「ゼロから学ぶ」ゼロトラストセキュリティ#07:実装編2「Palo alto Networks」

境界型セキュリティと真逆の考え方で守るゼロトラスト。この概念を具体化する製品が続々と登場するものの各社で開発方針が異なり、どの企業も「うちのが一番!」と張り合っている状況です。

そんな企業のひとつ「Palo alto Networks」のゼロトラスト戦略について紹介します。

Palo alto Networksが考えるゼロトラストセキュリティ

米国の多国籍サイバーセキュリティ企業である「Palo Alto Networks(パロアルトネットワークス)」。
2017年には、なんと「ゼロトラスト」コンセプトの発案者であるJohn Kindervag氏が、field CTOとしてPalo Alto Networksに転職しています。Kindervag氏によると、その転職理由はゼロトラストの素晴らしさを理解した最初のテクノロジー企業がPalo Alto Networksであり、ゼロトラストの実現に最も注力している企業だったという。

ゼロトラストの提唱者も認めるゼロトラストセキュリティのリーダー企業、Palo Alto Networksの考え方について紹介していきましょう。

ゼロトラストとはエンドツーエンドの戦略

Palo Alto Networksの考えるゼロトラストセキュリティを端的に表現するキーワードが、“エンドツーエンド”。
Palo Alto Networksは「ゼロトラストとはサイバーセキュリティ“戦略”であり、それはインフラストラクチャにまたがるエンドツーエンドでの戦略である」と強調しています。

エンドツーエンドとは具体的にどのような範囲を指すのでしょうか?

Palo Alto Networksの創業者・CTOであるNir Zuk氏は、「Zero Trust Throughout Your Infrastructure」の中で、守るべきインフラの範囲を例示しています。

引用:Zero Trust Throughout Your Infrastructure

守るべきインフラ範囲

  • アプリケーション
  • エンドポイントとワークロード
  • ユーザー
  • インターネット
  • パブリッククラウド
  • Webサーバー
  • コンテナとVM
  • PaaS

ゼロトラストのデザインコンセプト

ゼロトラストというセキュリティ戦略を各組織で策定するにあたり、Palo Alto Networksは次の4段階のデザインコンセプト(設計方針)を用いることを提唱しています。

  1. ビジネスのゴールと成果にフォーカスすること
  2. 内部から外部の順で設計すること
  3. 誰が何にアクセスすべきかを定義すること
  4. すべてのトラフィックを検査してログを取ること

この4つのコンセプトのうち、最初にやるべき項目かつ最も重要な項目が、第1段階で「企業として実現したいゴールや目的を描くこと」としています。

 

Palo alto Networksが提案するゼロトラスト実装ステップ

Palo alto Networksは、「5 Steps To Zero Trust」でゼロトラストの実装に関する「5ステップ方法論」を提唱しています。

引用:5 Steps To Zero Trust

ゼロトラストの実装は、難易度が高くコストがかかるという理由から、二の足を踏む企業が少なくありません。
ゼロトラストネットワークをシンプルかつコスト効率良く、加えて業務を中断させることなく構築するために、「5ステップ方法論」を活用してほしいとしています。

具体的な5つのステップは次のとおりです。

ステップ1:保護対象領域を定義する

保護すべき機密データを定義します。保護対象領域は、攻撃対象領域に比べてはるかに狭いものの、データだけでなくネットワーク内の他の要素も保護対象に含める必要があります。
次のような要素も保護対象領域に含めます。

  • データ:カードの支払いに関する情報・個人の医療情報・個人を識別できるあらゆる情報・知的財産
  • アプリケーション:市販のアプリケーション・自社開発アプリケーション
  • 資産:SCADA制御システム・POS端末・医療機器・IoTデバイス
  • サービス:DNS・DHCP・Active Directory

ステップ2:トランザクションフローのマッピングを行う

ネットワーク上を移動するトラフィックの保護方法は、トラフィックの移動方法によって決まるため、システム構成の把握が非常に重要です。
ネットワーク内のトランザクションフローをスキャンしたりマッピングしたりすることで、ネットワーク上の他のリソースとの相互作用を明らかにできます。

ステップ3:ゼロトラストネットワークのアーキテクチャを設計する

ゼロトラストネットワークは、汎用的に設計するものではなく、自社独自にカスタム設計するものです。
仮に、ネットワークアーキテクチャの“お手本”を入手したとしても、それを自社での使用に適したものにカスタマイズする必要があります。
ただし、ステップ1で保護対象領域を定義し、ステップ2でフローをマッピングすることで、ステップ3のゼロトラストアーキテクチャの姿が明らかになるとしています。

ステップ4:ゼロトラストポリシーを作成する

次に、ゼロトラストポリシーを作成します。具体的には、ネットワークやポリシーについて、「だれが」・「なにを」・「いつ」・「どこで」・「なぜ」・「どのようにして」実現するのかを検討します。

例えば、あるリソースが別のリソースと通信できるようにする場合は、そのトラフィックをホワイトリストに登録するようにします。

ステップ5:ネットワークの監視・管理を行う

最後のステップは、ネットワークの監視と管理です。ゼロトラストの運用面に重点を置きながら、通信ログを継続的に確認します。「5 Steps to a Zero Trust Environment」でも、ネットワーク上のすべてのトラフィックを検査してログに記録することが重要だと繰り返し述べられています。

 

Palo alto Networksの製品でゼロトラストを実現

最後に、実際にPalo alto Networks製品を実装してゼロトラストモデルを取り入れた企業について紹介します。

米ニューヨーク州のセントローレンス大学(St. Lawrence University)

セントローレンスカレッジは、10,000人の学生を有し、フルタイムで100以上のプログラムを提供していると言います。セントローレンス大学には、キャンパス内外のビジネス・教育リソースへアクセスが必要な学生や従業員が多数おり、それらのユーザーに対しては、オープンなネットワークの提供が不可欠であることは言うまでもありません。
一方、セントローレンス大学の従来のファイアウォールでは、高度なサイバー攻撃が増加しているにも関わらず、限定的な保護しか提供できていなかったことが課題となっていました。
セントローレンス大学の最高情報セキュリティ責任者、David Myers氏は、過去の職務経験でPalo alto Networksの製品を導入した経験があり、同社の次世代ファイアウォールの機能を知っていたため、協業するベンダーとしてPalo alto Networksを選ぶことに迷いがなかったと言います。

Myers氏とPalo alto Networksが協力してまず行ったことは、ネットワークトラフィックの調査を行い、脆弱なアプリケーションと脅威を分析する「セキュリティライフサイクルレビュー(SLR)」の実行でした。

結果として、セントローレンス大学は古いファイアウォールを廃止。
必要に応じてリソースへのアクセスを許可できる柔軟性を備えながら、ネットワーク・エンドポイント・クラウド全体でゼロトラストの考え方を取り入れられる基盤を構築しました。

 

ゼロトラストの生みの親が転職しただけあって、そのフィロソフィーはゼロトラストの導入を検討する上でとても参考になるのではないでしょうか?
デザインコンセプトや「5ステップ方法論」を頭に入れておくのが良いでしょう。

 

次回、「「ゼロから学ぶ」ゼロトラスト#8」では、「Illumio」のゼロトラスト戦略について紹介します。

 

【執筆:編集Gp コンドウマリ】

関連記事

カテゴリー:

ナレッジ情シス知恵袋

情シス求人

  1. チームメンバーで作字やってみた#1

ページ上部へ戻る