Part 1.「おうちゼロトラスト」に学ぶゼロトラストセキュリティの基礎

それではまず、ゼロトラストセキュリティの基本となるいくつかの考え方を解説していきたいと思います。

  • 世界のセキュリティ動向
  • 境界型ネットワークセキュリティの問題
  • ゼロトラスト型ネットワークの登場
  • おうちゼロトラストから学ぶゼロトラスト型ネットワーク
  • おうちゼロトラストから学ぶ企業内ネットワークのセキュア化
  • ゼロトラスト型ネットワークとは
  • ゼロトラスト型 IT 環境構築の基本ツールセット E5 Security
  • ゼロトラスト型ネットワークベースの IT インフラのもたらすメリット
  • 既存システムが存在する現在の IT 環境からの移行ステップ
  • よくあるゼロトラスト型 IT 環境に関する質問
  • まとめ

[世界のセキュリティ動向]

ご存知の方も多いと思いますが、現在、サイバー犯罪は巨大なブラックマーケットを形成しています。ある試算では、サイバー犯罪市場は約 150 兆円にもなり、その市場規模はすでに韓国やロシアの GDP と同程度まで巨大化している、といった話もあります。愉快犯や自己顕示欲によるサイバー攻撃ではなく、金銭目的やテロを目的としたサイバー攻撃が一般的となってきており、ブラックマーケットにはすでにサプライチェーンやエコシステムが形成されています。

image

特に、セキュリティ対策を境界型ネットワークのみに依存している環境では、サイバー攻撃により大規模な被害を受ける事例も出てきています。海外では、ランサムウェアにより全世界のイントラネットがたったの 2.5 時間でダウンしてしまった事例もあります。この事例では、OS 起動に必要なブートレコードが暗号化されたため、復旧するための PC すらなくなってしまい、全 IT 環境が利用できなくなったことで事業そのものが数か月にわたって停止してしまった、といったことケースもあります。

image

[境界型ネットワークセキュリティの問題]

前述のような大きな被害が発生した一つの理由は、セキュリティが境界型ネットワークセキュリティモデルベースであることです。境界型セキュリティモデルとは、「金庫の中は安全、外は危険」という、ある意味では非常に雑な、バルク保護(まるっと全体を守る)という考え方に基づくセキュリティです。

image

ご承知の通り、現在となってはこのセキュリティモデルは非現実的です。

  • 現在の多くのセキュリティリスクは社内に存在する。メールやフィッシングによる社内 PC のマルウェア感染を起点として社内に感染が拡大したり、内部犯行(過失も含む)によってセキュリティ事故が発生する。このため「中は安全」という考え方が成立しない。
  • 近年は非常に便利なクラウドサービスがたくさん出てきているため、これらを活用したい。Office 365 や SFDC といったサービスは、「社外にある安全なサービス」のはずだが、「外は危険」という考え方だとこれらが利用できない。

にもかかわらず、現在の社内ネットワークの多くは、『閉域』を前提としていた社内 LAN を拡張することによって作られており、たとえクラウドを利用していたとしても、実は根底にある『閉域』という考え方を脱却できていません。社内ネットワークの発展の歴史を振り返ってみると、最初はメールサーバやファイルサーバなどすべてが社内にあり、ファイアウォールにより中と外とが隔てられた環境になっていました。

image

しかし、近年、クラウドサービスを使いたいというニーズやリモートワークのニーズなどが出てきたため、

  • SaaS/PaaS 型のクラウドサービス(Office 365 や SFDC)は「社外」にあるけれども、非常に便利なので、例外的に安全であるとみなして FW に穴を開けて利用する。
  • IaaS/PaaS 型のクラウドサービス(AWS や Azure)は「社外」にあるけれども、データセンタのキャパシティ不足やハードウェア更改への対応のために、オンプレミスデータセンタ環境から専用線(Direct Connect や Express Route)を介して接続し、「オンプレミス DC の延伸環境」として利用する。
  • リモートワークのニーズに対応できるように、外に持ち出した端末を VPN 収容し、「社外にいても社内環境を利用できる」ような環境を整備する。

といった拡張が行われてきました。

image

しかし、これらは本質的には境界防御のアプローチから考え方が脱却できておらず、その「境界」をいたずらに肥大化させるようなアプローチを取っています。その結果として、

  • AWS や Azure などの利活用が今後どんどん増加していった際に、そこに何らかの設定ミスがあって情報漏洩や侵入が発生した場合、そのセキュリティ事故がオンプレミス(社内)環境まで派生していく恐れがある。
  • 社内のオンプレ環境には未だ大量のパッチ未適用サーバが存在するケースがあり、内部犯行や社内 PC のマルウェア感染からこれらのサーバへ感染拡大する恐れがある。

といった状況を脱却できていません。

image

また、上図では Office 365 や SFDC は閉域の「外」で利用しているかのように見えますが、実際には認証に利用する Azure AD にオンプレ ADFS 連携が仕掛けられていたり、あるいはサービス側に IP アドレス制限が仕掛けられていて社内環境からしか利用できなくなっている場合が多く、SaaS サービスといえど外部インターネットからネイティブに利用できないケースが多々あります。このため、本来クラウドを使えば難なくできるはずの、リモートワークや外部パートナーとの連携が一切できず、SaaS といえど実質的には「閉域」「みなしオンプレ」として利用している、という場合が少なくありません。

image

こうした「閉域縛り」や「みなし閉域」「みなしオンプレ」といった概念は、特に公共系・金融系・製造系の企業においてしばしば見られます。その理由の一つは、もともと社内ネットワークの拡張によりクラウドサービスの利用が始まったこと、もう一つは、各種の業界標準や慣行、セキュリティポリシーがクラウドに準拠していくのに時間を要したために、どうしても「(本当はこれはクラウドなんだけれども)みなしオンプレミスである」という説明が必要になったこと、などが挙げられます。

