8割解けるCTF「WEST-SEC」

セキュリティ初心者の方でも楽しめるゲーム形式のセキュリティイベント。CTFや勉強会の依頼があればご相談ください。

ゼロトラスト

1.1 ゼロトラストとは

(1)ゼロトラストとは

いろいろなところで記載されているので多くは語りませんが、トラスト(信頼)をゼロということで、誰も信頼しないというところをからスタートします。
そこから始めるセキュリティ対策です。
従来のファイアウォールで守られたセキュリティを「境界型防御」と位置づけ、それに対比する形で「ゼロトラスト」が比較されます。
具体的には、認証認可の強化、端末セキュリティの強化、クラウド内部でのセキュリティ強化などがあげられます。

(2)ゼロトラストが求められる背景

ではなぜ、ゼロトラストセキュリティの概念がこれほどまでに叫ばれるようになったのでしょうか。大きく3つあります。
❶リモートワークの進展
 コロナの影響および働き方改革により、リモートワークが進行しました。リモートワークをする際に、毎回本社にSSL-VPNで接続してそこからインターネットや各種サービスに接続するには、帯域的に非常に厳しいものがあります。

❷クラウド利用
 安価かつ高機能なクラウドサービスの普及が進む中、政府のクラウドバイデフォルトの提言が後押しとなり、多くの企業でクラウドを利用されるようになっています。クラウドの利用は便利なのですが、セキュリティ対策が不十分だとリスクも多く、認証の強化や細かなアクセス制御などが求められます。
また、クラウドを利用するということは、従来はFWの中にあった機密データが、FWの外(インターネット)に配置されることになります。つまり、従来の境界型防御は通用しなくなっています。

❸攻撃の高度化
 昨今の標的型攻撃などの手法を見ると、FWの内部のPCにメールを送って、内部から外部のC&Cサーバに接続します。そうすることで、FWを堂々と通過し、そこからラテラルムーブメント(横展開)で社内の情報資産への攻撃や搾取をします。つまり、従来型の境界型防御では限界が出てきました。

(❹バズワードとして)
新しいセキュリティ対策として、「ゼロトラストが必要!」と提唱するセキュリティベンダの機運があるように感じます。中身を見ると、昔からやっていたようなセキュリティ対策もゼロトラストのラインナップに加えられたりしています。余談になりますが、キーワードに踊らされず、何を守るか、そのためのベストな方法は何かを見極める必要があると感じます。

(3)ゼロトラストの具体的なソリューション

ゼロトラストは概念であり、具体的なソリューションは明確に決まっていません。
「政府情報システムにおけるゼロトラスト適用に向けた考え方」が一つの参考になるので、確認しましょう。
https://cio.go.jp/sites/default/files/uploads/documents/dp2020_03.pdf

ゼロトラストを適用するための取り組みとして、以下の5点が述べられています。

1)パブリック・クラウド利用可能システムと利用不可システムの分離
2)システムのクラウド化徹底とネットワークセキュリティ依存の最小化
3)エンドポイント・セキュリティの強化
4)セキュリティ対策のクラウド化
5)認証と認可の動的管理の一元化

この中で、具体的な製品が出ているのは3)と4)です。

3)エンドポイント・セキュリティの強化
具体的には、MDM(Mobile Device Management)、EDR(Endpoint Detection and Response)、SOC(Security Operation Center)による監視、SIG(Secure Internet Gateway)等による DNS やプロキシレベルのセキュリティ対策等の導入が推奨されます。
4)セキュリティ対策のクラウド化
具体的には、前述の MDM 、EDR、SIG 等に加え、CASB(Cloud Access Security Broker)、SASE (Secure Access Service Edge)等が該当します。
(4)ゼロトラストは最善のセキュリティ対策か

企業はすべてゼロトラストのセキュリティに移行すべきなのでしょうか。実はそうは思いません。クラウドでセキュリティを保つとはいえ、インターネットに公開されていますから、二要素認証を突破されたり、サイバー攻撃による情報漏えいのリスクもあります。よって、旧来からあるようなネットワークを分離し、インターネットにも接続しない状態で機密情報を守る(官公庁も大企業もこの仕組みです)方法が、安全な場合もあります。
ただ、時代の流れとして、リモートワークの活用、クラウドサービスを利用するのが当たり前になった今、データを旧来型の本社へリモートアクセスしては業務が回りません。また、クラウドにデータがあるのに、FWで境界内を守っても意味がありません。クラウドの活用やリモートアクセスなどを多用している組織においては、ゼロトラストの考え方は取り入れざるを得ないという感じがします。
逆に、旧来型のデータの保護のやり方も、その有効性は認められるべきだと思います。

(2)Zscalerの場合

ZacalerはSSE(Security Service Edge)であり、SASEの中のセキュリティ機能に特化したもの。ざっくり言うと、SD-WANが無い。なので、SASEには分類されない。
ゼロトラストのZTNA(Zero Trust Network Access)の主軸となるのが以下の2つ。

機能 概要 補足
ZIA(Zscaler Internet Access) インターネットへのアクセス SWGの機能と言えるであろう。URLフィルタ、アンチウイルス機能、FW+IPS、サンドボックス、TLSインスペクションなど。
また、CASBやDLPも含む
ZPA(Zscaler Private Access) 企業へのアクセス SDP(Software-Defined Perimeter)として、ソフトウェアで設計された境界(Perimeter)を構築する概念。境界防御の限界を超えて、ゼロトラストが求められるネットワークにおいて、柔軟にネットワークセキュリティを構築する。ZPAは、SDPを実現する仕組みと言っていいだろう。
じゃあ具体的には何かというと、VPNをよりきめ細やかに制御したものと言ってはどうだろうか。SSL-VPNにしてもIPsecのVPNにしても、システムとセキュアな通信を構築してしまうと、どのサーバでも自由にアクセスできてしまうことが多い。それを、ユーザとリソースで細かく制御できるようにする。
クライアント(PCやスマホ)にはZPAのクライアントソフト(Zscaler Client Connector)が必要で、そこからZPAクラウド(ZEN:Zscaler Enforcement Node)に接続する。サーバ側もZPAコネクタ(App Connectorという仮想アプライアンス。)でZacalerと接続する。www.zscaler.jp
(3)その他のセキュリティ機能

SASEとは直接関係ないが、広くセキュリティ機能として。

・UEBA(User and Entity Behavior Analytics):ユーザやエンティティ(端末など)の行動分析
・CSPM (Cloud Security Posture Management):クラウドの設定ミスによるセキュリティ事故を防ぐ。また、ガイドラインに適合しているかもチェックする。Postureは「姿勢」などの意味
・CWPP(Cloud Workload Protection Platform):クラウド上のワークロードとは、クラウド上にあるインスタンスやコンテナやアプリケーションなど。IaaS上のサーバにEPPを入れるようなイメージ
・SOAR(Security Orchestration Automation and Response): セキュリティ運用の自動化。プレイブックと呼ばれるワークフロー(手順)を作成しておき、自動でそのフローを実行する。
 たとえば、マルウェアなどを検出した後の仕組みとして、IPアドレスなどの基本情報を送ったり、関係部署へ周知したり、FWにフィルタするIPアドレスを追記したり、レポートを作成したりする。
 以下、FortiGateのSOAR
https://www.fortinet.com/jp/products/fortisoar