ゼロトラストセキュリティ全体像の復習と対策例

ゼロトラストセキュリティについて復習をしました。 復習した内容をブログにまとめます。 ゼロトラストの取り組み順序については、組織の状況やシステム構成によっても変わると思います。 一例として捉えていただけると幸いです。

目次

• ゼロトラストセキュリティとは？
• 大まかな分類
• ネットワーク管理系
  • CASB(Cloud Access Security Broker)
  • SWG(Secure Web Gateway)
  • SDP(Software Defined Perimeter)
  • DLP(Data Loss Prevention)
  • IAP(Identity Aware Proxy)
• 端末管理系
  • MDM(Mobile Device Management)
  • EDR(Endpoint Detection and Response)
• アカウント管理系
  • IAM(Identity & Access Management)
  • IDaaS(Identity-as-a-Service)
• ログ収集、分析系
  • SIEM(Security Information and Event Management)
  • UEBA(User and Entity Behavior Analytics)
• ゼロトラストセキュリティに取り組む順序の例
  • Step1 ID管理と端末管理
  • Step2 アクセスするシステムとデータの洗い出し
  • Step3 データにアクセスするポリシーを策定
  • Step4 アクセスログデータ収集と分析環境整備
  • Step5 データを分析し、分析結果を踏まえて改善ループを回す
• 最後に

ゼロトラストセキュリティとは？

ITシステムの複雑化とサイバー攻撃の高度化により、これまでの境界防御では組織のシステムやデータを守りきれなくなりました。 そこで、あらゆるネットワークを信頼できないものと考え、システムやデータにアクセスする度に検証を行うゼロトラストという考え方が生まれました。

具体的には「誰が（アクセス元）」「どこに（アクセス先）」「どうやって（アクセス方法）」データにアクセスするのかを毎回検証します。 そして、正規のユーザーであることが確認できた場合のみ、ポリシーに従ってデータへのアクセスを許可します。

大まかな分類

ゼロトラストセキュリティは、複数のツールを組み合わせて実現します。 近い将来、あらゆるツールを包括した統合ツールも登場するでしょう。 しかし統合ツールが出たとしても、ツールの機能と性能には強みと弱みがあるはずです。 そのため、当面は複数種類のツールを組み合わせた運用が一般的になると考えています。

2023年4月現在、ゼロトラストセキュリティを構成するツールは、大まかに下記の4つに分類できます。

• ネットワーク管理系
• 端末管理系
• ID管理系
• ログ収集、分析系

ネットワーク管理系

ネットワーク管理系は、悪意のあるサイトへのアクセスをブロックしたり、逆に外部ネットワークから非公開のシステムを隠します。 よく目にする機能を列挙します。

CASB(Cloud Access Security Broker)

クラウド環境へのアクセスを仲介し、利用状況の可視化、アクセス制御、データ損失防止（DLP）などの機能を提供します。 「事前に設定したポリシーに沿ったアクセスか否か」を確認できるため、状況の可視化を通してシャドーITの発見にも繋がります。

Cloud FlareのWebサイトに書かれている解説文がとてもしっくりきました。

『CASBは、施設の安全を守るために、一人の警備員ではなく、複数のサービス（監視、巡回、本人確認など）を提供する物理的なセキュリティ会社のようなものだと考えてください。同様に、CASBは1つのサービスではなく、様々なサービスを提供することで、クラウドにおけるデータ保護プロセスを簡素化しています。』

参照URL
CASB (Cloud Access Security Broker) とは? | Cloudflare

SWG(Secure Web Gateway)

インターネットへのアクセスを中継します。悪意のあるサイトへのアクセスや通信内の悪意のあるファイルの検出やブロックをします。 クラウドサービスの業務利用が一般的になった現代では、業務の中でインターネットへアクセスすることが当たり前になりました。 インターネットにはフィッシングサイトを始めとした様々な脅威が存在するため、SWGの導入は多くの企業で必須です。

参照URL
セキュアWebゲートウェイとは？ | SWGの仕組みと機能 | Cloudflare

SDP(Software Defined Perimeter)

ソフトウェアで外界との間に境界を作ります。ネットワークの境界を作るため、ネットワークの外部からはネットワーク内部のサービスやインフラが見えなくなります。

これまたCloud Flareの例えが秀逸でした。

『使用する会社は、外部から誰も見ることができないように、サーバーやほかのインフラストラクチャに透明マントを被せているようなものです。ただし、権限を持つユーザーは依然としてインフラストラクチャにアクセスできます。』

「透明マント」を使うところが上手いですね。

参照URL
ソフトウェア定義の境界とは？| SDPとVPN | Cloudflare

DLP(Data Loss Prevention)

ネットワークトラフィックやユーザーの利用するデバイスを分析し、データの漏洩や破壊を検知します。 外部からの攻撃だけでなく、内部で意図的に不正を働く人や、従業員の不注意によるデータの流出を検知して防止します。

参照URL
データ損失防止（DLP）とは？ | Cloudflare

IAP(Identity Aware Proxy)

認証基盤と連携してユーザの認証認可を行います。 更にユーザのアクセス権限に従いながら、プロキシとして通信を仲介します。 他要素認証を強制したり、社内システムにコネクターを設置することで、オンプレミスシステムにインターネット経由でアクセスすることもできます。

