポリシーを使用すると、その従業員のアクセスを特定のアプリケーションに制限し、エンタープライズネットワークの残りの部分へのアクセスを制限できます。そうすることで、その従業員のアカウントが侵害された場合のネットワークへのリスクを制限できます。その従業員のアカウントは他のネットワーク リソースを表示または操作できないためです。
TIP: ZPE Systems のゼロトラストセキュリティフレームワークは、セキュリティ ポリシーの作成と適用を支援する包括的なユーザポリシー管理を提供します。
Step 5: 観察とテスト
セキュリティ制御を有効にする前に、この期間を利用して本番ネットワークトラフィックを監視し、セキュリティポリシーに基づいてアラートを生成します。次に、これらのアラートを調査して、誤検知がいくつあるか、ブロックされていたらどのワークフローとアプリケーションが失敗していたかを判断します。さまざまなネットワークセグメントの複数のソースからデータを取得するエンタープライズアプリケーションがあるかもしれません。アプリケーションへのアクセスを許可するポリシーを作成せずに、これらのデータベースの1つの周りに誤ってマイクロ境界を確立してしまう可能性があります。セキュリティアラートを調査するための観察期間を設けることで、本番環境で何かが壊れる前にこれらの問題を修正できます。この観察を行うために追加のテクノロジを実装する必要はありません。セキュリティアクセス制御には、接続試行をブロックせずにオンにできるアラート機能が必要です。
TIP: ZPE Systems のゼロ トラスト セキュリティフレームワークは、セキュリティポリシーの作成と適用を支援する包括的なユーザポリシー管理を提供します。
Step 6: セキュリティポリシーと制御を実施する
観察期間中に明らかになった問題をすべて解決したら、ゼロトラストセキュリティポリシーとコントロールを有効化して適用します。組織によっては、これをすべて一度に実行するところもあれば、一度に1 つの保護対象領域とマイクロ境界に重点を置くところもあります。例えば、最も価値の高い保護対象領域から始めて、そこから徐々に外側に広げていくと、従業員が新しいゼロトラストセキュリティ標準に適応する時間を与え、相互依存性とポリシーに関する残りの問題を解決できます。
Note: ステップ 5 をスキップした場合は、この時間を誤検知への対応と依存関係の問題の修正にも費やす必要があります。
Step 7: 監視と最適化
最後のステップは、ゼロトラスト環境を監視し、必要に応じて変更を加えることです。企業が成長するにつれて、ゼロトラストネットワークに新しいユーザ、アプリケーション、デバイスを追加する必要があります。これは、新しい保護ゾーンの定義、マイクロ境界の修正、追加のセキュリティ制御の実装を意味する場合があります。企業は、ゼロトラストの経験も積むため、時間の経過とともにセキュリティポリシーとマイクロ境界を改良および最適化できるようになります。
全体的に、ゼロトラストの実装に必要な手順は非常に簡単です。実際の課題は、ゼロトラストの原則と制御を特定のネットワーク環境に適用することです。ゼロトラストセキュリティモデルは、ターンキー ソリューションでも、一度実装したら忘れてしまえる単一のテクノロジでもありません。独自のニーズを満たすハードウェア、ソフトウェア、仮想ソリューションの組み合わせを実装することで、総合的なアプローチを取る必要があります。これは、他のゼロトラストテクノロジとシームレスに統合して 1つの統合ソリューションを提供する ZPE Systems のゼロトラストセキュリティフレームワークなどのプラットフォームを使用すると簡単になります。
●ゼロトラストセキュリティモデルのメリット
ゼロトラストの実装方法の基本を理解したので、このモデルがネットワーク全体のセキュリティをどのように向上させることができるかが明らかになったはずです。さらに、ゼロトラストセキュリティモデルには次のような利点があります:
可視性の向上
ゼロトラストを実装すると、拡張エンタープライズネットワークがどのようになっているか、ネットワークエンティティがどのように動作し、相互にやり取りしているかをより正確に把握できるようになります。例えば、シリアル番号、保証ステータス、ファームウェアバージョンなどの情報を含むすべてのデバイスの詳細なインベントリを取得できるため、オーバーヘッドとメンテナンスコストを抑え、将来の計画を立てることが容易になります。
また、すべてのデータセンターインフラ管理を 1つの統合プラットフォームに統合する ZPE Nodegrid などのゼロトラストソリューションを使用すると、ネットワークアプライアンスを完全に可視化して制御できます。
より強力なコンプライアンス
ゼロトラストはネットワーク全体のセキュリティを強化し、データプライバシー規制への準拠を容易にします。ゼロトラストマイクロ境界により、特定のデータにアクセスできるユーザと対象を制御する特定のセキュリティポリシーを作成できます。これは、医療保険の携行性と責任に関する法律 (HIPAA) やペイメントカード業界データ セキュリティ標準 (PCI/DSS) などの一部のデータプライバシー規制の要件です。また、ゼロトラストネットワークセグメンテーションを使用して、規制対象のデータ環境 (例えば、クレジットカード所有者のデータベース) を分離し、完全なプライバシーを確保することもできます。
柔軟性の向上
ゼロトラストセキュリティは、ポリシーとマイクロ境界がきめ細かいため、従来のネットワークセキュリティよりも柔軟性が高くなります。例えば、従来のネットワークに新しいエンタープライズアプリケーションを追加する場合、そのセキュリティ要件と相互依存関係がネットワーク全体のセキュリティ境界とネットワークトラフィックにどのような影響を与えるかを考慮する必要があります。ゼロトラストネットワークでは、そのアプリケーションの周囲に新しいネットワークセグメントとマイクロ境界を作成し、他の無関係なセグメントに影響を与えることなく、適切なポリシーと制御を適用できます。
<補足情報>:
ZPE Nodegridとは別のアプローチでゼロトラストセキュリティを市場投入している米国UC Davis校の教授陣が大学発のベンチャーを立ち上げたEnnetixというベンダーについて少し触れたいと思います。
EnnetixのxVisorのソフトウエア製品は、AI/MLの分析機能を採用してパフォーマンスとセキュリティの”Deviation(逸脱)”をインテリジェントに推測し、障害停止の根本原因をリアルタイムに相関させるAIOpsプラットフォームです。ゼロトラストの原則に基づくxVisorのAIOpsソリューションを使用することで、クライアントは実用的な情報を入手し、生産性と収益を向上させることができます。
(注)Security “deviation”とは、情報およびサービスの完全性、機密性、または適切な有用性のレベルが実際に損なわれる、または損なわれる可能性のある意図的または意図的でないイベントまたは状況を指します。

おわりに
企業環境はそれぞれ異なるため、独自の課題や要件に対応するカスタマイズされたゼロトラストセキュリティソリューションが必要です。ZPE SystemsのNodegrid は、カスタムゼロトラストセキュリティアーキテクチャを構築するためのフレームワークを提供します。
ZPE Nodegridプラットフォームには、360度監視、侵入防止、クラウド管理などの主要なゼロトラスト機能が含まれています。さらに、ZPE Nodegridは他の多くのゼロトラストコンポーネントやプロバイダーと統合されているため、ゼロトラストソリューション全体を1つの画面から管理できます。
(筆者:吉岡仁―Newgras)
Comments