2020年8月19日水曜日

【5分で分かる】ゼロトラストとは何か

ゼロトラスト(Zero Trust, ZT)という用語が、セキュリティを説明する際に頻繁に使われるようになりました。この記事では、5分で(ある程度まで)わかるように解説します。  


注目のサイバーセキュリティモデル

「ゼロトラスト」を、出来るだけ端的に表すと、  

「静的なネットワーク境界」で防御する方法から、「保護対象へのフォーカス」により防御する方法に移行するサイバーセキュリティの一連の考え方

ということになります。理解するためのキーワードは、脱境界型、非境界化、性悪説です。この考え方自体は、2003年あたりから議論されていましたが、近年急速に形をなしてきたと言えます。その成果の一つとして、NIST(アメリカ国立標準技術研究所)が、ゼロトラストの考え方とそれを実装するためのプランとなるZero Trust Architecture (ZTA)に関する文書をまとめています。2019/9/23に、Draft1が公開され、2020/8/11にfinalが出たばかりです。


Abstractだけでも見ておくと、より理解が進むと思いますが、ここでは、5分である程度まで分かるために、旧来のモデルと、ゼロトラストで提唱するモデルを対比してみましょう。

境界型のセキュリティモデル

これまでのセキュリティでは、ファイアウォールの内側は安全な領域というように、静的なネットワークの区切りをそのまま「セキュリティ的に安全かそうでないか」の境界とするモデルが一般的でした。このモデルで境界の外か中かで、信頼できるかどうかを判断しています。境界を通過する経路だけを強固にしておけば、一定以上の安全が確保できるものでした。ただ、このモデルでは、境界内の信頼された空間内からの攻撃には、対応できません。この攻撃は、ラテラルムーブメント(Lateral Movement: 横方向の移動)と呼ばれます。何食わぬ顔をして、隣の席に座っている隣人が、悪意ある攻撃者である可能性を想定していないというモデルです。分かりやすく、人の行動に例えると以下のような状況です。

厳重な入退室ゲートがあるオフィスで、隣の席で作業をしている隣人は、ゲートを通ってきているし、通行証のようなものを持っているように見える。さらに、このところ毎日見かける人で、日常的に、施錠もされていないキャビネットの資料も閲覧している。

性悪説のセキュリティモデル

ゼロトラストのモデルでは、境界の内外で信頼出来るか否かを評価する形をとらず、アクセス権限があるかどうかを、継続的に評価して、リソースを保護します。前述の「隣の席に座っている隣人」の例でいえば、以下のような運用になります。

普段見慣れた隣の席の人が、キャビネットの資料を見たいというので、まず、その人が本人かどうかを確認し、その資料を閲覧する権限が記載されたリストに存在するか確認した。アクセス権限の確認は、閲覧の機会の度に実施される。

このモデルであれば、常にアイデンティティの確認とアクセス権限の評価が実施されるため、ラテラルムーブメントによる攻撃には強いと言えます。

なぜ、今ゼロトラストが注目されているのか?

では、なぜ、ゼロトラストが注目されているのでしょうか。これまで、強固な境界を設け、一点でアイデンティティとアクセス権限を確認するモデルで、一定の安全を確保出来ていたはずです。既存のインフラストラクチャは、それを実現するように作られていますし、一点集中で確認した方がコストも削減できるはずです。 
 ゼロトラストが議論され、注目されるのは、世の中のワークスタイルやサービス形態の変化によるものが大きいようです。以前であれば、物理的、あるいは静的なネットワークの境界を設けることが出来ましたが、現代では、境界を定義する対象が高度に複雑になってしまいました。テレワークや、BYOD、クラウドベースのサービスなど、多様で今後も変化し続けることが見込まれる環境に対して、境界を維持し続けることが困難になってきました。 境界型のセキュリティモデルでは、境界が守られていることが前提です。境界が崩壊した段階で、信頼されている前提の資産が危険に晒されることになります。また境界が侵されていたとしても、それが明確になるのは、被害が明るみになってからです。長期間に渡って、人知れず、被害が拡大することもあるでしょう。 ゼロトラストモデルであれば、そもそも全てを信頼せず、常に検証するため、事故があった場合でも、早期に発見でき、規模も小さくなることが期待できます。

IDが境界になったんじゃなかったの?

少し前に、従来の境界型セキュリティモデルの次の形として、「アイデンティティが新しい境界になる」と言われました。ゼロトラストは、これを更に推し進めた形と捉えることもできます。「ID=新しい境界論」は、理解しやすい「境界」を静的なものから開放し、より論理的で変化に対応しやすい形で表現したものです。ゼロトラストは、「境界」という概念を廃することで、「境界を超えてさえいれば、無条件に信頼される」という脆弱性に対抗したと言えます。ゼロトラストモデルにおいても、アイデンティティは中心となる概念であり、ある意味それが境界であるという状況に変化はありません。ただ、それが継続的に評価されるという点が、異なります。

現実にそんな構成できるの?

既存のネットワークセキュリティは、暗黙のうちに、境界型を前提としています。これからは、ゼロトラストで行きましょうと、すぐに変えられるものでもありません。また、ゼロトラストは、セキュリティについてのモデルや、考え方、捉え方であって、それだけでは、実際に動くものではありません。ゼロトラストを前提として、より実装を見据えたZero Trust Architecture(ZTA)も、まだ高度に抽象化されたレベルでの構成案です。ただ、これまで絶対の前提だった境界型のモデルを否定し、より柔軟で強固なセキュリティを目指したゼロトラストモデルに根ざしたサービスや製品が利用可能になるでしょう。
弊社が提供するIDaaS「Gluegent Gate」も境界を設けない、ゼロトラストを実現するサービスと言えます。急速にニーズが高まる複雑なワークスタイルにも、柔軟で安全なサービスを提供できます。旧来の境界型のセキュリティに不安を感じる方は、ぜひご相談ください。
(ま)

  Gluegent Gate