ゼロトラストをAzureADで実装する(第1話目)

免責事項

このホワイトペーパー記事は、「ゼロトラスト(ネットワーク)」という用語を、マイクロソフトのクラウドサービスであるAzure Active Directory(Azure AD)や、他のクラウドベースのサービス、製品、またはマイクロソフトのセキュリティ技術を利用した実装アプローチとともに考察したものです。

序論

先取り

境界線アプローチは時代遅れだ!

境界線保護のアプローチは、境界線を定義し、それを制御することで、敵対的とみなされる外部に対して水密性を持たせ、内部は信頼されているとみなされるようにします。

城の防御原理との類似性はしばしば使用されます:城は高い壁、コーナーに配置された塔を接続する城壁に囲まれています。入り口は、一連のメカニズムによって制御される単一のポータルによって作成されます:橋、跳ね橋、そしてしばしば城の外防備ですらあります。全体は堀で囲まれている場合があり、堀はしばしば水で満たされており、掘り起こす作業による攻撃のリスクを制限します。

しかし、この周囲の防御は、周囲の人間が、すべて信頼できると思い込んでしまうという固有の弱点に悩まされます。古典的な攻撃は、防御システムを下げることによってアクセスを可能にする城の住人を買収することです。そうすれば、敵軍は外部の防衛線を破壊しようと頑張らなくても、開口部から侵入できるようになります。

この例は、情報システムの境界保護に転用できます。DMZは、組織の敵対的な外部(インターネット)と内部ネットワークの間の境界です。ファイアウォールは、インバウンドおよびアウトバウンドのフローをフィルタリングおよび制御するメカニズムを実装しています。 ネットワークアドレス変換(NAT)メカニズムにより、ネットワーク内のホストは直接表示されなくても外部リソース(Webサイト、アプリケーション、またはクラウドサービス)にアクセスできます。ファイアウォールによって制御されるエントリポイントのみにアクセスでき、内部リソースとホストを非表示にします。

この保護システムの欠陥は、たとえフィルタリングされたとしても、内部ホストと外部サービスの間に双方向通信があることです。内部にあるコンピューターは非常に脆弱になり、侵害される可能性があります。ユーザーがセキュリティ上の欠陥を悪用したマルウェアのダウンロードを誘発するリンクをクリックするように扇動されると、内部の信頼されたゾーンにあるデバイスが危険にさらされ、攻撃者のためのゲートウェイとして機能するようになります。狡猾な手口で城の住人を買収し、彼を利用して資源にアクセスしたり、要塞の門を開けさせたりしていたようなものです。

次の段階では、攻撃者はその場に留まり、横の動きによって妥協の作業を続け、特権のエスカレーションによってより高い権利を獲得しようとします。これにより、より機密性の高い情報にアクセスすることが可能となり、最終的には情報システムを完全に掌握することができるようになります。

ランサムウェア「WannaCry」の例は雄弁です:侵害のベクトルが確認されていない場合でも(おそらくフィッシングメールです)、「DoublePulsar」マルウェアが挿入され、カーネルモードで実行され、コンピューターのローカルディスクを暗号化します。「WannaCry」は、SMB v1プロトコルの古いバージョン(EternalBlueなど)の欠陥を利用して組織の内部ネットワークに伝播し、2か月以上前にリリースされていても、まだセキュリティパッチを受け取っていないすべてのシステムに感染します。拡散は非常に高速で、幸いにも「キルスイッチ」の発見によって阻止されましたが、結果は途方もないもので、174か国で30万人から40万人の犠牲者がいると推定されています。

「WannaCry」に対して、組織はセキュリティパッチを更新することで迅速に対応しました。 これにより、1か月半後に現れた「(not)Petya」の損傷が制限されました。その効果はさらに破壊的です。

これは、新たな脅威に対する境界セキュリティモデルの極端な脆弱性を示しており、単一のエントリーポイントを作成すると、内部ネットワーク全体が感染する可能性があることを示し、セキュリティモデルの根本的な見直しを提唱しています。

境界保護モデルの陳腐化を認識することは新しいことではありませんが、概念的なままではなく、解決策に分解できるような新しいアプローチを設計する必要があります。

2009年、Forrester社はこの現実を認め、いくつかの簡単なコンセプトをまとめたレポートを発表しました。

本報告書のタイトル「歯ごたえのないセンター:情報セキュリティのゼロトラスト・モデル」は、情報システムがカリカリ飴のような、外部ネットワークとの境界であるハードシェルで保護される一方で、内部ネットワーク上での通信を妨げることのないようにソフトな内部を提供しなければならないという事実に言及したものです。

この報告書では、Forresterが「ゼロトラスト」という言葉を造語にしていますが、これは以下の引用でまとめられているモデルの文脈から来ています。

ゼロトラストでは、すべてのネットワークトラフィックは信頼されません。つまり、セキュリティの専門家は、場所に関係なくすべてのリソースに安全にアクセスし、最小特権の戦略を採用し、アクセス制御を厳密に実施し、すべてのトラフィックを検査してログに記録する必要があります。