しかし、上記のようなアプローチは、いわば『金庫を膨らませ続ける』、そして『膨らみ続ける金庫を傷一つ付かないようにひたすら頑張り続ける』ようなものです。セキュリティ事故が起こらない(あるいは可視化されない)限りは一見うまくいっているように見えるかもしれませんが、それが一度発生するととたんに破綻するという、薄い氷の上を歩いているような危険な状況であるとも言えます。

[ゼロトラスト型ネットワークの登場]

こうした境界型セキュリティモデルに基づく問題点は古くから指摘されており、2010 年に提唱されたのが「ゼロトラスト型ネットワーク」という概念でした。昨年 2019 年には日本語訳も発刊され、日本でも急速に認知度が上がってきたように思いますが、この書籍で語られていることは、セキュリティのアプローチを大きく変えよう、というものでした。

  • 従来 → 「社内は安全である」(境界型ネットワーク)
  • 今後 → 「信頼しないことを前提とし、すべてのトラフィックを検査、ログ取得を行っていく」(ゼロトラスト型ネットワーク)

ゼロトラスト型ネットワークはもともとネットワークに関する考え方でしたが、現在ではこの考え方を汎化させ、「信頼(トラスト)の与え方」全般に関する考え方へと昇華されてきています。その結果として、「ゼロトラスト」という考え方により、ガバナンスやセキュリティオペレーション、セキュリティインフラなどが再統合されつつある……のですが、こうした歴史的経緯を踏まえると、やはりその原点にある「ゼロトラスト型ネットワーク」を理解することが何よりも重要です。

この「ゼロトラスト型ネットワーク」の考え方の要点は、実は自宅のネットワーク環境のセキュリティから簡単に理解することができます。これについて解説します。(この説明は、IT に明るくない方にも簡単に理解していただける考え方なので、ぜひ活用してください。)

[おうちゼロトラストから学ぶゼロトラスト型ネットワーク]

現在、ほとんどの家庭には、ADSL や FTTH などによるインターネット回線が引かれていると思いますが、多くの自宅ネットワークは、バッファローさんや NEC さんなどのルータを介して、パソコンやスマホなどをつなぐための自宅 LAN を構成している、というケースがほとんどだと思います。この場合、ルータが一種のファイアウォールがわりとなって、自宅の「外」と「中」を隔てている、という形になっています。

image

従来はこうした自宅 LAN で何ら問題なく、ファイルサーバなどで写真やムービーを共有していたわけですが、近年、この状況が大きく変わってきたのが、スマホや様々な IoT デバイスの登場です。ネット通販で購入した怪しげな IoT デバイスであれこれやるのは私も大好きなのですが^^、一方で恐いのはやはりセキュリティです。パッチ提供が終了した Android デバイスや、怪しい IoT デバイスが乗っ取られてリモートから操作される、といった話は枚挙に暇がありませんが、こうしたケースでなにより怖いのは、乗っ取られたデバイスからの水平攻撃です。つまり、万が一、古い Android デバイスや怪しい IoT デバイスが乗っ取られてそこから水平侵入されると、自宅のネットワークそのものが乗っ取られる恐れがある……実を言うと他ならぬ私自身が、数年前からこの状況をどう解決したらよいかで頭を悩ませていました;。

そしてこの問題を解決する上で非常に大きなヒントになったのが、前述した「ゼロトラスト型ネットワーク」の書籍の中で語られていた、「マイクロセグメンテーション」という概念でした。

現在の多くの自宅用ルーターには、ゲスト WiFi という機能が備わっています。この機能は、お友達が自宅に遊びに来た際に、WiFi を使ってインターネットに繋がせてあげる、けれども自宅の LAN には繋がせない、という便利な機能です。これにより、自宅 LAN のセキュリティを守りながら、危険性があるかもしれないお友達のデバイスにインターネットを使わせてあげる……のですが、発想を転換して、いっそ自宅内の全部の端末をゲスト WiFi につないでしまったらどうなるでしょうか?

image

実は、現在のほとんどのパソコンやスマホは、水平方向の通信を必要としません。例えば、スマホはインターネットとだけ通信できれば問題なく動作しますし、ファイルサーバだって、OneDrive をはじめとするファイル共有サービスを使えば、安全に複数端末間でファイルを共有・同期することができます。つまり、

  • ゲスト WiFi を利用することによって、各端末を隔離し、万が一クラッキングされた場合でもそのリスクを当該端末だけに封じ込める。
  • 各端末のセキュリティは、Windows Defender や Windows Firewall によりデバイス単位にきちんと保護する。(エンドポイント保護)
  • ファイルサーバのかわりに OneDrive などでファイル共有し、マイクロソフトアカウントなどで認証しながら利用する。(横方向の通信ではなく縦方向の通信を利用する)

という形にすると、水平攻撃のリスクを軽減するどころか原理的になくしてしまうことができます。しかもこの形にすると、自宅の PC 端末をカフェに持ち出してモバイル接続しても、全く同じ形で利用することができ、全く自然なリモート対応が可能になります(スマホが普通にリモート対応できるのとまったく同じように)。つまり、このような形でネットワークを構成すると、モバイル環境と自宅環境との差異がなくなる、つまり『自宅』という境界が意味を失うことになり、自然な形で境界型セキュリティモデルを脱却することが可能になります。

つまり、水平攻撃を意識すると、バルクセグメンテーション(自宅という大きなくくりでセキュリティを守る)よりもマイクロセグメンテーション(個々の端末といった小さな括りでセキュリティを守る)のほうが安全性を確保しやすい、ということなのですが、このようなセキュリティモデルが実現できるようになったのは、クラウドサービスの進化とブロードバンド回線の普及という要因が非常に大きいです。(敢えて加えて言うなら Windows Defender のような端末レベルの保護技術の進化もありますが)

最近では様々な IoT デバイス(Amazon Fire Stick とか AppleTV とか Android とか iPad とか液晶 TV とかその他いろいろ)が多数出てきていますが、原理的なレベルでセキュリティを確保しようと思った場合、この方法は極めて有効だと思います。

