【ブログ翻訳】ゼロトラストとは何か?

The Language of Cybersecurity (1)

2021年3月10日

「ゼロトラスト」とは、Forresterが2010年に初めて発表したセキュリティの基本概念で、企業内のすべてのデバイス、ユーザー、アプリケーションを継続的に検証して信頼性を担保するセキュリティの考え方に、新しいアプローチを提唱しています。

ゼロトラストの概念が生まれる以前は、大多数のセキュリティチームが、強力な防御力を持つネットワーク境界を安全のよりどころとする「信頼するが検証する」アプローチに依存していました。このモデルは、ネットワーク境界内のすべて(組織のユーザー、リソース、アプリケーションを含む)が信頼できることを前提としています。ゆえにセキュリティチームは、ユーザーとリソースを考慮することなく(デフォルトで)アクセス権や特権を付与しました。 対照的に、境界の外側にあるものはすべて、アクセスする前に必要条件をクリアする等の必要がありました。
従来のセキュリティが「信頼するが検証する」であるのに対し、ゼロトラストは「決して信頼せず、常に検証する」です。ゼロトラストセキュリティは、すべてのリソースが組織のネットワークの外部にあると見なします。ユーザー、リソース、デバイス、アプリケーションを継続的に検証し、必要最小限のアクセス権のみを許可します。 ゼロトラストセキュリティ プログラムを確立するには、複数のITコンポーネント間の連携が求められ、包括的なアプローチが必要です。

 

ゼロトラストの概念は、時間の経過と共にどのように変化したか?

ゼロトラストの実装は、時間と共に変化しています。 組織はキャッチーな名前に応えてゼロトラストの絶対主義者である必要はありません。常にすべてを検証することは、不可能ではないものの非現実的です。

代わりにゼロトラストは本質的に安全なものは無いというスタンスに立ち、すべての検証を求めるバイナリの概念から、より特別な意味あいを持つ動的なものへと進化しました。こんにち、ゼロトラストは、より広範なデータセット、リスク原則、動的なリスクベースのポリシーを組み込んでアクセスの決定を行い、継続的なモニタリングを実行するための強固な基盤を提供します。ゼロトラストベースの防御は、脅威インテリジェンス、ネットワークログ、エンドポイントをはじめとするさまざまな情報源からデータを取得して、アクセス要求とユーザーの行動を評価します。Forresterに加えて、GartnerとNISTは近年、ゼロトラストを提唱し、より広くより動的なアプローチを広げ、ゼロトラストを支持する文書を公開しました。

昨今、ゼロトラストへの関心は、世界的規模のパンデミックで加速した下記のようなマーケットトレンドに牽引されて、急上昇しています。

  • 加速するデジタルトランスフォーメーション(顧客、従業員、パートナーとのビジネスインタラクションを最新化、活発化するための新しいテクノロジーとソリューションの採用)
  • クラウド/ SaaSへの移行
  • リモートワーク
  • VPN保護下の信頼ゾーン(境界線ネットワーク)の消滅と、ファイアウォールは内部からの攻撃の検出とブロックにはあまり有用でなく境界外部の対象を保護できないという認識

 

ゼロトラストは、ITセキュリティに対する以前のアプローチと比べて何が異なるのか?

以前は、ほとんどの企業内IT環境において、信頼は主にユーザーのいる場所で確立していました。ユーザーは、企業所有のコンピューターで社内から自社のリソースにアクセスします。このようにユーザーが物理的に社内で執務することが、一般的に自社内に設けられたデータセンターのITリソースにアクセスするための審査や資格の要件を満たしていることを意味しました。 「トラステッドゾーン」は、ファイアウォール、不正侵入検知/防御システムをはじめとする許可済みの(保護用)テクノロジーで守られていました。