この総括は非常に一般的なままで、分析する必要があります。

私たちは、Doug BarthとEvan Gilmanの著書『ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計』にも同じ「モットー」を見出します。

データセンター内のシステムやトラフィックが暗黙のうちに信頼できるという前提には欠陥があります。現代のネットワークや使用パターンは、何年も前に境界線の防御を意味していたようなものではなくなっています。その結果、「安全な」インフラストラクチャ内を自由に移動することは、1つのホストやリンクが侵害されれば、しばしば些細なことになります。


深層防御の概念に沿って複数の防御層を構成しても、最終的な結果は同じです。一旦殻が貫通すると、情報システムの柔らかい腹が露出する、すなわち「菓子の柔らかい内部」が露出することになります。

世界は変わった

変化の波

今日までに、3つの大きな変化の波が組織に影響を与え、境界線アプローチの陳腐化をさらに助長しました。

  1. 情報技術(IT)の合理化とアウトソーシング
  2. APIの経済
  3. ITのコンシューマ化

これらの3つの「津波」は主要な業界トレンドを形成し、現在完全に拡大しているモノのインターネット(IoT)とともに、組織の展望の不可欠な部分です。テクノロジーとその利用は、ビジネスと個人の世界、物理的な世界とデジタルの世界、ファイアウォールの内側と外側など、境界線を曖昧にしていた歴史的なパラダイムに変化をもたらしました。

この体系的な境界ぼかしは、新しいパラダイムを形作り、推進します。

 

情報技術(IT)の合理化とアウトソーシング

経済的な圧力は、「より少ない資源でより多くのことをする」という生産性の必要性、俊敏性の向上の必要性、市場投入までの時間と価値を生み出すまでの時間の加速への期待など、私たちの生き方とビジネスのやり方を変えていきます。

組織は、「スリム化」し、目標やミッションに対してより的確な対応ができるようにならざるを得ません。このような状況下では、組織が生き残るためには決定的な変化が必要であり、多くの場合、何らかの方法でデジタルトランスフォーメーションを実行するしかありません(次のセクションを参照)。

経済のデジタル化が進む中、組織は、最も効果的に適応するために、どのように活動を再構築し、再配分し、さらには再定義するかを決定しなければなりません。この意味で、クラウドは主要なゲームチェンジャーであり、アクティビティの性質を形成し、壮大なグローバル成長を可能にします。 クラウドは根本的な変化をもたらします。それは破壊です。

多くの組織では、新しいアプリケーションにパブリッククラウドを利用し始めており(社内のITが一致しているかどうかは別として、後述する「シャドーIT」現象を生み出しています)、すでに多くの組織では、一般的な活動にすぐに使えるSaaS(Software-As-Service)ソリューションの利用を選択しています(例:Office/Microsoft 365、Salesforce.com、Workdayなど)。

このようにして、これらの組織は、より多くのコンピューティング機能をクラウドサービスプロバイダがホストしながら、コンピューティング資産の一部をローカルで運用する「ハイブリッド展開」の新時代の一部となっています。情報技術と関連リソースの合理化とアウトソーシングという文脈の中で、クラウド経済は、通常のファイアウォールを超えた新たな境界線を持つ、事実上の組織のためのフェデレーテッド・コンピューティングを生み出します。

API経済

独立したドメインの世界、つまり旧世界では、組織は商用およびビジネスソリューションに必要なすべてのコンポーネントを環境内に展開する必要がありました。クラウド、フェデレーテッド・コンピューティング、さまざまなクラウドサービスとしてのインフラストラクチャ(IaaS)およびサービスとしてのプラットフォーム(PaaS)オファリングの出現により、これらの同じ組織がこれらのコンポーネントの一部を購入することを選択できるようになりました。 サービスの形で提供することで、展開、さらには構築に必要な時間、リソース、費用をすべて自分で節約できます。

クラウドエコシステムの構成要素が具体化すると、すべての組織は、これらのモジュールを使用するクラウドサービスの形で、独自のシステム、アプリケーション、またはサービス(またはその一部)を作成することができます。その結果、組織は、いわゆるオープンイノベーションを通じて、他の組織、アプリケーション、サービスが、適切なAPI管理を通じて、順番に消費することができるシンプルなRESTful APIを介して、その「専門的な」サービスを公開することができます。

これにより、組織は自分たちが最も得意とすることに集中し、不要な開発を避け、競争力を最大化することができます。

ITのコンシューマ化

もう一つの大きな発展は、ラップトップ、スマートフォン、タブレット、ハイブリッドを含むデバイスが近年、より手頃な価格になっているため、当然のことながら、増殖しているという事実です。

ユビキタス化した携帯電話や無線ネットワークも同様です。ソーシャルネットワーク(Facebook、Instagram、LinkedInなど)とその企業の対応するもの、あるいはCSN(Yammerなど)は、人々が情報を得てコミュニケーションをとる方法を変えています。

