ゼロトラストとは何か?
ゼロトラストという概念が2010年に登場したとき、IT やネットワークセキュリティの取り扱い方に大きな変革が起こりました。この用語は、Forrester Research のアナリストである John Kindervag 氏によって考案され、「信頼せず、常に検証する」というモットーに基づいています。
これがなぜ大きな変革なのでしょうか?2010年以前、IT は境界防御と DMZ (非武装地帯) の概念に重点を置いていました。DMZ とは、導入した保護策に基づいて安全と見なされるネットワーク領域のことです。このアプローチでは、企業は内部ネットワークと信頼できるユーザーを確立し、ファイアウォールや境界の外側にある外部ネットワークは信頼できないユーザーで構成されていました。DMZ は「安全な」内部ネットワークと「信頼できない」外部世界の間にある障壁またはセキュリティゾーンでした。
しかし、ネットワーク上で安全とされるものは、明示的に証明または検証されない限り、安全ではありません。今日の考え方は、すべてを保護し、検証することです。米国国防総省 (DoD) は次のように述べています。「ゼロトラストモデルの基本原則は、セキュリティ境界の外部または内部で動作するアクター、システム、ネットワーク、サービスのいずれも信頼しないということです。代わりに、アクセスを試みるすべてのものを検証しなければなりません。」
米国国立標準技術研究所 (NIST) はゼロトラストを次のように定義しています。「ゼロトラストとは、ネットワークベースの境界から防御を移し、ユーザー、資産、リソースに焦点を当てる進化するサイバーセキュリティのパラダイムの総称です。ゼロトラストは、資産やユーザーアカウントに対して、その物理的またはネットワーク上の位置 (例:ローカルエリアネットワークとインターネット) や資産の所有権 (企業所有または個人所有) に基づいて暗黙の信頼を与えることはないと仮定します。」これは NIST が2020年に発表したゼロトラストアーキテクチャに関する説明です。
Microsoft はゼロトラストを次のように説明しています。「企業のファイアウォールの背後にあるすべてが安全であると仮定する代わりに、ゼロトラストモデルは侵害を前提とし、すべての要求をオープンネットワークから発信されたものとして検証します。要求の発信元やアクセスするリソースに関係なく、ゼロトラストは『信頼せず、常に検証する』ことを教えます。すべてのアクセス要求は、アクセスを許可する前に完全に認証、認可、暗号化されます。マイクロセグメンテーションと最小権限アクセスの原則が適用され、横方向の移動を最小限に抑えます。豊富なインテリジェンスと分析を活用し、リアルタイムで異常を検出し対応します。」
クラウド、リモート、モバイルがゼロトラストの必要性を加速
企業がクラウドへ移行し、従業員がよりモバイルかつリモートワークを行うようになるにつれ、ゼロトラストの重要性はますます高まっています。Microsoft は次のように説明しています。「クラウドベースのサービスとモバイルコンピューティングは、現代の企業におけるテクノロジーの状況を変えました。今日のワークフォースは、従来の企業ネットワーク境界の外にあるアプリケーションやリソースへのアクセスを必要とすることが多く、ファイアウォールや VPN に依存するセキュリティアーキテクチャでは不十分です。クラウド移行やモバイルワークフォースの増加によって、ゼロトラストと呼ばれるアクセスアーキテクチャが開発されました。」
さらに Microsoft はこう述べています。「真のゼロトラストモデルを実装するには、ユーザー ID、デバイス、ネットワーク、アプリケーションといったすべてのコンポーネントが検証され、信頼できることを証明する必要があります。ゼロトラストは、企業リソースへのアクセスを許可する前に、ID とデバイスの健全性を確認します。アクセスが許可された後は、最小権限の原則を適用し、ユーザーが明示的に許可されたリソースのみにアクセスできるようにすることで、環境内での横方向の移動リスクを低減します。」
インベントリ管理:自分が何を持っているかを把握する
イギリスの国家サイバーセキュリティセンター (NCSC) は、ゼロトラストアーキテクチャ設計原則ガイドの中でネットワーク担当者に向けたアドバイスを示しています。すべては「自分が何を持っているかを知ること」から始まり、ここで ITインフラ監視 (ITIM) ソリューションのインベントリ機能が大きな役割を果たします。
NCSC は次のように述べています。「ゼロトラストのメリットを得るためには、アーキテクチャの各コンポーネント、つまりユーザー、デバイス、そしてそれらがアクセスしているサービスやデータについて把握する必要があります。資産を正しく理解するためには、ゼロトラスト導入の最初のステップとして資産発見フェーズが含まれる可能性が高いでしょう。環境によっては、これは困難であり、ネットワーク上の資産を検出するために自動化ツールを使用する必要がある場合もあります。その他の場合は、購買記録を照会するなど、非技術的な手順を通じて資産を特定できる場合もあります。」
