2022.11.28

真のゼロトラスト・アーキテクチャによるセキュリティ実現の障壁と必要とされるIT技術者の姿

領域境界を踏み越え、成長するIT技術者へ

村上 悠史 

ゼロトラストというものが提唱されてから10年以上が経過し、その間には悪意のある内部犯行者による情報抜出しや、標的型攻撃に伴う「添付ファイルやURLのうっかりクリック」で広がるセキュリティ侵害、新型コロナウイルス感染症の蔓延でリモートワークが急速に拡大したことによるVPNの限界など、セキュリティを取り巻く問題は増大している。
 具体的な数字で見ると顕著であるが、フィッシングの件数は2017年に約1万件[1]報告されていたが、2021年には約53万件[2]となり、4年で50倍強増えている。2022年は10月時点で既に約83万件[3]となり年間100万件を突破する可能性も見えている。
 また、警察庁からはランサムウェアの感染経路等に関する調査結果[4]が報告されており、ランサムウェアに限定すれば、VPNを感染源としたものがメール本文や添付ファイルによる感染の約8倍となっている。
 同レポートではテレワークの実態についても調査しており、回答した企業・団体の70.5%がテレワークを実施しており、そのうちの約7割が新型コロナウイルス感染拡大に伴い、テレワークを開始したとしている。速やかな対応が求められた中ではあるが、対策の不十分さを狙われている現実がうかがえる。
このような課題や問題を解決する一つの手段として、昨今、ゼロトラスト・セキュリティが市場を席巻している。しかし、ゼロトラスト・アーキテクチャによるセキュリティの導入を進めきれずにいる企業は多く、導入はしたもののゼロトラスト本来の意味で正しい運用ができていない企業もある。本稿では、その背景や要因を解説したうえで、真の意味での正しいゼロトラスト・セキュリティ導入のために必要な考え方とIT技術者のあるべき姿を紹介したい。

ゼロトラストの再確認

まず改めて、「ゼロトラスト」という言葉の定義を確認しておきたい。信頼できる側とできない側を事前に定義し固定させる旧来のファイアウォールの実装方式に見られるのが境界型モデルと言われている。その反対語として、境界を構えない新しいネットワークセキュリティの実装モデルを「ゼロトラスト」と呼ぶ場面に遭遇することがあるが、厳密にいうとこれは「ゼロトラスト」の定義とは異なる。
ゼロトラストを語るうえで避けては通れないのが、NIST(米国国立標準技術研究所)から提供されている文書SP800-207である。ここには「『ゼロトラスト』は設計概念とアイデアを提供している」とあり、ゼロトラストの原則が定義されている。以下はそれを簡潔に要約したものである。[5]

  1. 全てのデータやファイル、コンピューティングリソースやサービスがリソースの対象となる
  2. 接続元や利用機器を無条件に信用することはせず、その通信は暗号化が必要である
  3. リソースへのアクセスはセッションごとにその都度評価する
  4. リソースへのアクセスはユーザーの行動属性や利用するデバイスの環境属性を含めた動的ポリシーを用いて判断する
  5. 全ての資産の把握と資産に対するセキュリティ動作の監視、測定を行う
  6. リソースに対するアクセスが許可される前に、認証と認可を厳格かつ動的に実施する
  7. 動的セキュリティポリシー生成や傾向分析の向上のために、ログの解析に基づく情報、脅威インテリジェンスからの情報、通信の傾向分析情報などを取り込み、ポリシー適用やアクセス制御に反映する

これを見てわかるのは、ゼロトラストはネットワークの要素を含んでいるものの、「境界型ネットワーク」の対義語ではないということだ。ネットワークの考え方としても利用できるのだが、ファイル一つひとつの権限管理にも活用できる原則であり、概念、あるいは考え方ともいえる。この考え方を基に製品ベンダーやサービスベンダーがそれぞれ独自の解釈でソリューションを開発していることが現在のゼロトラストソリューションが多岐にわたっている理由である。