# ちなみにこの方法を思いついたとき、「自分ってマジ天才じゃね??」と思ったのですが、つい先日、バッファローのルーターの WiFi には基本機能のひとつとして「隔離機能」というのがついていることに気付きました;。実はとうの昔からこの機能が実装されていたのか……orz。というわけで、おうちゼロトラストをやりたい方は、ルータ標準機能の「隔離機能」をご利用いただくのがよいと思います。現在、我が家ではこの隔離機能を標準利用しています^^。

ここで解説した、端末やサーバを適切な粒度で隔離して、水平攻撃(水平移動、ラテラルムーブ、カニ歩き)を防止することでセキュリティ事故を封じ込める「マイクロセグメンテーション」という考え方は、実はゼロトラストセキュリティを実現する上でのベースラインとなる考え方です。このため、ゼロトラストセキュリティモデルを実際の現場に適用する上では、この「マイクロセグメンテーション」という考え方の理解から始めた方がわかりやすく、また直感的・実践的でもあります。そして、このマイクロセグメンテーションを実践していく上で特に注意すべきポイントは、端末系とサーバ系とで隔離粒度が異なること、端末系とサーバ系とでマイクロセグメンテーション化の実践を阻害する要因が異なる、という点です(端末系の場合はファイルサーバとプリンタがネック、サーバ系の場合は既存システムがネックになります)。このあたりはおいおい説明していきますが、ちょっと頭の片隅に置いておくと以降の説明も読みやすくなると思います。

[おうちゼロトラストから学ぶ企業内ネットワークのセキュア化]

実はこの「おうちゼロトラスト」の考え方は、企業内ネットワークのセキュア化にも十分転用できる考え方です。

image

一般的に、企業内ネットワークの乗っ取りは、端末のマルウェア感染が起点となることが多いです。あるユーザがついうっかりメールの添付ファイルを開いたりフィッシングにひっかかったりすることでマルウェア感染すると、通常、そこから水平攻撃が始まります。特に、PC のキッティングに同じパスワードを利用しているような場合は容易な水平攻撃が可能で、これを元に Active Directory を管理している端末を乗っ取り、そこから垂直攻撃を仕掛けて AD を掌握する、というのが、最もよくある企業内ネットワークの乗っ取り攻撃でした。

現在でも、こうした水平・垂直攻撃リスクを低減するために様々な対策が取られていますが、こうしたマルウェア感染後の水平攻撃や垂直攻撃を原理的に防ごうと思うと、前述したゼロトラスト型のマイクロセグメンテーションの考え方が非常に役に立ちます。すなわち、

  • 原則として水平方向の端末間通信を認めず、一台一台の PC を隔離
  • それぞれの PC を Windows Defender や Windows Defender ATP (Advanced Thread Protection)により堅牢化
  • 社内のメールサーバやファイルサーバを利用せず、Office 365 (Exchange Online や Teams、OneDrive for Business)などを使って、横方向ではなく縦方向で通信
  • その際、経路ではなく ID(通信主体・プリンシパル)に基づいて通信許可を個別に与えていく

という形にした方が、全体の設計・管理がシンプルになります。

[ゼロトラスト型ネットワークとは]

ここまでの解説から、境界型ネットワークセキュリティと、ゼロトラスト型ネットワークセキュリティの違いが明らかになってきたかと思います。すなわち、ゼロトラスト型ネットワークの基本的な考え方は、以下のところに立脚しています。

  • 企業の「外」か「中」かで分類するような、雑なバルクセグメンテーションと通信管理をやめる
  • 水平攻撃を防止するために、
    ① デバイス単位(あるいはシステム単位)で堅牢化・要塞化する(マイクロセグメンテーション)
    ② デバイスやシステム間の通信は、「経路」(中か外か?)ではなく、「主体」(通信相手が誰なのか?)に基づいた認証・認可により制御する

そしてこの考え方を突き詰めると、企業の「ネットワーク境界」の意味が薄れ、社内か社外かによる区分けの意味がなくなり、より安全な環境の実現や自然なリモートワーク対応が可能になってくる……のですが、これを実現しようとすると、技術的にはいくつかの柱が必要になってきます。特に大きな技術要素としては以下の 4 つがあります。

image

  • ID 管理・権限制御の仕組み
    個人やシステムを確実に特定するためのシステム。これにより、相手が誰なのかを確実に識別すると共に、セキュリティ事故発生時の否認をできなくする。
  • デバイス・サーバの保護
    末端となる各デバイスやサーバがマルウェア汚染したり乗っ取られたりしないように、既知・未知の攻撃に対する対策を行う。エンドポイント保護などとも呼ばれる。
  • 情報保護・統制
    イントラネット以外のネットワーク(=ネットワーク監視の目が届かないところ)でもファイルや情報が流れることになるため、そこに流れる情報の保護・統制・可視化が必要になる。
  • ログ収集・監査
    イントラネット以外のネットワーク(=ネットワーク監視の目が届かないところ)でもサーバや端末が動作する形になるので、それらの挙動を『俯瞰的に』『神の視点で』監視・監査していくためのログ収集や監査の仕組みが必要になる。

そして、これらの 4 要素は、ネットワーク境界とは異なる、新しい論理的なセキュリティ境界を作り出します。このコンセプトに基づいて、ゼロトラスト型のマルチクラウド IT 環境として目指すべき姿を概念的・模式図的に表すと、下図のようになります。(製品名があった方がわかりやすいのでマイクロソフトの具体的な実装技術を書いています)

image

※ (参考)MWP 環境 = Modern Workplace 環境、E5 Security などのセキュリティソリューションにより堅牢化した FAT 型 Windows 端末をロケーションフリーで利用できるようにした環境のこと。赤間をはじめとして、マイクロソフト社員はまさにこうした環境でお仕事をしています。昼夜問わず場所問わず、どこでもロケーションフリーでお仕事ができるのは非常に便利です。

いきなりものものしいイラストを掲載して恐縮なのですが;、真の意味でマルチクラウド型 IT 環境を目指す、というのはこの形を目指すことだと赤間は考えています。いくつかキーポイントを書いていくと、以下の通りです。

