クラウドサービスの普及やネットワークの利用環境、多様化するサイバー攻撃など、セキュリティを取り巻く環境が目まぐるしく変化しています。そのため、今までのセキュリティ対策では限界に来ているとの見方が大勢を占める様になり、セキュリティ対策の根本的な考え方から見直す動きが始まっています。
その1つとしてもっとも注目を集めているのが「ゼロトラスト」と呼ばれる新たなセキュリティモデルです。これは従来の「境界防御型セキュリティ」に替わる新たなコンセプトとして広く認知され始めています。
そこで本稿では、「ゼロトラスト」の概念についてご紹介しながら、マイクロソフトが提唱するゼロトラスト実装向けソリューションについてご紹介します。
なぜゼロトラストか
従来は境界ベースのネットワーク制御がメジャーでしたが、それももう時代遅れとなりつつあります。境界ベースのネットワークには、ネットワーク内の全てのシステムが信頼できるという大前提がありましたが、その大前提が崩壊しているからです。
スマホやタブレットなどモバイルデバイスを持ち歩く人々が増え、パブリッククラウドサービスへの移行やBYOD(Bring Your Own Device)モデルが採用されることも増え、境界ベースでのセキュリティの制御は意味をなさなくなってきています。
BYODとは、従業員が個人所有のスマートフォンやノートPCなどの電子デバイスをビジネスで利用するという意味です。プライベートとビジネスとで用いる端末が重なることが当たり前となりつつあるのです。
従来は有効とされていた制御方法を依然として使い続けているネットワークは、侵入に対して脆弱となります。信頼される境界として定義していた中に含まれるエンドポイントのたった1つからでも攻撃者の侵入を許すと、攻撃者はその後あっという間にネットワーク全体を支配下においていきます。
このような背景から、新しいセキュリティモデルを必要が求められています。ネット環境の複雑さに適応でき、人やデバイス、データを、それがどの場所にあろうとも、きちんと保護できるものでなければなりません。
ゼロトラストとは
ゼロトラストモデルは、その名の通り「全てのアクセスを信頼しない」という性悪説を前提として、ユーザーがアプリケーションやサービスにアクセスするごとに、そのユーザーおよびデバイスに対する認証を行い、アクセス権限があるか否かを検証する仕組みです。
信頼しないというのは一見、悪いイメージで受け取りやすいかもしれませんが、疑うことは一概に悪いものではなく、疑うからこそ正確に脆弱性を確認することができるのです。
性善説、性悪説、どちらが良いのかという、二元論でとらえるのではなく、どちらのメリット・デメリットもきちんと理解した上で、あえて信頼をしないという性悪説を選択している脈絡の理解が重要です。
ゼロトラストの3つの原則
ゼロトラストには3つの基本原則があります。
- 明示的に確認する
- 最小特権アクセスを使用する
- 違反を想定する
明示的に検証するということは、利用可能なすべてのデータポイントに基づいて常に認証と承認を行う必要があることを意味します。
最小特権アクセスを使用するということは、ジャストインタイムおよびジャストイナフアクセス(JIT / JEA)、リスクベースの適応ポリシー、およびデータ保護を使用してユーザーアクセスを制限する必要があることを意味します。
違反とは、セキュリティ攻撃による影響する範囲とセグメントへのアクセスを最小限に抑える必要があることを意味すると想定します。侵入者が環境全体を横方向に移動することは難しいはずです。また、エンドツーエンドの暗号化を検証し、分析を使用して可視性を取得し、脅威の検出を促進し、防御を改善します。
これら3つの原則をすべてをデジタル資産全体で実行することでゼロトラストモデルによるセキュリティ強化が達成されたといえるでしょう。
ゼロトラストの実装を支援するソリューション、Azure Sentinel
マイクロソフトはゼロトラストの実装を支援する様々なソリューションを提供しています。それらにはデバイス正常性の確認、アプリケーションの正常性の検証、そしてリソースとサービスに対する安全な最小特権アクセスの設定等の考え方が組み込まれています。
サイバー攻撃が巧妙化・複雑化している現在、境界型であろうとゼロトラスト型であろうと、組織内に攻撃が侵入したことをいち早く検知する対策が必須です。マイクロソフトのソリューションで、その役割を果たすのが「Azure Sentinel」です。
Sentinelは「SIEM(Security Information Event Management)」の役割を果たすクラウドサービスです。SIEMとは、サーバーやネットワーク機器などのハードウエアと、アプリケーションやOSなどのソフトウエアおよびクラウドサービスからログを収集して一元管理し、それらを分析することで脅威を検知する仕組みのことを指します。
動的に信頼性を評価してリソースへのアクセスを制御することで、デバイスから特定のリソースへのアクセスを可能にし、一方で管理された準拠済みデバイス上の価値あるデータへのアクセスを制限することができます。
標的型およびデータ漏洩を目的とした攻撃では、攻撃者は組織内の1つのデバイスに侵入し、盗んだ資格情報を使用してネットワーク全体を次々と横断的に移動していきます。
ユーザーとデバイスに適切なポリシーが構成されたゼロトラストネットワークに基づくソリューションは、盗まれたネットワーク資格情報を利用してネットワークにアクセスされるのを防ぐことができます。
ゼロトラストはサイバー空間への侵入に対する対応だけではなく、企業のデータとリソースを保護しながら、従業員がいつでもどこでもどのような方法であっても生産的でいられる職場環境を得られるようにします。
ただのセキュリティ対策でとどまるのではなく、生産的であることにもつながる、攻めのセキュリティ対策だといえます。
まとめ
今回の記事ではゼロトラストモデルの考え方と、それらのログを統合的に管理するマイクロソフトのSIEM、Azure Sentinelを紹介しました。
すべてのログの監視が必要となるゼロトラストモデルの構築にSIEMは必須のソリューションとなるでしょう。
一方でログの管理元を適切に把握するためにも基となるID管理を忘れてはいけません。HENNGEでは1,700社以上で利用されているID管理サービス(IDaaS)のHENNGE Oneを提供しています。Azure Sentinelと併せて検討してみてはいかがでしょうか?