ゼロトラストの難しさ

前述のようにゼロトラストは概念、考え方であり、システム全体の設計や運用ポリシーにまで波及するものである。そのため、ゼロトラスト状態を実現しようとすると考慮すべき範囲が膨大になり、従来のように、簡単に「答え」に到達できるわけではない。これが、製品導入によって課題を解決する旧来からの手法を取っているSIerや企業にとってゼロトラストの導入が非常に難しいと思われる点であると筆者は考える。
ゼロトラストは考え方であり、その適用には複数のシステムや社内コンポーネントを横断的に駆使し、運用していくことが求められるため、製品導入とは基本的なアプローチも違えば、考慮すべき領域も異なり、カバーする範囲も広大なのである。重要なのはデータの流れ方や使われ方を大局的に捉えていくことであり、システムを局所的に見て対処しようとしても期待する効果は得られない。

また、「境界型ネットワーク」から「ゼロトラストネットワーク」へ変更するといった場合、担当者のアサインの仕方を誤ると導入に苦戦する可能性がある。特に「ネットワーク」や「セキュリティ」のプロジェクトだからと考えて、ネットワーク技術者としてひたすら、「ルータ」や「スイッチ」、「ファイアウォール」の設計や設定を行うようなキャリアを積んできた要員が集まるチームを担当にすると大きな痛手を受けることもある。
ゼロトラストの実現には、ネットワークの要素は当然含まれてくるが、7原則をいかに充足させるかといった側面の方がより重要である。「行動特性をどのように動的ポリシーに組み込むか」、「守るべきリソースは何か」といった、明らかにOSI参照モデルでは分類できないテーマが山積するため、従来の縦割りではなく、複数の領域からメンバーを集め、横断的なチームを編成することが必要不可欠である。そしてそれを束ねるためにはシステムアーキテクトの素養が必要となる。
セキュリティ=ネットワーク担当という図式から脱却し、今一度7原則を充足させることを最優先とした人選で「ゼロトラストチーム」を構成することを推奨したい。

本当にゼロトラスト?

次に事例を二つ紹介する。

SASEを導入するケース

新型コロナウイルス感染症の拡大でリモートワークが増え、真っ先に問題となったのがVPNである。
在宅勤務中のインターネットVPN接続完了後に行われる全てのネットワークトラフィックが社内のデータセンターを経由してからインターネットサイトにアクセスすることで、回線ひっ迫を起こすというのは一時期非常に多く聞いた話で、これを機にゼロトラストネットワークに切り換えたという話もよくある。しかし、今一度正しい視点と考え方で見直してみると実際は、ゼロトラストとは大きく異なる場合もあるのだ。
例えば、「SASEの導入=ゼロトラストネットワーク導入」というのは、よく見られる認識の誤りである。誤解しないで頂きたいのは、VPNによるデータセンター設備の無駄な利用を軽減させるという意味でSASEは有効な打ち手になる場合もあるし、それがゼロトラストネットワークとなる場合もある。一方で、データセンターというリソースに対しての接続の選別化のみ実施し、ユーザーが利用するファイルやデータを考慮に入れないままにした場合、それはVPNの置き換えにしかならない。つまり、データセンター内であればアクセスは自由で、かつそこは信頼できる空間と定義された状態になっており、「境界型ネットワーク」の域を脱していないのである。
前述の7原則と照らし合わせると、最終的に到達するデータが置き去りにされており、「SASEにつなげさえすれば」、「データセンターに到達しさえすれば」、後は従来の防御であるため、これは境界型セキュリティということになる。VPNの置き換えプラスαではあるものの、ゼロトラスト・セキュリティとは言えない。(2, 3, 6のみ合致の可能性あり)

ドキュメント保護(IRM)を適用するケース

Information Rights Management (IRM) はファイル一つひとつにユーザーと許可する権限を付与するもので、実は「非境界型セキュリティ」の走りであると言っても過言ではない。付与できる権限も閲覧、編集、印刷、暗号化などがあり、最近ではリモート会議での資料投影の制限まで可能ある。境界型のファイアウォールやSASEといったものは一切出て来ないが、こちらもゼロトラストの基本原則に照らし合わせると、実は1, 2, 3, 6に該当している可能性がある。
最小単位のリソースまで対象にしているが動的ポリシー適用等については、7原則と乖離があるので、ゼロトラストとは言いにくい。