  • ユーザの端末や各システムは、それぞれがマイクロ境界防御されており、セキュリティ事故が発生しても封じ込めが行われる。(=横に波及しない)
  • ユーザから見た場合には、Azure AD などの SSO(シングルサインオン)の仕組みにより、1 つの ID で様々なシステムを利用することができる。
  • ユーザ認証をベースとして通信制御が行われているので、イントラネットワークを前提としなくてよい。このため、社内/社外は(システムの挙動として)特に変わりがない。
  • 例えば、Office 365 や SFDC という SaaS サービスはそれ単体で完結しており、マイクロ境界防御されているが、同じ形を IaaS/PaaS による作り込み型の業務システムに対しても適用する。すなわち、個々の業務システムをそれ単体で完結するように開発し、これを SaaS サービスと同様の形で、自社 IT 環境に組み込む。この形にすることにより、真の意味でクラウドインフラが隠蔽され、真の意味でのマルチクラウド対応が実現する。すなわち、当該システムが Azure, AWS, GCP のいずれで作られているのかは関係なくなる(=最も都合の良いインフラで作ればよい)。

IT 環境全体をこの形でデザインすること、すべての端末とすべてのサーバシステムがマイクロ境界防御されており、ユーザから見るとどこからでもシングル ID でどこへでも行ける形にすることのメリットは、実はセキュリティ強化だけにとどまりません。

  • 利用者から見た場合の最終的なゴールは…
    シングル ID・マルチクラウド : どのサービスを使う場合でも同一 ID で利用可能
    ロケーションフリー : 場所を問わずサービスが利用可能
  • 管理者から見た場合の最終的なゴールは…
    プラガブルアーキテクチャ : 各種クラウドサービスの追加が容易
    統合セキュリティインシデント管理 : 1 ユーザ 1 ID のためユーザの作業追跡が容易

image

近年、多くの企業がマルチクラウド活用を目指すようになりましたが、特にエンドユーザが期待するマルチクラウド活用というのは、IT 基盤として AWS と Azure のどちらでも自由に選択できるようにすることではなく、世の中に数多ある SaaS サービスを、速やかに自分の IT 環境に組み込んで使えるようにすることであり、それによって自分たちのビジネスを速やかに変革していくこと(DX、デジタル変革を推進すること)です。つまり、IT 環境のあるべき姿は、SaaS 型のサービスをいかに速やかに自環境に組み込んでいけるのか? という視点で考えるべきであり、その受け入れ態勢として必要とされる IT 環境・インフラに求められる機能は、先に述べた 4 つの技術要素、すなわち

  • ID 管理・権限制御
  • デバイス・サーバ保護
  • 情報保護・統制
  • ログ収集・監査

を持った、プラグイン型のシステム受け入れを可能とする、ゼロトラスト型マルチクラウド IT 環境なのです。

もちろん、ここで書いたゼロトラスト型ネットワークやマルチクラウド IT 環境の理想像が、かなり理想論的すぎるのは確かです。ここまでの説明だけだと、私自身も猛ツッコミしたくなります;。

  • システム間には必ず連携があるけど、それどうするの?
  • そもそも既存システムはどうするの?
  • 社内ネットワークは捨てるの?

これらの疑問は以降の解説で順番に解消して現実論に落とし込んでいきますが、いずれにせよ、IT インフラの未来像を考えていく上で、

  • セキュリティレベル底上げのために、セグメンテーション戦略によりラテラルムーブを防止し、ネットワークへのセキュリティ依存度を下げて全体のセキュリティリスクを下げること
  • そしてそれに合わせて生産性改善や DX 推進のために、SaaS 型のクラウドサービスを容易に組み込み・受け入れ可能な形に IT インフラをデザインしていくこと

というのが大きなポイントになります。

[ゼロトラスト型 IT 環境構築の基本ツールセット E5 Security]

このゼロトラスト型マルチクラウド IT 環境のあるべき姿を模索・研究しているときに、赤間がエンジニアとしてものすごく感心したのは、そもそも自分の所属しているマイクロソフトの IT 環境そのものが、この環境を志向している、という点でした(なのでこの理想像を考えていく際に、赤間自身が使っている日々の IT 環境を分析・解析することが大きなヒントになりました)。マイクロソフト自身は他社のクラウドサービスを利用しているわけではないものの、実はマイクロソフトの IT 環境は、こうしたゼロトラスト型 IT 環境そのものになっており、前述した 4 つの技術要素を綺麗に押さえています。具体的には、

  • ID 管理・権限制御 → Azure AD による SSO や、Azure PIM による時限制での権限貸し出し、条件付きアクセスによる動的信頼度評価
  • デバイス・サーバの保護 → ATP による末端端末の保護
  • 情報保護・統制 → AIP による Office ドキュメントの保護と流通統制
  • ログ収集・監査 → Sentinel による SIEM と M365/Azure Security Center によるログ収集とセキュリティ監査

といった具合に、綺麗にこれらの技術要素をカバーしています。より詳細に書くと以下の通りです。image

特にゼロトラストセキュリティの実務においては、これらの 4 要素は独立しているわけではなく、連動させることが必要になります。例えば、ユーザアカウントが失効されたらそれに連動して権限剥奪することが必要ですし、端末のセキュリティ状態に応じてユーザ認証や許可制御を認めるかどうかを調整することも必要です。また、セキュリティログ解析も当然、ID 管理などと連動しなければならず、これらの仕組みが連動しなければ、セキュリティ運用の効率・質が落ちることになります。

マイクロソフトが近年推進しているセキュリティソリューションセットとして E5 Security というセキュリティスイート製品があるのですが、この製品については(営業の最前線にいると)ぶっちゃけ「高い」「価値がよくわからん」とお客様から言われます;。それはある意味当然のことで、境界型ネットワークセキュリティモデルの前提で考えている限り、E5 Security の必要性は出てこないためです。ゼロトラスト型ネットワークのセキュリティモデルを目指そうとしたときに初めて出てくる、新たなセキュリティの柱を実現しようとしたときのソリューションセットが E5 Security なんですよね;。逆に言うと、ゼロトラスト型ネットワークのセキュリティモデルを実現しようとしたときに、この 4 要素をここまで綺麗にスイートとして提供している企業は、おそらくマイクロソフト以外にないのでは? と思います。他社製品を調べてみると、これらを一部もしくは断片的にカバーしているものはあるのですが、全体を包括的に提供しているものがないんですよね(もともとクライアント環境にマイクロソフトが強い、という点が大きいと思いますが)。もちろん、個々の要素単位では他社製品の方が強い、というものもあると思いますので、E5 Security をベースラインとして導入し、その上でさらに他社製品を組み合わせてより堅牢な IT 環境を実現しようとする考え方になると思います(そこまでがっつり頑張るのは金融系などに限られるかもしれませんが;)。

