ゼロトラストをAzureADで実装する(第2話目)

ゼロトラスト(ネットワーク)と言いましたか?

境界線モデルに基づく防御は、約 10 年間、最新の脅威に対する効果がほとんどないことが実証されてきました – 序章ではいくつかの図を紹介しました。この間、脅威は増加の一途をたどっています。機密情報を盗み出すことを目的とした高度持続的脅威(APT)や、最近では、「Wannacry」のようなランサムウェアや「(Not)Petya」のような破壊的なマルウェアの形で最高潮に達しています。

デジタルトランスフォーメーションに伴い、社会全体がますますさらされていることは残念ながら明らかです。攻撃の数が爆発的に増加している中で、デジタル・リスクに対する認識は今日でも非常に不十分です。データの大規模なデジタル化とネットワークの相互接続性の高まりを背景に、コンピュータシステムの安全性を確保することは、非常に現実的なシステミックリスクにさらされている企業にとって必須であり、重要な課題となっています。

企業自身が導入したセキュリティソリューションにもかかわらず、企業自身がその回復力に自信を持っていません(平均 10 以上)。これは、もし必要であれば、既存のアプローチがもはや正しいものではないことを示す傾向があります。

最近、「ゼロトラスト・ネットワーク」や「ゼロトラスト・モデル」という言葉が再び話題になっていますが、具体的にはどのようなものなのでしょうか。モビリティや数値的遊牧民のシナリオを持つ「新しい世界」とクラウドアプリケーションを考慮した情報システムの必要かつ不可避的な開放によって増大したセキュリティ問題は、新しい「ゼロトラスト」のアプローチでどのように解決できるのでしょうか?

そのためには、「ゼロトラスト」のビジョンとそこから派生した大原則からスタートすることを提案します。

ビジョンと理念

上述したForrester社のビジョンの再解釈から、モデルが次のような大まかな原則に基づいていることが推察できます。

  1. すべてのリソースは安全でなければなりません。ここでいうリソースという用語は広い意味で捉えられ、アクセスされるリソース(データ、アプリケーション、サービスなど)だけでなく、それらにアクセスするリソース(デバイス、サービスなど)も含まれます。リソースをその感度に応じて管理するという概念は、後になってから登場します。
  2. 通信フローは、別段の証明がない限り、信頼性がないと考えなければならない。すべてのトラフィックは、疑わしい動作を検出するために検査され、ログに記録されなければなりません。
  3. 場所やホスティングモデルは関係ありません。つまり、リソースにアクセスする場所がどこであろうと、リソース自体がどこにあろうと、アクセス制御は同じでなければならないということです。2009年にはホスティング(アウトソーシング)が主流であり、クラウドは黎明期にあったとしても、この原則はクラウドでホストされているアプリケーションやその他のリソースにも適用されることは明らかです。
  4. リソースへのアクセスは限定的かつ大幅に強化されなければならず、特権的なアイデンティティ(パワーアカウント)に特別な配慮が必要です。これは、アクセス制御が全体的な方法で実施され、特権的なアカウントがより特別に保護され、精査されることを意味します。

この比較的一般的なアプローチは2009年に初めて登場し、当初は「ゼロトラスト・ネットワーク」または「ZTN」と非常に論理的に呼ばれるネットワーク指向の実装の形で翻訳されていました。これが次のセクションの目的です。

理論から初の実践まで

Forrester理論からの最初の実装は、「ゼロトラスト」の原則を内部ネットワークアーキテクチャに適応させることで行われました。提案されたソリューションは、以下の3つの柱に基づいています。

  1. ネットワークのセグメンテーションにより、感度に応じて異なるゾーンのリソースを分離します。
  2. 中央ゲートウェイによる異なるゾーンへのアクセス制御で、アクセスしたユーザーとリソースに応じてアクセス制御戦略が定義されます。
  3. ネットワークフロー制御システム。

Forresterは、2015年に発表した「ゼロトラスト・ネットワークから実践までの5つのステップ」の中で、センシティブなデータソース(選択された用語では「毒性」と呼ばれる)の識別、トランザクションフローのマッピング、セグメンテーションアーキテクチャ、アクセスルールの定義、トラフィック分析に基づく更新など、ZTNソリューションを実装するための5つのステップを詳細に説明しています。

これらの原則に基づき、大手ネットワークソリューションプロバイダは、ファイアウォールソリューションをよりインテリジェントなバージョン(Next Generation FirewallまたはNGFW)にアップグレードしたり、集中制御システムを追加したりすることで、ZTNソリューションのコンポーネントを実装するためのレンガを提案してきました。また、リソースに最も近いネットワークのマイクロセグメンテーションを実装する新しいソリューションも登場しています。

このアプローチは、2000年半ばにMicrosoftが提唱して実装したものであり、トランスポートモードでのIPsecの一般的な実装とActive Directoryポリシーによる集中制御に基づいたソリューションで、目新しいものではありません。