デバイスを監視する
IT 資産の監視は非常に重要であり、ゼロトラストの新しい世界に適応しなければなりません。ITインフラストラクチャ監視のデバイス監視機能を利用して、ゼロトラストに対応できます。ゼロトラストアーキテクチャ設計原則ガイドでは次のように述べています。
「ネットワークは信頼できず、敵対的であると仮定されますが、ネットワーク監視は依然として重要であり、良好なパフォーマンスとサイバー衛生を確保するために必要です。ネットワーク上で監視を行い、パフォーマンスを測定し、ネットワークに接続されているすべてのデバイスを特定し、不正なデバイスや悪意のある活動を検出する必要があります。これはオンプレミスのサービスをホストしている場合に特に重要です。デバイス監視とネットワーク監視を組み合わせることで、可視性と相関性を向上させることができます。たとえば、ネットワーク接続を、その接続を生成したデバイス上のプロセスまで追跡することが可能です。ゼロトラストアーキテクチャでは、監視戦略がユーザー、デバイス、サービスに焦点を当てるように変化する可能性が非常に高いです。デバイス、サービス、ユーザーの行動を監視することで、それらのサイバー健全性を確立することができます。」
人が何をしているかを把握する
ゼロトラストは、信頼できないユーザーという概念に基づいています。ネットワーク上で人々が何をしているかを把握することは、ゼロトラストの目標を達成するために不可欠です。NCSC は次のように提案しています。
「ユーザーの行動、例えば通常の勤務時間や勤務場所といった情報は、監視すべき重要な指標です。また、サービスの可視性を確保し、ユーザーとデータの相互作用を理解することも重要です。この情報はシグナルとして利用でき、異常な活動が観察された場合、ポリシーエンジンがアクセスの可否を判断する際に活用できます。デバイス、ユーザー、サービスがどのようなアクションを実行し、どのデータにアクセスしているかを把握する必要があります。監視は設定したポリシーに結び付け、期待通りに適用されていることを検証するべきです。」
ゼロトラストネットワークアクセス
ゼロトラストネットワークアクセス (Zero Trust Network Access、ZTNA) は、エンドユーザーがデータやアプリケーションに安全にアクセスするためのアーキテクチャです。Gartner は ZTNA の用語集ページで次のように説明しています。
「ゼロトラストネットワークアクセス (ZTNA) は、アプリケーションまたは一連のアプリケーションの周囲に、ID とコンテキストに基づく論理的なアクセス境界を作成する製品またはサービスです。アプリケーションは探索から隠され、アクセスは信頼できるブローカーを介して指定されたエンティティのみに制限されます。」
このブローカーは、アクセスを許可する前に、指定された参加者の ID、コンテキスト、ポリシー遵守を検証し、ネットワーク内での横方向の移動を禁止します。これにより、アプリケーション資産はパブリックな可視性から排除され、攻撃対象領域が大幅に縮小されます。
ZTNA の特徴:
- 認証と認可は継続的に実施される
- アクセス制御は複数のポイントで処理される
- デバイスは認証、認可、アクセスの対象となる
ZTNA を導入するには、既存の認証・認可ソリューションを再設計し、適切な運用、パフォーマンス、耐障害性を確保するために監視・管理する必要があります。
情報へのアクセスが許可される前に、アクセス制御、認証、認可が必ず行われなければなりません。同時に、デバイスもネットワークに対して認証を行う必要があります。これには、デバイスが最低限の基準を満たしていることを確認するためのデバイス健全性チェックを含む認証方法が必要です。これにより、デバイスがネットワーク上で情報を送受信する前に安全性が保証されます。
アクセス制御、認証、認可インフラの監視
ZTNA ベースの認証、認可、デバイスアクセス制御システムを支える IT インフラは、継続的な要件により大きな負荷を抱え、容易に過負荷状態に陥る可能性があります。システムが遅延したり障害を起こしたりすると、エンドユーザーが影響を受けます。アクセスが拒否されたり、接続が遅くなったりするのです。
この問題は、IT インフラがこれらの要件に対応できるように設計されていないことが原因です。エンドユーザーからの苦情を待つのは解決策ではありません。代わりに、IT 部門は何が正常に動作していて、何がそうでないかを正確に把握する必要があります。ITIM を活用すれば、ネットワークチームはこれらのシステムの運用状況を深く継続的に把握し、セキュリティコンポーネントが高い耐障害性とパフォーマンスを維持できるようにリソースを適切にプロビジョニングできます。
ゼロトラストの実現には、ITIM ツールが大きく貢献します。ITIM ツールをお探しの場合は、WhatsUp Gold を試してみてください。無料試用版をダウンロードしてお試しいただけます。