[ゼロトラスト型ネットワークベースの IT インフラのもたらすメリット]

ここまで主にセキュリティ強化という文脈でゼロトラスト型ネットワークベースの IT インフラの目指す姿を解説してきましたが、途中でいくつか差し込んで説明したとおり、この IT インフラのもたらすメリットは、セキュリティ強化だけにとどまりません。一部、未来に向けた妄想も入りますが^^、4 つほど取り上げてみたいと思います。

#1. ネットワークコスト(回線費用)

現在の企業ネットワークの多くは、閉域ネットワークを構成するために、高額なキャリア WAN 回線を利用していることが多いです。また社内 LAN にしても、うっかりすると机の上にケーブルが 2 本出ていてそれらを使い分ける(本番 LAN と開発 LAN など)、などといったケースもまだまだあるでしょう。しかしゼロトラスト型 IT インフラであれば、それこそインターネット回線上でも一定のセキュリティを確保できるため、社員にはモバイルルータを 1 個持たせてしまえばそれでおしまい、といった形にできる可能性も出てきます。5G などを使った物理ネットワークの撤廃……はさすがに夢を見すぎかもしれませんが^^、高額な WAN 回線や維持管理コストの高いハードウェア VPN 機器の削減など、回線にかかるコストを削減していくための道筋をつけることができます。

#2. 3rd party SaaS の利活用促進

アジリティの高い IT 環境の実現のためには、やはり市場に存在する SaaS サービスの利活用が必須です。もちろん、実際の組み込みには SaaS サービスの仕様確認や実体検査などの作業は必要になりますが、ゼロトラスト型の IT インフラ環境により、様々な SaaS サービスをシームレスかつスムーズに組み込んでいける環境を実現しておくことが重要になります。

余談ですが、ゼロトラストセキュリティへ取り組むことになった最初のきっかけが、セキュリティ向上ではなく IT のアジリティ向上だった、というお客様もいました。世の中に数多存在する SaaS サービスを活用したいのに、それを使える IT インフラ基盤になっていない、これをどう変えて行ったらよいのか? というところから、ゼロトラストセキュリティに行きついた、というケースです。狙いや目的は違うのに、最終的に行きつく理想の IT インフラ像が同じ、というのは面白い話だと思います。

#3. 各システムの独立性の確保

特にガバナンスの効いている大企業の場合、オンプレミスやクラウド上に、〇〇共通基盤という名前での標準環境を構築している場合がよくあります。業務システムを利用する場合には基本的にこの共通基盤上に作成せよ、というものなのですが、多くの場合こうした共通基盤は閉域の境界型セキュリティモデルベースで設計されており、またある特定の SI ベンダー(あるいは自社)の管轄下に置かれています。その結果として、ある業務システムを作る際に自由に SI ベンダーを選ぶことができなかったり、基盤チームとの調整にかなりの工数がかかってしまったりすることが少なくありません。

しかし、セグメンテーション戦略に基づいて各業務システムを「個別に」「SaaS サービスであるかのように」「各個を独立した形で」作り、それを自社の IT インフラ環境にプラグイン型で刺し込む形とすると、こうした問題が大きく緩和されます。すなわち、最低限のルール(認証やログ収集など統一を図らなければならない部分についての接続)を守ることは必要なものの、適材適所での SI ベンダーの選択やクラウドインフラの選択などが容易になり、素直なマルチベンダー対応も可能になってきます。

#4. SaaS 契約化による保有 IT の最小化

#3 の考え方は、言ってみれば、カスタム SI 型の業務システムであっても、無理に社内の閉域環境(共通基盤上)に作る必要がない、ということを意味します。となると、(もちろん SI ベンダー側が合意すれば、という条件はつきますが)、カスタム SI 型の業務システムであっても、ベンダー側から SaaS モデルで提供してもらう、ということが可能になってきます。これにより、自社内で構築・運用しなければならない範囲を最小化し、「持たざる IT」をより促進していくことができます。

image

……と、いろいろ書いてみました。さすがに #4 になると妄想がすぎるだろう、というのは書いている私自身も思うところではありますが;、ただ、サーバ側の業務システムにもマイクロセグメンテーションの考え方を適用して SaaS モデル化を進める、というのは、実は思っている以上の可能性を秘めている、ということです。こうした未来を想定しながら IT インフラ全体をデザイン・再設計していくことは、DX (デジタル変革)を目指すための IT インフラモダナイゼーションとしては極めて重要だと考えます。

(重要) なお、マイクロセグメンテーションという用語に関しては、資料やベンダーによってかなり説明がバラついているのが実態です。特にセキュリティベンダーやネットワークベンダーが語る場合には、「サーバなどの最小デバイス単位で行う NSG/ACL 制御」のことをマイクロセグメンテーションと呼ぶことが少なくないのですが、サーバをあまりにも小さな単位でセグメンテーションしすぎると、NSG/ACL が複雑・肥大化しすぎて、論理的(業務的)な意味を管理しきれなくなる、という問題があります。クライアント環境は端末単位でセグメンテーションすればよいので単純なのですが、サーバ環境に関してはサーバ一台単位ではなく、業務システムなどある程度の粒度感でセグメンテーションした方が現実的には論理的(業務的)な意味を管理しやすくなります

