「ゼロから学ぶ」ゼロトラストセキュリティ#07:実装編2「Palo alto Networks」

境界型セキュリティと真逆の考え方で守るゼロトラスト。この概念を具体化する製品が続々と登場するものの各社で開発方針が異なり、どの企業も「うちのが一番!」と張り合っている状況です。

そんな企業のひとつ「Palo alto Networks」のゼロトラスト戦略について紹介します。

Palo alto Networksが考えるゼロトラストセキュリティ

米国の多国籍サイバーセキュリティ企業である「Palo Alto Networks(パロアルトネットワークス)」。
2017年には、なんと「ゼロトラスト」コンセプトの発案者であるJohn Kindervag氏が、field CTOとしてPalo Alto Networksに転職しています。Kindervag氏によると、その転職理由はゼロトラストの素晴らしさを理解した最初のテクノロジー企業がPalo Alto Networksであり、ゼロトラストの実現に最も注力している企業だったという。

ゼロトラストの提唱者も認めるゼロトラストセキュリティのリーダー企業、Palo Alto Networksの考え方について紹介していきましょう。

ゼロトラストとはエンドツーエンドの戦略

Palo Alto Networksの考えるゼロトラストセキュリティを端的に表現するキーワードが、“エンドツーエンド”。
Palo Alto Networksは「ゼロトラストとはサイバーセキュリティ“戦略”であり、それはインフラストラクチャにまたがるエンドツーエンドでの戦略である」と強調しています。

エンドツーエンドとは具体的にどのような範囲を指すのでしょうか?

Palo Alto Networksの創業者・CTOであるNir Zuk氏は、「Zero Trust Throughout Your Infrastructure」の中で、守るべきインフラの範囲を例示しています。

引用:Zero Trust Throughout Your Infrastructure

守るべきインフラ範囲

  • アプリケーション
  • エンドポイントとワークロード
  • ユーザー
  • インターネット
  • パブリッククラウド
  • Webサーバー
  • コンテナとVM
  • PaaS

ゼロトラストのデザインコンセプト

ゼロトラストというセキュリティ戦略を各組織で策定するにあたり、Palo Alto Networksは次の4段階のデザインコンセプト(設計方針)を用いることを提唱しています。

  1. ビジネスのゴールと成果にフォーカスすること
  2. 内部から外部の順で設計すること
  3. 誰が何にアクセスすべきかを定義すること
  4. すべてのトラフィックを検査してログを取ること

この4つのコンセプトのうち、最初にやるべき項目かつ最も重要な項目が、第1段階で「企業として実現したいゴールや目的を描くこと」としています。

 

Palo alto Networksが提案するゼロトラスト実装ステップ

Palo alto Networksは、「5 Steps To Zero Trust」でゼロトラストの実装に関する「5ステップ方法論」を提唱しています。

引用:5 Steps To Zero Trust

ゼロトラストの実装は、難易度が高くコストがかかるという理由から、二の足を踏む企業が少なくありません。
ゼロトラストネットワークをシンプルかつコスト効率良く、加えて業務を中断させることなく構築するために、「5ステップ方法論」を活用してほしいとしています。

具体的な5つのステップは次のとおりです。

ステップ1:保護対象領域を定義する

保護すべき機密データを定義します。保護対象領域は、攻撃対象領域に比べてはるかに狭いものの、データだけでなくネットワーク内の他の要素も保護対象に含める必要があります。
次のような要素も保護対象領域に含めます。

  • データ:カードの支払いに関する情報・個人の医療情報・個人を識別できるあらゆる情報・知的財産
  • アプリケーション:市販のアプリケーション・自社開発アプリケーション
  • 資産:SCADA制御システム・POS端末・医療機器・IoTデバイス
  • サービス:DNS・DHCP・Active Directory

ステップ2:トランザクションフローのマッピングを行う

ネットワーク上を移動するトラフィックの保護方法は、トラフィックの移動方法によって決まるため、システム構成の把握が非常に重要です。
ネットワーク内のトランザクションフローをスキャンしたりマッピングしたりすることで、ネットワーク上の他のリソースとの相互作用を明らかにできます。

ステップ3:ゼロトラストネットワークのアーキテクチャを設計する

ゼロトラストネットワークは、汎用的に設計するものではなく、自社独自にカスタム設計するものです。
仮に、ネットワークアーキテクチャの“お手本”を入手したとしても、それを自社での使用に適したものにカスタマイズする必要があります。
ただし、ステップ1で保護対象領域を定義し、ステップ2でフローをマッピングすることで、ステップ3のゼロトラストアーキテクチャの姿が明らかになるとしています。