時間の経過と共に企業のIT境界は、リモートオフィスやサテライトオフィスも対象として広がりをみせ、安全なプライベート接続を通じてトラステッドゾーンを効果的に拡大しました。2000年代の初頭にVPNやWiFiといった新しいアクセス方法が登場し始めると、新しいテクノロジーによる認証とアクセス資格情報が加わり、境界の相対的な整合性が維持されました。これらの中には、二要素(2FA)認証トークンとポートベースのネットワークアクセス制御(NAC)のIEEE802.1x標準がありました。

その後、クラウドコンピューティング、個人所有デバイスの持ち込み、ハイパーモビリティの進化により、すべてが変わりました。組織は現在、単一のトラステッドゾーンの境界をはるかに超えたところにあるITリソースに依存しています。さらに従業員、パートナー、顧客は、任意の場所、時間、デバイスからシステムにアクセスする必要があります。結果として生じたセキュリティの脆弱性と亀裂により、セキュリティ違反が頻発し、ハッキングの新時代の到来を告げました。かつての境界依存は、時代遅れになったのです。

境界偏重型セキュリティのほころびは、ゼロトラストの道を開きました。しかし、2010年でもそのコンセプトがまったく新しいものではなかったことは注目に値します。「ゼロトラスト」という名前は斬新で注目を集めましたが、本質的に信頼できないインターネットの世界で信頼性を確立する方法は、40年以上にわたって学術研究の命題でした。実際に、40年近く前に遡るRSAの設立は、1970年代後半に行われた信頼できない空間で安全な通信とトランザクションを確立する学術研究に端を発しています。

数十年を経てデジタルトランスフォーメーションがビジネスと社会を左右するようになり、信頼へのアプローチはますます進化し続けています。

 

なぜセキュリティチームは今、ゼロトラストを考慮する必要があるのか?

近年、ゼロトラストの存在は、着実に知られるところとなってきましたが、COVID-19パンデミックに起因する混乱により、組織が大きな混乱の後に回復力を構築する方法への関心が高まっています。

従来と同様に、セキュリティとリスク管理のリーダーは、デジタルリスク管理を成熟させるためのかなり洗練された計画と共に新しい10年を迎えました。しかし、COVID-19の流行により、セキュリティチームの焦点は、リモートワーカーの有効化、業務の変更に応えたビジネス機能の維持、新しい機会の活用、サードパーティサプライチェーンのリスクの再評価、オンライン新人研修の増加などへと変わってきました。予算は削減または凍結され、保留プロジェクトは長いリストとなり、当初は減りましたが、後に急速に増加しています。チームは現在、既存の複雑なセキュリティやリスク管理体制に必ずしも適切に合っていない新しいデジタルイニシアチブの保護に直面しています。

ゼロトラストは、デジタルトランスフォーメーションの追従に苦労している組織に、適切で精査されたアプローチの基礎を提供します。

 

ゼロトラストを取り入れるために、組織はどのようなテクノロジーとインフラストラクチャを導入する必要があるのか?

2020年8月、NISTはNIST Special Publication 800-207:Zero Trust Architectureを公開しました。これにはゼロトラストアーキテクチャの論理コンポーネント、考えられる設計シナリオと脅威が含まれています。また、ゼロトラストの原則を追求したい組織のための一般的なロードマップも示しています。

以下では、アーキテクチャの要素について説明し、ゼロトラストアーキテクチャと連携するRSAポートフォリオの製品と機能を紹介します。

 

以下は、該当するRSA製品およびサービスへの参照を追加した各要素(NIST SP 800-207で定義)の解説です。

 

ポリシーエンジン:このコンポーネントは、特定サブジェクト向けリソースへのアクセスを許可する最終的な決定を担当します。ポリシーエンジンは、企業ポリシーと、外部ソース(例えばCDMシステム。以下で説明する脅威インテリジェンスサービスなど)からの入力を信頼アルゴリズムへの入力として使用し、リソースへのアクセスを許可、拒否、または取り消します。ポリシー管理者コンポーネントとペアになっており、ポリシーエンジンが決定を行い、ログに記録し、ポリシー管理者が決定を実行します。

RSA SecurID Accessの役割ベースおよび属性ベースのアクセス、条件付きアクセス、リスクベースの分析はすべて、ポリシー決定とポリシーエンジンの両方を確立するための基本的なコンポーネントです。