マイクロセグメンテーションで重要なのは、ラテラルムーブ(水平移動・水平攻撃)の防止であり、セキュリティ事故(セキュリティインシデント)の封じ込めです。クライアント環境では、ある端末で起こってしまったマルウェア感染をいかに封じ込めるのかが重要であり、サーバ環境では、あるシステムで起こってしまったセキュリティ事故をいかに封じ込めるのかが重要です。この観点からすると、サーバ側環境は、「業務システム」といったある程度のサイズの括りでセグメンテーションするのが現実的です。このあたりのことは Part 3. の「サーバ環境のゼロトラストセキュリティ」にて解説します。

[既存システムが存在する現在の IT 環境からの移行ステップ]

ここまで IT 環境の目指すべき姿としてのゼロトラスト型マルチクラウド IT インフラ環境を説明してきたわけですが、これに真面目に取り組もうとすると、特にサーバ側に存在する既存資産の取り扱いに関して難題に突き当たります。

Office 365 や SFDC といったクラウドの SaaS サービスは、最初からゼロトラスト型(マイクロセグメンテーションされ、ネットワーク経路によらず利用可能になっている浮島型の独立システム)になっていますし、新規で開発するシステムであれば、ゼロトラスト型に作ることも容易です(詳細は Part 3 にて解説)。しかし、既存資産、中でも基幹システムやその周辺システムは、そう簡単にゼロトラスト化することができません。各システム間は複雑に絡み合っているケースが多く、これを簡単に解きほぐして再整理することは、技術的にもコスト的にも非現実的であることが多いです。

この様子を模式的に示したのが下図になります。Office 365 や SFDC などはゼロトラスト型に作られていますが、オンプレミスやその延伸環境(AWS や Azure 上)に作られたシステムは、ゼロトラスト型にはなっておらず、セキュリティ維持のためにネットワークとしての閉域性を必要とします。(※ イラスト的に、IaaS/PaaS/SaaS などのクラウドサービスが、クライアント端末とオンプレミス DC の間に描かれているのは、この後の説明の都合によるものです。)

image

基幹系システムとその周辺システムは、一般的には、特に堅牢性を担保すべきものです。にもかかわらず、最初に述べたように、オンプレミス環境や延伸クラウド環境などにサーバをばんばん立てたりしていくことは、むやみに金庫を膨らませていくことに他なりません。この問題を解消するための現実的な戦略として、「ハイセキュアゾーン」という考え方を導入します。すなわち、

  • 技術的にもコスト的にも、境界型セキュリティでないと守れない(守りにくい)既存資産を絞り込み、これをまるごとネットワーク的に物理隔離し、ファイアウォールや API ゲートウェイを立てて出入り口を一か所に固めてしまう。(例えていうなら、金庫に入れるものを絞り込むことで、さらに堅牢化する)(図の右側のハイセキュアゾーン)
  • それ以外の既存システムやクライアント端末については、システム更改のタイミングで設計を見直し、ゼロトラスト対応を進める。(図の左側のゼロトラストゾーン)

こうしたハイセキュアゾーンの隔離とゼロトラスト化の推進により、社内全体が閉域でないと安全性を担保できない、という状態から脱却するようにします。

image

とはいえ、この最終形に至るまでには時間を要するのも実際です。例えばマイクロソフトの場合、VPN による閉域ネットワークからの脱却や、各システムのクラウド化とゼロトラスト対応には、おそらく約 5~10 年近くの歳月を費やしていますし、今でもゼロトラスト化されていない(=社内 VPN でのアクセスを必要とする)システムが一部残っています(休暇申請システムの msvacation とか。。。多分、改修コストが捻出できないんだと思います;)。

またハイセキュアゾーンを隔離してしまうと、ゼロトラストゾーンにいるエンドユーザがハイセキュアゾーンの基幹系システムを触れなくなってしまうことになるため、この境界を超えるための VDI/DaaS 環境も必要になってきます。

こうした背景を踏まえると、実際には以下のようなポイントを加味した現実的な構成を考えていく必要があります。

image

  • 既存システムが置かれているローセキュアゾーンの拡張を原則として禁止する(図中の A、金庫をむやみにこれ以上膨らませないようにする)
  • 新規開発システムは案件毎に適切な基盤技術を選択してゼロトラスト型で開発する(図中の B、これにより、真の意味でのマルチクラウド(適切なクラウド技術の選択)を可能にする)
  • エンドユーザはゼロトラスト型 FAT 端末を利用し、境界越えのために DaaS を利用する(図中の C、エンドユーザはゼロトラストゾーンに接続し、ハイセキュアゾーンへは DaaS で入る)

(注意・参考) 最近お客様から「マイクロソフトは FAT クライアント推しなのか、それともシンクラ推しなのか?」と聞かれるケースが増えています。この質問が出てくる背景としては、マイクロソフトが WVD (Windows Virtual Desktop)という VDI/DaaS サービスの提供を始めたためだと思われるのですが、基本的にマイクロソフトは FAT 推しです。赤間自身も、FAT クライアントである会社端末(Surface Pro)を社外に持ち出して、自宅で普通に FAT 端末として利用しています。大きな理由としては、以下の 2 つがあります。

  • FAT 端末であっても E5 Security などのセキュリティソリューションを適切に利用することで、システム的なセキュリティは担保できると考えている
  • 現実的な問題として、FAT 端末とシンクラ端末では TCO が大きく異なる(FAT 端末の方が安い)

現在の現実的な世界は、シンクライアントであること(=手元にデータを置かないこと)だけでセキュリティが確保できるほど単純ではありません。ショルダーハッキング(後ろからののぞき見)やスマホ撮影などのリスクは FAT でもシンクラでも代わりがありませんし、シンクライアントであっても、キーロガーや画面録画マルウェアに感染していたら一発アウトです(このため、各自の BYOD デバイスをシンクラ端末として利用するといった行為はセキュリティ観点からは非常に危険性が高いです)。セキュリティ・利便性・コストなどの複数の観点から FAT 端末の方がよい……のですが、その一方で、社内ルールがそうした時代感にまだついてきていないといった問題や、前述した環境における環境乗り換え(ハイセキュアゾーン/ゼロトラストゾーンの境界越え)にはやはり VDI/DaaS が必要です。こうしたことから、基本的には FAT 端末、しかし場所によって VDI/DaaS の組み合わせが必要、というのが現実だと赤間は考えています。

[よくあるゼロトラスト型 IT 環境に関する質問]

ここまで、既存資産を加味した現実的な IT 環境のゼロトラスト移行のイメージを示しましたが(詳細は Part 2, 3 にて解説)、こうしたゼロトラスト型 IT 環境を目指す際に、よく出てくる質問が 2 つあるため、まずこれらについて回答したいと思います。

Q1. 「ゼロトラスト化できない部分をハイセキュアゾーンとして隔離せよ」という話だったが、実際の IT 環境ではほとんどがハイセキュアゾーンになってしまうのではないか?

