「ゼロから学ぶ」ゼロトラスト#02:ゼロトラストモデルが求める7つの要件とは
「だれも信用しない!」そんな考え方から生まれた「ゼロトラストモデル」。ゼロトラストセキュリティを実装したくても、まだまだ成熟していないモデルであり「で、何すれば良いの?」という企業が多いのです。ゼロトラストモデルが求める7つの要件を具体的なソリューション例と共に紹介します。
この記事の目次
ゼロトラストモデルが求める7つの要件
「ゼロトラストモデル」は、アメリカの調査会社「Forrester Research」のジョン・キンダーバーグ(John Kindervag)氏が2010年に提唱した概念です。その後、2018年11月には、同じくForrester Research社が、「Zero Trust eXtended (ZTX)フレームワーク」と改め、ゼロトラストモデルを実現するための7つの要件を定義しました。
これら7つの要件に既存の技術やソリューションをマッピングすることで、ゼロトラストセキュリティを実装できるとしています。
ゼロトラストモデルを実現するための7つの要件
次にこれら7つの要件について順を追って説明します。
1.ネットワーク・セキュリティ
「ネットワーク・セキュリティ」で実現するのは、「不正アクセスの可能性のあるネットワークとは別のネットワークで機密情報を管理すること」と「ネットワークを小さな論理セグメント(マイクロセグメント)に分割すること」です。
■ソリューション例
- SWG (Secure Web Gateway)
SWGは、URLフィルタリング・暗号化されたWebトラフィックに対するSSLインスペクション・Webアプリケーションへのポリシー適用を支援します。
Webトラフィックの死角を排除して、Web攻撃から企業リソースを保護します。 - SDP (Software Defined Perimeter)
“Perimeter”は境界という意味です。SDPは、内部ネットワークと外部ネットワークの境界を動的に設置する技術です。クラウド環境の普及や接続端末の多様化により、ネットワークの内側と外側の境界が曖昧になっています。内側と外側の境界線をソフトウェアで制御し、かつ動的に設置する仕組みがSDPです。
2.デバイス・セキュリティ
「デバイス・セキュリティ」では、デバイスが企業リソースにアクセスするときに、デバイスの識別と承認を管理します。
■ソリューション例
- EPP (Endpoint Protection Platform)
EPPは、PCやサーバーなどを保護するエンドポイントセキュリティ製品の一種です。シグニチャ(定義ファイル)によりマルウェアを検知する他、振舞い検知や機械学習機能も併用して未知のマルウェアも検知できるようになっています。
- EDR (Endpoint Detection and Response)
EDRは、ネットワークの末端(エンドポイント)で攻撃を検知して対応する製品・技術です。ファイルレスのマルウェアなどEPPでは検知できない脅威も出現しているため、実際に攻撃を受けた段階で迅速に対処するというEDRをEPPと共に併用するケースが増えています。 - MDM (Mobile Device Management)
MDMは「携帯端末管理」とも呼ばれる、企業内のスマートフォンやタブレットなどを管理するソフトウェアです。端末情報のバックアップ・紛失時の遠隔ロックや初期化・アプリケーションの更新などを行います。
3.アイデンティティ・セキュリティ
「アイデンティティ・セキュリティ」では、ネットワークにアクセスしようとするユーザーを特定・検証し、アクセスポリシーを適用してアクセスを制限します。”決して信用せず、常に検証する”という理念にもとづき、ユーザーを検証してアクセスを制限することで、攻撃対象となる領域を縮小することが目的です。
■ソリューション例
- IAM (Identity and Access Management)
IAMは、IDとアクセスを管理する仕組みです。企業リソースにアクセスすべきユーザーを、正当な理由で、正しいリソースに必要十分な回数アクセスさせるための機能です。
4.ワークロード・セキュリティ
「ワークロード・セキュリティ」では、組織の運営に必要なアプリケーション・クラウドネットワーク・ITリソースなどへの、不正アクセスやデータ収集・改ざんを防止します。
■ソリューション例
- CWPP (Cloud Workload Protection Platform)
CWPPは、IaaSやPaaSの利用状況やセキュリティリスクを可視化し、企業内のクラウドサービスのワークロードを自動的に保護する機能です。
5.データ・セキュリティ
「データ・セキュリティ」では、まず企業データの分類を行います。データが分類されていれば、アクセスする必要のないデータは別の場所へ分離できます。「データ・セキュリティ」には、データの保存場所を決定するプロセスやデータの転送中の暗号化メカニズムも含まれます。
■ソリューション例
- DLP (Data Loss Prevention)
DLPは、機密情報や重要データの紛失や外部への漏えいを防ぐシステムです。重要データと認定された情報の送信やコピーを制限して、機密情報の流出を阻止します。
6.可視化と分析
「可視化と分析」では、すべてのセキュリティプロセスを分析して監視し、システムとインフラを可視化します。利用者が許可されていないサービスやアプリケーションを使っている場合は、アラートが上がってくるため、管理者は利用状況を確認することが可能になります。
■ソリューション例
- CASB (Cloud Access Security Broker)
CASBは、ガートナー社が提唱した、クラウドサービスの利用に関する問題を解決するためのアプローチです。
CASBの基本的な考え方は、ユーザーとクラウドサービスの間に、単一のコントロールポイント(CASB)を設け、クラウドサービスの利用を集中管理するというものです。 - SIEM (Security Information and Event Management)
SIEMは、ネットワーク内に存在するさまざまなサーバーやネットワーク機器からのセキュリティ情報を収集し、一元管理する統合ログ管理の仕組みです。
7.自動化
「自動化」では、組織全体のネットワークにおいて「ゼロトラストモデル」の各ソリューションを自動化し、集中管理します。自動化されていない場合、管理者がログを1件1件追いかけることは不可能に近く、結果として、セキュリティの脅威を捉えきれない状態になりますので、必要不可欠な存在と言えます。
■ソリューション例
- SOAR (Security Orchestration and Automation Response)
SOARは、組織内の各種セキュリティ機器や外部サービスから収集したセキュリティ情報を統合するソリューションです。これにより、インシデント対応の自動化が実現します。
ゼロトラストに正解はない!?
先に述べた7つの要件におけるソリューション例は、皆様であれば個々にはご存じだったのではないでしょうか。
繰り返しますが「ゼロトラストモデル」は考え方や概念を示したものです。故に、これまでゼロトラストセキュリティを実装するためのフレームワークは存在していませんでした。
ゼロトラストモデルの実装に向けて、公開されたものが2018年の「Zero Trust eXtended (ZTX)フレームワーク」です。
現在も、様々な機関や企業が「ゼロトラストモデル」についての議論を繰り広げており、ソリューションやガイドラインが乱立している状態です。
次回の”「ゼロから学ぶ」ゼロトラスト#3”では、答えのないゼロトラストの構築について触れたいと思います。。
【執筆:編集Gp 近藤真理】
 |
『ゼロから学ぶ』シリーズ 第1弾 ゼロトラスト仕組みが複雑で難しそうな感じもするゼロトラストモデル。 まずは概念を理解するところから始めてみませんか? |
関連記事