ステップ4:ゼロトラストポリシーを作成する

次に、ゼロトラストポリシーを作成します。具体的には、ネットワークやポリシーについて、「だれが」・「なにを」・「いつ」・「どこで」・「なぜ」・「どのようにして」実現するのかを検討します。

例えば、あるリソースが別のリソースと通信できるようにする場合は、そのトラフィックをホワイトリストに登録するようにします。

ステップ5:ネットワークの監視・管理を行う

最後のステップは、ネットワークの監視と管理です。ゼロトラストの運用面に重点を置きながら、通信ログを継続的に確認します。「5 Steps to a Zero Trust Environment」でも、ネットワーク上のすべてのトラフィックを検査してログに記録することが重要だと繰り返し述べられています。

 

Palo alto Networksの製品でゼロトラストを実現

最後に、実際にPalo alto Networks製品を実装してゼロトラストモデルを取り入れた企業について紹介します。

米ニューヨーク州のセントローレンス大学(St. Lawrence University)

セントローレンスカレッジは、10,000人の学生を有し、フルタイムで100以上のプログラムを提供していると言います。セントローレンス大学には、キャンパス内外のビジネス・教育リソースへアクセスが必要な学生や従業員が多数おり、それらのユーザーに対しては、オープンなネットワークの提供が不可欠であることは言うまでもありません。
一方、セントローレンス大学の従来のファイアウォールでは、高度なサイバー攻撃が増加しているにも関わらず、限定的な保護しか提供できていなかったことが課題となっていました。
セントローレンス大学の最高情報セキュリティ責任者、David Myers氏は、過去の職務経験でPalo alto Networksの製品を導入した経験があり、同社の次世代ファイアウォールの機能を知っていたため、協業するベンダーとしてPalo alto Networksを選ぶことに迷いがなかったと言います。

Myers氏とPalo alto Networksが協力してまず行ったことは、ネットワークトラフィックの調査を行い、脆弱なアプリケーションと脅威を分析する「セキュリティライフサイクルレビュー(SLR)」の実行でした。

結果として、セントローレンス大学は古いファイアウォールを廃止。
必要に応じてリソースへのアクセスを許可できる柔軟性を備えながら、ネットワーク・エンドポイント・クラウド全体でゼロトラストの考え方を取り入れられる基盤を構築しました。

 

ゼロトラストの生みの親が転職しただけあって、そのフィロソフィーはゼロトラストの導入を検討する上でとても参考になるのではないでしょうか?
デザインコンセプトや「5ステップ方法論」を頭に入れておくのが良いでしょう。

 

次回、「「ゼロから学ぶ」ゼロトラスト#8」では、「Illumio」のゼロトラスト戦略について紹介します。

 

【執筆:編集Gp コンドウマリ】

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 松田軽太の「一人情シスのすゝめ」#21:システム内製化は言うほど簡単じゃない!?

  2. シリーズ【SSL可視化とセキュリティ】3)クラウドサービス活用時代における ネットワークセキュリティの必要性

  3. 「ゼロから学ぶ」セキュリティ知識#01:そもそも脆弱性って何?

  4. DX時代の情報システム部門をアップデートする『情シスサミット 2021 ONLINE』開催

  5. シリーズ【企業の情報漏洩の原因】#03 インターネットサービスの利用に伴う情報漏洩パターンと対策-is702

  6. Are you ready for DX? あなたは「DXの本質」を理解してますか?

  7. セキュリティ事故が発生した場合の被害額って想像できてますか!?~JNSAレポートより~

  8. 松田軽太の「一人情シスのすゝめ」#20:PDCAはKPTと合わせ技で行うと効果的!?

  9. 株式会社ビジネス・アーキテクツ「社内SE/ヘルプデスク/インフラエンジニア」ポジションのご紹介[PR]

  10. Microsoft 社 Internet Explorer のサポート終了(EOS)について-IPA

プレスリリース

登録されているプレスリリースはございません。

関連サービス

IT-Manager AS

IT-Manager SD

情シス求人

  1. 第二創業期を基盤から支えます。大手クライアント中心。リモートワーク可/フレックス求人! 『サイ…
  2. Findyで1人目のコーポレートエンジニアを募集!会社と組織の基盤づくりをお任せします。 「テ…
  3. 圧倒的な成長、ITによる事業貢献を実現したいあなたへ。 皆さんもスポーツ用品やアウトドア用品で…
  4. あなたのやりたいことを、叶えてください! 今回は、千代田区岩本町に本社を構える株式会社クリアス…
  5. 帰宅後や休日の束の間、ゲームでストレス解消! なんて方も多いのではないでしょうか? 今…
ページ上部へ戻る