これは、特に歴史の長い大企業でよく受ける質問です。特に、メインフレームを中心とした既存システムの多くは再設計が事実上不可能であり、ハイセキュアゾーンに入れざるを得ず、システムの 8~9 割はハイセキュアゾーンに入れざるを得ない……となると、結果的にゼロトラストゾーンというのは、既存環境の外側に作られる「薄皮」のようなものになってしまうのではなか? という疑問です。

この点に関しては実際その通りで、どこまでの既存システムをゼロトラスト環境へ移設できるかは、その企業の歴史の長さ/短さに大きく左右されます。ある企業の場合、親会社は歴史が長いため、メインフレームやその周辺はすべてハイセキュアゾーンに残さざるを得ない一方で、グループ企業の若い企業では、ほとんど大半のシステムをゼロトラスト型に移設できる、といったケースもありました。

ただ、実はここで本当に重要なのは、どれだけのシステムをゼロトラストゾーンに移設できるかではありませんゼロトラストゾーン導入の真の狙いは、IT とビジネスのアジリティを高めるところにあります

ここまで述べてきたように、ゼロトラストゾーン導入には、「SaaS サービスを駆使できるゾーンを作ることで、IT とビジネスのアジリティを抜本から高める」効果があります(というより、お客様によってはそれが真のゴールだったりします)。
より具体的には、IT 部門にとって管理負荷の高い境界型セキュリティ型 IT 環境の他に、エンドユーザ主導のデータ駆動型ビジネスを推進できる環境を別枠で整えることが狙いの一つであり、そこでデジタル変革(DX、未来の食い扶持を作っていく)を進めることに真の狙いがあります。
ゼロトラストゾーンが「薄皮」(=IT 投資として少額)であっても、そこでアジリティの高いビジネスを行えるようにすることが重要になる、というわけです。

端的にわかりやすい例で言うと、今の自社環境が制約だらけの閉域境界型の OA 環境だったとしたら、社外コラボレーションも進みません。お客様先で、Office 365 (特に Teams や OneDrive for Business、Power BI/Apps など)を見せると「めちゃめちゃ便利そう」と言われることが結構多いのですが、そういう便利な環境で日常的なビジネスを回せた方が、日常業務の効率アップはもちろんのこと、ビジネスの変革は進みやすい……という、至極単純な話です。

Q2. 閉域社内 LAN を捨ててインターネットベースの環境に移行する、なんていう話は絵空事ではないか?

ゼロトラスト化を推進して閉域環境を脱却すればインターネット上で仕事ができるようになるのはわかる、けれども
すでに構築された社内 LAN を捨ててインターネットへ移行するなんて非現実的では……? という質問です。

これに対する回答は簡単で、社内 LAN はそのまま使い続けてください、というよりむしろ残し続けてください、となります。この点は、ゼロトラスト化=社内閉域ネットワークからの脱却、という構図で捉えてしまっていたり、閉域型セキュリティ vs ゼロトラスト型セキュリティという単純な対立構図で捉えてしまっている場合によくある誤解です。

改めて原点に立ち返ってみると、ゼロトラスト化の狙いは、社内 LAN が閉域でなくても一定の安全性を保てるようにすることですが、社内 LAN が閉域であってはダメだ、とはどこにも言われていません。いやむしろ、社内 LAN が閉域であれば、それはさらに安全性を高める『一要因』(プラス α)になります

実はこのポイントこそが、真のゼロトラスト(信頼の積み上げという考え方)への入口になります。

従来の境界型セキュリティモデルの問題点は、「境界の中か外か?」というたった一点のみをよりどころにして、作業の OK/NG を判断する、というところにありました。しかし現実の世界を考えてみればこんな雑な話はありません。話を単純にするために、ここまでは、ゼロトラストセキュリティでは「相手が誰か?(主体・プリンシパルが誰か?)」に基づいて、通信や作業の OK/NG を判断せよ、と解説してきたのですが、

  • 業務システム A に関しては、作業者が赤間さんであれば(=赤間さんのパスワードを知っていて多要素認証を突破できれば本人であると認めて)利用を許可する
  • しかし重要システム B に関しては、作業者が赤間さんであるだけでは不十分で、セキュリティが確保された安全な端末からアクセスしていることが確認できない限りは利用を認めない
  • さらに超重要システム C に関しては、上記に加えて社内ネットワークからのアクセスであることが証明できなければ利用を認めない

といった具合に、システムの重要性などに応じて、より適切な認証・認可制御を行わなければなりません。そしてこの考え方は、

  • 赤間さんがあることをしたい場合に、(ゼロの信頼状態から)「どこまでの信頼を積み上げれば」その作業の許可が得られるのか?

というふうに解釈できます。これこそが「ゼロトラスト」の考え方になります。

実はこの考え方に立脚すると、「ネットワーク経路」は、主体(ID)の信頼性(正当性)を高める一要素である、と捉えることができます。逆に言うと、一要素でしかないので、これだけに依存した認証認可制御ではダメ、ということでもあります。

この信頼の積み上げに利用できるセキュリティ要素としては、例えば以下のようなものがあります。

  • パスワードなどのクレデンシャル情報
  • 生体認証のための情報
  • 多要素認証やワンタイムパスワード
  • いつも使っている場所からのアクセスか否か
  • アクセスに利用しているネットワーク環境
  • 端末の状態(例:アンチマルウェアがインストールされているか、スキャン済か、怪しい挙動はないか?)