参照URL
アイデンティティ認識型プロキシ(Identity-Aware Proxy：IAP) | セキュリティ用語集 | サイバーセキュリティ | NECソリューションイノベータ (nec-solutioninnovators.co.jp)

参考書籍

すべてわかるゼロトラスト大全 さらばＶＰＮ・安全テレワークの切り札/日経ＢＰ/技術メディア局クロスメディア編集部

posted with カエレバ

楽天市場

Amazon

端末管理系

ユーザーが使う端末を管理します。こちらもよく目にする機能を列挙します。

MDM(Mobile Device Management)

これまでの境界防御では、社内システムにアクセスする社内のパソコンを管理していました。 しかし現在では、ノートパソコン、スマホ、タブレットなど様々な種類の端末が様々な環境からクラウドサービスにアクセスします。 それらの端末をインターネット越しに管理し、必要に応じて制御するのがMDMです。

例えば、従業員が端末を紛失した場合に端末をロックしたり、端末内の重要なデータを削除します。 また、端末の上で動作するアプリケーションを管理する機能も提供されています。

参考書籍

ゼロトラストネットワーク［実践］入門/技術評論社/野村総合研究所

posted with カエレバ

楽天市場

Amazon

EDR(Endpoint Detection and Response)

ノートパソコンやスマートフォンなど、ネットワークにアクセスするエンドポイントを守ります。 エンドポイントへの攻撃を検出したり、進行中の攻撃をブロックします。 また、遠隔地から端末にポリシーを適用することで、端末のセキュリティ設定を管理します。 その他にも、端末データを暗号化して保護したり、アプリケーションレベルで動作をコントロールします。

参照URL
エンドポイントセキュリティとは？| エンドポイント保護 | Cloudflare

アカウント管理系

ユーザーのアカウントを管理します。こちらもよく目にする機能を列挙します。

IAM(Identity & Access Management)

ユーザーのIDとIDに紐づく権限を確認します。

Cloudflareの解説文です。
『IAMは、ナイトクラブの玄関先に立っている用心棒のようなもので、顧客リストを見て客の入店の可否や、VIPエリアへの入場可否を判断します。』

参照URL
IDとアクセス管理(IAM)とは？ | Cloudflare

IDaaS(Identity-as-a-Service)

IDとアクセス管理（IAM）を提供するクラウドサービスです。多要素認証やSSO（Single sign-on）などの機能を提供します。

参照URL
Identity-as-a-Service（IDaaS）とは何ですか？ | Cloudflare

ログ収集、分析系

ユーザーのアクセスや各種アプリケーションのログを収集します。 さらに、集めたログの分析環境を提供します。

SIEM(Security Information and Event Management)

サーバーやネットワーク機器、クラウドサービスの利用ログを一元管理します。 集めたデータの分析機能もあり、複数のログを組み合わせて分析することで攻撃の兆候や不審な動きを探します。

参照URL
SIEM（Security Information and Event Management）｜セキュリティ用語解説｜NRIセキュア (nri-secure.co.jp)

UEBA(User and Entity Behavior Analytics)

機械学習などを使って、ユーザーや機器の異常な行動やデータを検知し、分析します。

参照URL

• UEBAは何の略か（5分で読めるUEBA入門付き） - セキュリティ事業 - マクニカ (macnica.co.jp)
• UEBA（User and Entity Behavior Analytics） | セキュリティ用語集 | サイバーセキュリティ | NECソリューションイノベータ (nec-solutioninnovators.co.jp)
• UEBAとは？その仕組みとSIEMとの違い | Proofpoint JP

ゼロトラストセキュリティに取り組む順序の例

私がゼロトラストセキュリティ環境構築に取り組むとしたら、大まかに下記の流れで進めると思います。 もちろん環境によって優先順位が変わるので、必ずこの限りではないですが。

Step1 ID管理と端末管理

何はともあれ、まずはIDの管理とデバイスの管理が必要です。 IDを管理しないことには認証も認可できないですし、利用者のログを収集する意義が激減します。 そして、信頼できるデバイスを使ってもらわないことには、今後取り組むポリシー適用の根底がぐらついてしまいます。

Step2 アクセスするシステムとデータの洗い出し

次に状況の把握です。接続先を整理し、アカウントや権限ごとにアクセスポリシーを整理します。

Step3 データにアクセスするポリシーを策定

ここまで集めた情報を元に、「誰が（どのアプリが）アクセスするべきか」「どこまでアクセスしてもよいのか」のポリシーを策定します。

Step4 アクセスログデータ収集と分析環境整備

ポリシーの整理ができたら、次はログやデータの集積と分析環境の整備です。 可能であればユーザ単位ではなくアプリケーション単位でログを収集します。

Step5 データを分析し、分析結果を踏まえて改善ループを回す

集まったデータを分析し、Step1~4を改善するループを回します。

最後に

ゼロトラストセキュリティについて学ぶ必要があったので、書籍やリンク先のWebサイトを参考に全体像を整理しました。 個別の製品を触ったり、トレーニングを受けるチャンスがありそうなので、しっかり学びたいと思います。

ゼロトラストネットワーク［実践］入門/技術評論社/野村総合研究所

posted with カエレバ

楽天市場

Amazon