しかし、このアプローチは、内部ネットワークのセキュリティに純粋に焦点を当てたままであり、アイデンティティやデバイスの安全性、攻撃検知(とそれに伴う対応)など、セキュリティに対する現代的なアプローチにおける重要な要素を無視しているという事実によって、制限的なものとなっています。この最初の進化の間に、「ゼロトラスト」は、Forresterの言葉を借りれば、「主にネットワークのセグメンテーションと、そのセグメンテーションを実施するための明白な手段である次世代ファイアウォール(NGFW)」に関連するようになりました。

メモ
Gartner社によると、NGFW(Next-Generation Firewall)とは、「ファイアウォールの外部からアプリケーションレベルの検査、侵入防止、インテリジェンス収集を追加することで、ポート/プロトコルの検査と遮断を超える「ディープパケット検査ファイアウォール」である」としている。

第二の 「反復」

Doug BarthとEvan Gilmanの著書『ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計』の詳細なビジョンは、以前の原則を再検討し、より発展したものであることを証明しています。

中央制御システム(コントロールプレーン)の本質的な役割を果たし、データプレーンの一部としてすべてのリソースを定義します。すべてのアクセス要求は中央制御システムを通過し、デバイスとユーザーからの安全で認証済みの接続のみを受け入れます。

データプレーン内のリソースへのアクセスは、アクセスされるリソースとアクセスルールに応じて、許可または拒否されます。それらは、ユーザーのアイデンティティ・パラメータ(組織内での役割)、デバイスの種類、アクセス時間、物理的な場所などの動的な基準を考慮することができます。ユーザーは、たとえば多要素認証などのより強力な認証方法を提供するように求められる場合があります。ネットワークの観点からは、データプレーンのリソースへのパスは、クライアントからのトラフィックを受け入れるように動的に構成されます。

最初の重要な要素は、条件付きアクセス制御の導入です。

著者によると:

基本的な考え方は、権威のあるソース、つまり信頼できる第三者に、さまざまな入力に基づいて、リアルタイムで認証、権限付与、アクセス調整を行う能力が付与されているということです。


このより最近の、そしてはるかに包括的なアプローチでは、ユーザーとデバイスの両方のアイデンティティの概念という新しい重要な要素が導入されています。

  • アイデンティティの信頼は、認証の責任、権限、強度を持つディレクトリまたはディレクトリによる綿密で堅牢なアイデンティティ管理に基づいている。後者は、複雑さが制御されるべきパスワードに基づくもの、FIDO2規格に基づくパスワードなしの認証に基づくもの、生体認証、多要素認証などが考えられる。
  • デバイスのセキュリティは、中央制御システムによる評価のための追加の信頼基準である、OSブートシーケンス(セキュアブート)、セキュア接続のためのX.509証明書認証、インベントリまたは管理ツール内のデバイスの存在などを確保するための信頼性の高いプラットフォームモジュール(TPM)の使用によって対処されている。

反映がより広い視野に向かって進化し始めているとはいえ、それはまだ内部ネットワークに向けられたものであることに変わりはありません。例えば、アクセス制御は 802.1x のネットワークレベルで行われており、中央制御システムはネットワークフローのオープンに対応しています。さらに、クラウドとその組織(連合)情報システムへの影響という重要なゲームチェンジャー、検知と能動的な脅威防御のための人工知能(AI)の導入と効率化は、まだ考慮に入れられていません。

より現実に即したビジョンを目指して

2009年に「ゼロトラスト」という用語が導入され、その後2015年にネットワークセキュリティを中心としたより実践的な実装が導入されて以来、Forresterの2018年のビジョンは大きく進化し、データ(ゼロトラストデータ)、アイデンティティ(ゼロトラストピープル)、デバイス(ゼロトラストデバイス)、ワークロード、脅威検知の部分とレスポンスの自動化など、よりホリスティックなアプローチを展開しています。

このコンセプトは、データの分類と保護(暗号化による)、アイデンティティ管理と保護、特に特権アカウントの管理、アプリケーションの保護、モノのインターネット(IoT)を含むすべてのデバイスの保護といった主要なセキュリティ原則に再焦点を当て、内部ネットワークの保護をはるかに超えたものとなっています。

この幅広いアプローチは、Forresterのホワイトペーパー「ゼロトラストネットワーク、ロードマップへの5つのステップ:セキュリティアーキテクチャと運用のプレイブック」(2018年10月1日)の新版に記載されており、(最後に)方程式の中にクラウドを導入しています(「世界は変わった」のセクションを参照)。

条件付きアクセス制御は依然として重要で中心的な要素ですが、暗号化によるデータの分類と保護に重点が置かれており、そのアクセスは、内部でホストされている場合は、マイクロセグメンテーションのアプローチによって制御され、制約されています。脅威検知は、SOC(Security Operations Center)プロセスとその自動化の強化についての議論とともに紹介されています。

最後に、モビリティ、デバイスの拡散、そして最も多様な用途におけるクラウドの一般化が生み出す新たな課題を考察することで、これまでのネットワークに縛られた視野を超えた考察が開かれます。

コメント

タイトルとURLをコピーしました