 

ポリシー管理者:このコンポーネントは、サブジェクトとリソース間の通信パスを確立あるいはシャットダウンする責任を持ちます。クライアントが企業リソースにアクセスするために使用する認証、認証トークン、資格情報などを生成します。ポリシー管理者はポリシーエンジンと密接に関連しており、最終的にセッションを許可または拒否するという決定に依存しています。一部の実装では、ポリシーエンジンとポリシー管理者を単一のサービスとして扱う場合があります。ポリシー管理者は、通信パスの作成時にポリシー実施ポイントと通信し、 この通信は、コントロールプレーンを介して行われます。

RSA SecurID Accessは、認証を管理し、ポリシー施行ポイントから要求されたときにアクセスを決定するための、さまざまな認証方法とユーザーエクスペリエンス(例えば、認証の選択やBYOA:Bring Your Own Authentication)を提供します。

 

ポリシー施行ポイント:このシステムは、サブジェクトと企業リソース間の接続を有効にしてモニターし、最終的には接続を終了する役割を果たします。

これはゼロトラストアーキテクチャの単一の論理コンポーネントですが、2つの異なるコンポーネントに分割される場合があります。クライアント(ユーザーのノートPC上のエージェントなど)とリソース側(アクセスを制御するリソースの前にあるゲートウェイコンポーネントなど)、または通信パスのゲートキーパーとして機能する単一のポータルコンポーネントです。ポリシー施行ポイントを超えて、企業リソースをホストする暗黙の信頼ゾーンがあります。

RSA製品は、パートナーポリシーの施行対象(VPN、Webサイト、アプリケーションなど)により実施されるポリシーを決定することも、エンドポイントデバイスでポリシーを直接、実施することもできます。

RSA SecurID Accessは、ポリシー決定機能として機能し、無数のパートナーデバイス(デスクトップ、サーバー、仮想マシン、Webサーバー、ポータル、ネットワークデバイス、アプリケーションなど)と連携して、ユーザーを認証し、アクセス権限を決定します。

RSA NetWitnessエンドポイントは、エンドポイントを分離および隔離できます。手動あるいはリスクベースやルールベースでエンドポイントデバイス上の特定のプロセスをブロックできます。新しい脅威を検知すると、RSA NetWitness Endpointエージェントはファイルをブラックリストに登録して、ランサムウェアなどの攻撃からの迅速な防御を確保します。重要なのは、企業ネットワーク上のデバイス、「ローミング」ことネットワーク非接続デバイスの両方に完全に対処できることです。

 

データアクセスポリシー:データアクセスポリシーとは、企業リソースへのアクセスに関する属性、ルール、ポリシーです。 この一連のルールは、ポリシーエンジンでエンコードするか、ポリシーエンジンが動的に生成します。これらのポリシーは、企業内のアカウントとアプリケーションに基本的なアクセス権限を提供するため、リソースへのアクセスを承認するための開始点として、組織が定義したミッションの役割とニーズに基づいている必要があります。

RSA Identity Governance and Lifecycleは、ガバナンス、構造化データと非構造化データの可視性、最小特権の原則を適用できるようにするための分析とインテリジェンスに明確に焦点を当て、リソースへのアクセスを承認するための理想的な出発点です。

 

アイデンティティ管理システム:アイデンティティ管理システムは、企業ユーザーアカウントとIDレコード(LDAPサーバーなど)の作成、保存、管理を担当します。このシステムには、必要なユーザー情報(名前、電子メールアドレス、証明書など)と、役割、アクセス属性、割り当てられた資産をはじめとする企業特性が含まれています。 このシステムは多くの場合、ユーザーアカウントに関連付けられたアーティファクトに他のシステム(PKIなど)を利用します。このシステムは、より大規模な連合コミュニティの一部である場合があり、社外の人やコラボレーションのための社外にある資産へのリンクが含まれる場合があります。