二つのケースに共通して言えるのは、いずれもゼロトラストネットワークの構成要素となり得るものを導入しており、ゼロトラストまでもう一息ということである。ゼロトラストに限らず、重要なことは「何を」「どういった脅威から守るのか」といったセキュリティの基本に忠実であることと、手段が目的にならないようにすることである。

ゼロトラスト導入の重要なポイント

ゼロトラストの7原則に束縛されることは必ずしも正しいとは言えないと筆者は考えている。ゼロトラストも7原則もあくまでも方向性を示すツールや基準に過ぎず、重要なのは企業やSIerのIT技術者が、企業活動を維持しつつ、守るべき資産を脅威から正しく守り通すことである。そのために原理原則を理解し、リスクと出現率等を考慮したうえで敢えて原則の一部を採用しないという決定はあり得るだろう。これは多くの企業が志向するゼロトラスト・セキュリティとは異なるものになるため、勇気のいる決断になるかもしれないが、重要なのは熟考の末その企業、そのシステムにふさわしい答えを導出することであると考える。

ゼロトラスト・セキュリティ実現のために必要なIT技術者の姿

前にも述べたが、「セキュリティはネットワーク」という考えでOSI参照モデルの世界やパケットが飛び交う世界の話に終始するIT技術者には非常に厳しい時代が到来したと言ってもよい。実際のところ、ID管理や権限、データフロー、何より実データ(実ファイル)のレベルでセキュリティを考える必要が出てきており、これまではユーザーが管理することになっていた領域にまでIT技術者は踏み込む必要がある。場合によっては運用の在り方まで考えることが求められ、これに応じることが必要なケースもあるだろう。
「境界型ネットワーク」を無くすだけではなく、IT技術者の担当や領域間の境界も無くし、全方位的・複合的に考えられるIT技術者が必須になる流れがあり、今後は改めてプラットフォームに近いシステムアーキテクトの重要性と需要が高まると予想される。

 おわりに

筆者は自身のキャリアの多くをネットワークエンジニアとして過ごしてきた後に領域を広げ、システム全体を見るアーキテクトとして経験を積んだ。その目から見ると、このゼロトラスト・セキュリティの考え方は極めて革新的であり、プラットフォームの仮想化が到来したときと同じか、それ以上に従来のIT技術者の有り様を変えてしまう力を持った流れだと感じている。
また同時に、より一層の人材の二極化が進むであろうとも考えている。IT技術者には自分自身の境界を踏み越えて、恐れずに思索の範囲を広げることを推奨する。
まさに「時は今」である。ゼロトラスト・セキュリティへの取り組みをチャンスと捉え、自身の境界を乗り越えて成長し、ITシステムを広く支え、牽引することができるIT技術者が一人でも多く出現することを期待している。

  1. [1] フィッシング対策協議会(2018年), “2017/12 フィッシング報告状況”, https://www.antiphishing.jp/report/monthly/201712.html(参照2022年11月11日)
  2. [2] フィッシング対策協議会(2022年), “2021/12 フィッシング報告状況”, https://www.antiphishing.jp/report/monthly/202112.html(参照2022年11月11日)
  3. [3] フィッシング対策協議会(2022年), “2022/10 フィッシング報告状況”, https://www.antiphishing.jp/report/monthly/202210.html(参照2022年11月11日)
  4. [4] 警視庁(2022年), “令和3年におけるサイバー空間をめぐる脅威の情勢等について”, https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf(参照2022年11月11日)
  5. [5] NIST(2020年), “Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ”, https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/assets/pdf/zero-trust-architecture-jp.pdf(参照2022年11月11日)

村上 悠史

ITセキュリティ担当

マネージャー

※担当領域および役職は、公開日現在の情報です。

  • facebook
  • はてなブックマーク
QUNIE