1 ゼロトラストとは
1.1 ゼロトラストとは
いろいろなところで記載されているので多くは語りませんが、トラスト(信頼)をゼロということで、誰も信頼しないというところをからスタートします。
そこから始めるセキュリティ対策です。
従来のファイアウォールで守られたセキュリティを「境界型防御」と位置づけ、それに対比する形で「ゼロトラスト」が比較されます。
具体的には、認証認可の強化、端末セキュリティの強化、クラウド内部でのセキュリティ強化などがあげられます。
1.2 ゼロトラストが求められる背景
ではなぜ、ゼロトラストセキュリティの概念がこれほどまでに叫ばれるようになったのでしょうか。大きく3つあります。
❶リモートワークの進展
コロナの影響および働き方改革により、リモートワークが進行しました。リモートワークをする際に、毎回本社にSSL-VPNで接続してそこからインターネットや各種サービスに接続するには、帯域的に非常に厳しいものがあります。
❷クラウド利用
安価かつ高機能なクラウドサービスの普及が進む中、政府のクラウドバイデフォルトの提言が後押しとなり、多くの企業でクラウドを利用されるようになっています。クラウドの利用は便利なのですが、セキュリティ対策が不十分だとリスクも多く、認証の強化や細かなアクセス制御などが求められます。
また、クラウドを利用するということは、従来はFWの中にあった機密データが、FWの外(インターネット)に配置されることになります。つまり、従来の境界型防御は通用しなくなっています。
❸攻撃の高度化
昨今の標的型攻撃などの手法を見ると、FWの内部のPCにメールを送って、内部から外部のC&Cサーバに接続します。そうすることで、FWを堂々と通過し、そこからラテラルムーブメント(横展開)で社内の情報資産への攻撃や搾取をします。つまり、従来型の境界型防御では限界が出てきました。
(❹バズワードとして)
新しいセキュリティ対策として、「ゼロトラストが必要!」と提唱するセキュリティベンダの機運があるように感じます。中身を見ると、昔からやっていたようなセキュリティ対策もゼロトラストのラインナップに加えられたりしています。余談になりますが、キーワードに踊らされず、何を守るか、そのためのベストな方法は何かを見極める必要があると感じます。
1.3 ゼロトラストの具体的なソリューション
ゼロトラストは概念であり、具体的なソリューションは明確に決まっていません。
(1)政府情報システムにおけるゼロトラスト適用に向けた考え方
「政府情報システムにおけるゼロトラスト適用に向けた考え方」が一つの参考になるので、確認しましょう。
https://cio.go.jp/sites/default/files/uploads/documents/dp2020_03.pdf
ゼロトラストを適用するための取り組みとして、以下の5点が述べられています。
| 1)パブリック・クラウド利用可能システムと利用不可システムの分離 2)システムのクラウド化徹底とネットワークセキュリティ依存の最小化 3)エンドポイント・セキュリティの強化 4)セキュリティ対策のクラウド化 5)認証と認可の動的管理の一元化 |
この中で、具体的な製品が出ているのは3)と4)です。
| 3)エンドポイント・セキュリティの強化 具体的には、MDM(Mobile Device Management)、EDR(Endpoint Detection and Response)、SOC(Security Operation Center)による監視、SIG(Secure Internet Gateway)等による DNS やプロキシレベルのセキュリティ対策等の導入が推奨されます。 |
| 4)セキュリティ対策のクラウド化 具体的には、前述の MDM 、EDR、SIG 等に加え、CASB(Cloud Access Security Broker)、SASE (Secure Access Service Edge)等が該当します。 |
(2)民間企業におけるゼロトラスト導入事例
「(参考資料1)民間企業におけるゼロトラスト導入事例」の引用です。
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/5805a275-3e16-4296-8a94-6557b58c6a4c/dd52a824/20231124_meeting_network_casestudie_03.pdf
1.4 ゼロトラストは最善のセキュリティ対策か
企業はすべてゼロトラストのセキュリティに移行すべきなのでしょうか。実はそうは思いません。クラウドでセキュリティを保つとはいえ、インターネットに公開されていますから、二要素認証を突破されたり、サイバー攻撃による情報漏えいのリスクもあります。よって、旧来からあるようなネットワークを分離し、インターネットにも接続しない状態で機密情報を守る(官公庁も大企業もこの仕組みです)方法が、安全な場合もあります。
ただ、時代の流れとして、リモートワークの活用、クラウドサービスを利用するのが当たり前になった今、データを旧来型の本社へリモートアクセスしては業務が回りません。また、クラウドにデータがあるのに、FWで境界内を守っても意味がありません。クラウドの活用やリモートアクセスなどを多用している組織においては、ゼロトラストの考え方は取り入れざるを得ないという感じがします。
逆に、旧来型のデータの保護のやり方も、その有効性は認められるべきだと思います。
2.Zscalerの場合
ZacalerはSSE(Security Service Edge)であり、SASEの中のセキュリティ機能に特化したもの。ざっくり言うと、SD-WANが無い。なので、SASEには分類されない。
ゼロトラストのZTNA(Zero Trust Network Access)の主軸となるのが以下の2つ。
| 機能 | 概要 | 補足 |
|---|---|---|
| ZIA(Zscaler Internet Access) | インターネットへのアクセス | SWGの機能と言えるであろう。URLフィルタ、アンチウイルス機能、FW+IPS、サンドボックス、TLSインスペクションなど。 また、CASBやDLPも含む |