誰もが、コンテンツがアクセス可能であり、サービスがこれらすべてのデバイスや環境で透過的に動作することを望んでいます(そして期待しています)。家庭でも職場でもあらゆる場所でも、誰もがますますつながりを深めており、個人的なコミュニケーションと仕事上のコミュニケーションが互いに区別がつかなくなるほどになっています。

テクノロジーが個人の生活の中でますます重要な役割を果たすようになるにつれ、プロフェッショナルなテクノロジーソリューションへの期待も高まっています。

人々は強力で手頃な価格のコンピュータ、ノートパソコン、タブレットにアクセスできるようになり、モバイルデバイスの利用が増えています。彼らは永続的な接続性を期待しており、ソーシャル(企業)ネットワークを利用して新しい方法で接続しています。結局のところ、彼らは日々使用するテクノロジーにより多くの選択肢、選択肢、柔軟性を備えており、このテクノロジーが職業生活に広まるにつれて、個人の時間と職業の時間の境界は薄れてきています。人々は仕事で使用するテクノロジーを選択できることを望んでおり、生活のあらゆる面で同じテクノロジーを使用することをますます望んでいます。

「ITのコンシューマ化」とは、消費者の技術と消費者の行動が、さまざまな意味で組織内の情報技術の革新を推進する現在の現象です。人々は、個人生活において技術革新をより快適に感じるようになると、職業生活においても同様の経験を期待するようになります。これは、例えば、BYOS(Bring Your Own Software)の概念にも表れています。

従業員は、i) 職場でも自宅でもモバイルでも、ii) 管理されているかどうかに関わらず、所有しているかどうかに関わらず、どのデバイスからでも、消費の世界で定められた高い基準を満たすユーザーインターフェースで、どこからでもすべてのものにアクセスできることを期待しているのは間違いありません。アジリティを向上させ、継続的な変化の文化を醸成することで、可能なことを継続的に再定義し、新たな最適化されたオペレーティング・モデルを展開できるようにすることは、これらの組織にとって非常に重要です。これらは、顧客の期待をよりよく理解し、既存の顧客体験を改善し、新しい顧客体験を創造し、新しいビジネスモデルを発明し、最終的には新たな収益源を生み出すことができるようになるために不可欠な基礎となります。

そのため、デジタルトランスフォーメーションは、競争が激化する市場において、成長、イノベーション、差別化の重要な要素となります。

動きのあるデジタルトランスフォーメーション

ほとんどの組織は、市場にあらゆる種類と規模の破壊的な行為者が出現したことにより、大きな課題に直面しており、生き残りをかけて変革を余儀なくされています。

このような状況下では、クラウドの利用が増加していること、デバイスの種類が増えていること、モビリティのシナリオが増えていることから、処理やデータの一部が事実上ファイアウォールの安心できる境界線の外にあることから、適切なセキュリティを提供するための新たな課題が発生しています。

このホワイトペーパーの目的

上記を踏まえて、本ホワイトペーパーでは、まず、①「ゼロトラスト」という用語とその構造的原則の中に含まれるものを再検討し、次に、②これらの原則がエンドツーエンドのセキュリティを向上させるためにコンピュータ環境にどのように適用されるかを説明し、最後に、③これらの原則をAzure Active Directory(Azure AD)とマイクロソフトのセキュリティサービス、製品、および技術を用いて具体的にどのように変換するかを議論することを提案します。

このホワイトペーパーの目的ではない事項

このホワイトペーパーの目的は、Azure ADの紹介や、マイクロソフトが提供するすべてのセキュリティサービス、製品、テクノロジーの包括的な説明、あるいは「ゼロトラスト」ビジョンの実現に必要なサービス、製品、テクノロジーを実装するためのステップ・バイ・ステップのガイドを構成するものではありません。

これは、利用可能な詳細なオンラインドキュメントに取って代わることを意図したものではなく、むしろ「ゼロトラスト」アプローチの実装に統合できるサービス、製品、技術の概要を提供することを目的としています – マイクロソフトの公式ドキュメントへの多くのリンクや、カバーされているトピックのそれぞれを深めることができるブログ記事を提供しています。

このホワイトペーパーの構成

上記の目的をカバーするために、本書は以下のセクションに沿って構成されています。

  • ゼロトラスト(ネットワーク)と言いましたか?
  • マイクロソフトのゼロトラスト・アプローチ
  • マイクロソフト ゼロトラスト・アプローチの実装方針

この構成により、Azure AD(およびセキュリティサービス、製品、テクノロジー)とマイクロソフトの関連戦略とこの分野への投資、およびAzure AD(およびセキュリティサービス、製品、テクノロジー)によるゼロトラスト(ネットワーク)アプローチの採用と実装をサポートする主要な原則の理解を助けるために、取り上げられた様々なトピックに対して進歩的で明確なアプローチが可能になることを願っています。

この記事の読者

本書は、IT専門家、システムアーキテクト、およびマイクロソフトのサービスや技術、特にAzure Active Directory (Azure AD) に基づくゼロトラスト・ネットワーク (ZTN) の概念とその実現および実装原理に関心のあるすべての人を対象としています。

コメント

タイトルとURLをコピーしました