RSA SecurID Suiteは、一般的なすべてのID管理システム(Microsoft AD / Azure AD / AWS ADなど)と統合して、ゼロトラストアーキテクチャが機能するために必要なポリシー、管理、メソッドとアイデンティティをシームレスに統合します。

 

セキュリティ情報およびイベント管理(SIEM)システム:SIEMは、セキュリティを中心とした情報を収集し、分析します。分析データを使用してポリシーを調整し、企業資産に対する攻撃の可能性を警告します。

RSA NetWitness Platformは、従来のログベースのSIEMの機能を超える機能を持つ進化したSIEMです。ログとネットワーク情報の両方を、ネイティブログ、フルパケット、メタデータで保存します。あらかじめ用意されているコンプライアンスレポートは、特定のセキュリティフレームワークとの整合性を判断するのに役立ちます。

広範なデータ分析エンジン(UEBAを含む)は、従来のSIEMワークフローのセキュリティ操作を超えてセキュリティ操作を改善するための高度な機能を提供します。 データの視覚化により、セキュリティアナリストはリスクを迅速に特定し、問題への対応を実行し、セキュリティ組織全体で共同作業を行うことができます。

 

脅威インテリジェンス:脅威インテリジェンスは、ポリシーエンジンがアクセス可否を判断する際に役立つ内部または外部ソースからの情報を提供します。 脅威インテリジェンスは、内部または複数の外部ソースからデータを取得し、新たに発見された攻撃または脆弱性に関する情報を提供するサービスです。また、ブラックリスト、新たに特定されたマルウェア、ポリシーエンジンがアクセスを拒否した他資産への攻撃例も含まれます。

RSA NetWitness Platformは、RSA Liveから脅威インテリジェンスを取り込みます。 RSA NetWitness Orchestratorは、サブスクリプションベースの脅威フィード、オープンソースの脅威フィード、クラウドソーシングされた脅威インテリジェンスを組み込んで、以前のリスクの調査から得た履歴情報のライブラリを維持します。オープンソース、外部、クラウドソーシングによる脅威インテリジェンスにより、組織は新たに出現する脅威を可視化できます。 脅威インテリジェンスは、アクセスの決定を含む自動化されたアクションをトリガーできます。

RSA SecurID Accessは、内部および外部のシグナルを活用して、保証を強化し(ポジティブシグナル)、脅威を特定します(ネガティブシグナル)。たとえば、ユーザー履歴、行動分析、IPアドレス、ネットワーク、場所などの内部信号は、リスクベースの認証とアクセス可否を決定する要因となる可能性があります。 また、RSA NetWitness Platformや他の拡張検出および応答(XDR)、エンタープライズモビリティ管理(EMM)システムからの脅威分析などの外部信号も組み込むことができます。

 

ネットワークおよびシステムアクティビティログ: このエンタープライズシステムは、資産ログ、ネットワークトラフィック、リソースアクセスアクション、企業情報システムのセキュリティ体制に関するリアルタイム(あるいは、ほぼリアルタイム)のフィードバックを提供するイベントを集約します。

RSA NetWitness Platformは、ログ、NetFlow、ネットワークパケット、エンドポイントからのインテリジェンスを活用して、リスクのある状態や脅威を特定、調査、解決するための情報をセキュリティ組織に提供するように設計、開発されています。特許技術によりデータを収集し、他社SIEMよりも高速にメタデータとして処理すると同時に、必要に応じて生データを並行して保持します。 このプロセスにより、大規模なデータストアからのデータ処理を待つことなく、インシデント調査時に情報をすぐに利用できるようになります。

これは、RSA Blog (THE LANGUAGE OF CYBERSECURITY, What is zero trust?) の翻訳です。

# # #

© 2020 RSA Security LLC、その関連会社。All Rights Reserved.

RSAおよびRSAロゴ、FraudActionは米国RSA Security LLC 又はその関連会社の商標又は登録商標です。RSAの商標は、https://www.rsa.com/en-us/company/rsa-trademarks.を参照してください。その他の製品の登録商標および商標は、それぞれの会社に帰属します。