| ZPA(Zscaler Private Access) | 企業へのアクセス | SDP(Software-Defined Perimeter)として、ソフトウェアで設計された境界(Perimeter)を構築する概念。境界防御の限界を超えて、ゼロトラストが求められるネットワークにおいて、柔軟にネットワークセキュリティを構築する。ZPAは、SDPを実現する仕組みと言っていいだろう。 じゃあ具体的には何かというと、VPNをよりきめ細やかに制御したものと言ってはどうだろうか。SSL-VPNにしてもIPsecのVPNにしても、システムとセキュアな通信を構築してしまうと、どのサーバでも自由にアクセスできてしまうことが多い。それを、ユーザとリソースで細かく制御できるようにする。 クライアント(PCやスマホ)にはZPAのクライアントソフト(Zscaler Client Connector)が必要で、そこからZPAクラウド(ZEN:Zscaler Enforcement Node)に接続する。サーバ側もZPAコネクタ(App Connectorという仮想アプライアンス。)でZacalerと接続する。www.zscaler.jp |
・PCにエージェントを入れる方法と、出口のルータ等とZascalerをIPsecを張る方法がある。IPsecを張ると、PCにエージェントを入れなくてもいい。ただ、デバイスの情報などは取得できないだろう。
・ライセンスは帯域ではなく、ユーザ単位。また、ユーザライセンスは同時接続数でカウントではなく、総利用者数でカウントです。
なので、イベント会場で不特定多数の人が来場するような場合は、インターネットの出口を分ける必要があります。
1)従業員はPC→Ciscoルータ→(IPsec)→Zscaler→インターネット回線1
2)来場者は、PC→FortiGate→インターネット回線2
ZPAに関して
(1)リモートアクセスの全体像
テレワークセキュリティ ガイドライン
https://www.soumu.go.jp/main_content/000752925.pdf
2.CSPMとCWPP、CNAPP
2.1 CSPM
・CSPM(Cloud Security Posture Management)は、クラウドの設定ミスによるセキュリティ事故を防ぐ。また、ガイドラインに適合しているかもチェックする。Postureは「姿勢」などの意味
・AWSなどのサービスに組み込まれていることが多い。ただ、マルチクラウド環境(AWS、Azure、Google、Oracle、Alibabaなど)で、一元的にCSPMを実施するにはサードパーティーの製品(例えばORCA Secrity)が必要
・設定ミス、ルール準拠(ALLで許可されている?、ポートが空いているとか)、準拠性の確認など。
| 【参考】 AWSのSecurity HUBの場合、準拠性の確認のセキュリティ基準として、たとえば以下があります。 ・AWS 基礎セキュリティのベストプラクティス ・CIS AWS Foundations Benchmark ・PCI DSS ・NIST SP 800-53 |
・CSPMはインフラ部分(IaaS、PaaS?)のセキュリティチェックかな。総務省の「クラウドの設定ミス対策ガイドブック」(https://www.soumu.go.jp/main_content/000944467.pdf)によると、以下がCSPMの定義として記載されています。
| CSPMは、クラウドサービスのうち、IaaS(インフラを提供するサービス)の監査ツールです。クラウドの設定を自動的にチェックし、設定ミスやコンプライアンス違反等のリスクを特定してくれます。また、より安全な利用方法を提示してくれます。Amazon Web Services (AWS)、Microsoft Azure、Google Cloud などのサービスが対象です。CSPMが監査する設定項目は、NIST(National Institute of Standards and Technology、米国国立標準技術研究所)やCIS(Center for Internet Security)などの米国の組織が提供する標準的なセキュリティのフレームワークに準拠しているのが特徴です。 |
2.2 CWPP
・CWPP(Cloud Workload Protection Platform)は、クラウド上のワークロードとは、クラウド上にあるインスタンスやコンテナやアプリケーションなど。IaaS上のサーバにEPPを入れるようなイメージ
2.3 CNAPP
(1)概要
・CNAPP(シーナップ)はCWPP、CSPMなどを包含した感じ。ORCA SecrityはCNAPPに該当する。
(2)ORCA Secrityの場合
・既存顧客のAWS環境と同一リージョンにスキャナマシンを設置する。こうすることで、調査対象のインスタンスにエージェント等を入れる必要がない。
・準拠などを確認する場合、Orca独自のみならず、AWSの準拠やCISベンチマークなど、非常にたくさんの基準への準拠性の検査ができる。
・AWSの標準機能として、Inspector、Security HUBなどでもできるし、価格面では純正を使った方がかなり安い。ただ、純正と比較して、Orcaの方がログのみやすさとか、ログの深さとかの観点で、運用のしやすいかと思われる。あとはマルチクラウド環境の場合には一元的に管理できるので、便利だよね。
・価格は基本、サーバおよび仮想マシン単位である。最近はサーバレスのものも多くなっており、その場合は、別途、機能単位での課金になる。
3.その他のセキュリティ機能
広くセキュリティ機能として。
・UEBA(User and Entity Behavior Analytics):ユーザやエンティティ(端末など)の行動分析
・SOAR(Security Orchestration Automation and Response): セキュリティ運用の自動化。プレイブックと呼ばれるワークフロー(手順)を作成しておき、自動でそのフローを実行する。
たとえば、マルウェアなどを検出した後の仕組みとして、IPアドレスなどの基本情報を送ったり、関係部署へ周知したり、FWにフィルタするIPアドレスを追記したり、レポートを作成したりする。
以下、FortiGateのSOAR
https://www.fortinet.com/jp/products/fortisoar