マイクロソフトの場合、このゼロトラストセキュリティを具現化している仕組みのひとつが、Azure AD の条件付きアクセスです。条件付きアクセスではアクセスポリシーを定義することにより、上記のような様々なセキュリティ要素(シグナルと呼ばれます)を総合的・動的に判定し、当該システムを使うための認証を通してよいかどうかを判断します。これこそまさにゼロトラストの考え方を具現化したものだといえます。

概念的な条件付きアクセスのプロセス フロー

……と、ここまで来てようやく真の意味での「ゼロトラスト」コンセプトの入口に立つことができるのです。

ここまでの長い長い解説からわかるように、ゼロトラストセキュリティでは「ゼロトラスト」の部分だけ(=信頼をどう積み上げるのか?)を切り出して考えても IT 環境全体のセキュリティ強化にはつながりません。実は IT 環境全体のセキュリティ強化においては、適切なセグメンテーション戦略によるラテラルムーブメントの防止とセキュリティインシデントの封じ込め戦略が実務上は真っ先に重要であり、そこにさらにゼロトラスト(信頼の積み上げ)の考え方を加えることにより、より一層の優れたセキュアな環境を実現できる、という形になっています。

そしてここまでの解説からわかるように、適切なセグメンテーション戦略によるラテラルムーブメントの防止とセキュリティインシデントの封じ込め戦略は、クライアント環境とサーバ環境で大きく方針が異なります。特に重要なのはセグメンテーションの粒度で、このことを意識・理解して IT 環境全体のグランドデザインを引かないと、本来ゼロトラスト化により期待されるはずの様々な効果、すなわち IT 部門にとって管理負荷の高い境界型セキュリティ型 IT 環境の他に、エンドユーザ主導のデータ駆動型ビジネスを推進できる環境を別枠で整えることや、プラグイン型の IT 環境による SaaS の容易な組み込みといった大きなメリットを得にくくなります。

また、こうしたゼロトラスト型 IT 環境を実現し、そこでデジタル変革(DX)を推進していくためには、社内のルールやガバナンスといった仕組みの見直しや、エンドユーザ教育なども重要になります。デジタル変革(DX)を推進していくための礎となるのは、閉鎖的な IT 環境からの脱却、新たなゼロトラスト環境を活用していくための社内ルールやガバナンスの見直し、そしてそれを使いこなせる社内 IT 人材の育成の 3 つです。

image

赤間が中心となってマイクロソフトの金融チームで推進している FgCF (Financial-grade Cloud Fundamentals)という取り組みの中核にあるのはこの考え方です。本 blog エントリではこれ以上の深掘りはしませんが、IT 環境のゼロトラスト化に併せて、これらの柱についても併せて検討を進めていただければと思います。

image

[まとめ]

というわけで、とてつもなく長いエントリになりましたが(しかもまだ Part 1 ですが;)、ここまでの説明をまとめると、以下の通りとなります。

  • 凶悪化するサイバー犯罪に対抗するためには、新しいセキュリティモデルが必要
    • ネットワーク境界型のセキュリティ対策だけでは太刀打ちできない
    • ゼロトラスト型ネットワーク(ゼロトラスト型セキュリティ)が一つの答えになる
  • ゼロトラスト型ネットワークとは…
    • ネットワーク境界に依存しない新しいセキュリティモデル
    • 根底にある考え方は、適切なセグメンテーション戦略によるラテラルムーブメントの防止と、セキュリティインシデントの封じ込め戦略
    • 実務上は、このポイントが真っ先に重要になる
  • ゼロトラスト型ネットワークを実現するための技術的な柱は…
    • ① ID 管理・権限制御
    • ② デバイス・サーバ管理
    • ③ 情報保護・統制
    • ④ ログ収集・監査
    • image
    • マイクロソフトの E5 Security は、これらの技術的な柱を支えるための基本となるセキュリティスイートを提供しているという特徴がある
  • ゼロトラスト型 IT 環境がもたらすメリットは、内部攻撃耐性の強化に留まらない
    • 真の狙いは、ゼロトラストゾーンを導入して「SaaS サービスを駆使できるゾーンを作ることで、IT とビジネスのアジリティを抜本から高める」ところにある
    • それ以外にも、ネットワークコスト(回線費用)の最適化や SaaS 契約化による保有 IT 最小化などの未来像につなげていくことができる
  • 実際のゼロトラスト導入には、既存環境を意識した現実的な戦略が必要
    • 境界型防御が必要なハイセキュアゾーンの隔離(ゼロトラストゾーンとの分離)
    • 閉域環境へのむやみな拡張を抑止、ゼロトラストゾーンで DX を積極的に推進する
    • ※ IT に関わるメンバーがゼロトラスト構想を理解し、説明・推進できるようにすることも重要
  • 「ゼロトラストセキュリティ」とは、上記のような環境において、「信頼がゼロの状態からどこまで信頼を積み上げれば認証・認可が得られるのか?」という考え方である
    • 「ネットワーク経路」は、主体(ID)の信頼性(正当性)を高める一要素でしかない
    • パスワードなどのクレデンシャル情報、生体認証のための情報、多要素認証やワンタイムパスワード、アクセス元、端末状態などの様々な要素を総合的に判断できる仕組み・仕掛けにより、ゼロトラストセキュリティを実現する
    • マイクロソフトソリューションの場合には、Azure AD の条件付きアクセスによりこれが実現されている

さて、ゼロトラストセキュリティの実現に関しては、前述したように、適切なセグメンテーション戦略によるラテラルムーブメントの防止とセキュリティインシデントの封じ込め戦略に関して、クライアント環境とサーバ環境で大きく方針が変わることを意識する必要があります。以降では、まずクライアント環境についてのセキュア化、次にサーバ環境のセキュア化について解説していきます。クライアント環境のセキュア化については E5 Security が、サーバ環境のセキュア化については Azure Well-Architected Framework (の Security セクション)がカギとなります。これについて、順番に解説していきましょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です