2020/10/16

【転載】NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係:働き方改革時代の「ゼロトラスト」セキュリティ


NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係:働き方改革時代の「ゼロトラスト」セキュリティ(6) - @IT:

NISTによる「ゼロトラストにおける7つの基本原則」と従来の境界型防御との関係

 デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載『働き方改革時代の「ゼロトラスト」セキュリティ』。前回は、NIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行したレポートである「SP 800-207 Zero Trust Architecture(2nd Draft)」に書かれた内容を基に、今後ゼロトラストを論じる上で軸となり得る、米国政府が考えるゼロトラストの定義と実践の姿について考えました。

 その「SP 800-207 Zero Trust Architecture」ですが、2020年8月中旬に、ドラフトが取れた最終版が公表されました。
 SP 800-207は米政府がネットワークやセキュリティのモデルとしてのゼロトラストについて言及する際に、政府標準として扱われるべく提言されたものです。今後、他のSP 800シリーズ同様に、世界中の多くの組織がこのSP 800-207を参考に、ゼロトラストについて議論すると思います。
 今回はSP 800-207から、「ゼロトラストにおける7つの原則」といえる部分を解説していきます。

NISTによる「ゼロトラストにおける7つの基本原則」

 SP 800-207には、ゼロトラストが生まれた背景、基本的な考え方、そして実践の方法がまとめられています。これからゼロトラストを学ぶ上で非常に良質なドキュメントといえるでしょう。
 中でも第2章冒頭に掲げられた、「ゼロトラストにおける7つの基本原則」は、ゼロトラストを実現する上での理想的な考え方がまとめられています。
  1. データソースとコンピュータサービスは、全てリソースと見なす
  2. 「ネットワークの場所」に関係なく、通信は全て保護される
  3. 組織のリソースへのアクセスは、全て個別のセッションごとに許可される
  4. リソースへのアクセスは動的なポリシーによって決定される
  5. 組織が保有するデバイスは、全て正しくセキュリティが保たれているように継続的に監視する
  6. リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される
  7. 資産・ネットワーク・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する
 これらの7つの基本原則をまとめ、以下を満たした状態が理想的なゼロトラストであると提言しています。
  • 全てのリソースへのアクセスの認証と認可がリクエストごとに動的に決定される
  • 全てのリソースの状態が、その判断に用いられる
  • 全てのリソースの機器や通信が保護され、状態が可視化によって監視されている
 では、これらの7つの基本原則について詳しく見ていきましょう。

【1】データソースとコンピュータサービスは、全てリソースと見なす

 アクセスする側/される側に関係なくネットワークに接続されている全ての機器をリソースとして見なします。
 小型のストレージ機器、IoTデバイスなど、あらゆる大きさや機能を持っているデバイスもリソースとして考えます。もちろん、クラウドサービスもリソースの一つとして考えます。さらに、個人が所有している機器であっても組織のリソースにアクセスするのであればリソースとして考えます。

【2】「ネットワークの場所」に関係なく、通信は全て保護される

 この原則における「ネットワークの場所」とは、社内ネットワークやプライベートネットワークといった、一般的に「従来の境界線の内側や外側」とされる範囲を指しています。
 従来の境界型セキュリティモデルでは、ネットワーク境界線の内側は安全であり、暗黙的な信頼を付与していました。ゼロトラストの基本原則では、「セキュリティシステムで保護されたネットワーク境界範囲内であっても、インターネットと同様に利用可能な最も安全な方法で通信を保護すべきである」としています。

【3】組織のリソースへのアクセスは、全て個別のセッションごとに許可される

 従来のネットワークアクセスの考え方では、一度行われた認証や認可を一定時間キャッシュし、パフォーマンスを効率化します。しかし、ゼロトラストでは「全て個別のセッションやリクエストごとに許可されるべき」とされています。さらに、「アクセス時に許可される権限は、そのアクセスに必要最小限の権限にすべき」とされています。
 セキュリティよりもパフォーマンスを優先した設計が招く、横展開によるアクセス侵害を防ぐための、極めて重要なコンセプトです。

【4】リソースへのアクセスは動的なポリシーによって決定される

 従来のネットワークアクセスの考え方では、あらかじめ決められたポリシーによってアクセス許可が決定されていました。例えばユーザーIDとパスワードの組み合わせやクライアント証明書の確認などです。
 ゼロトラストでは、さまざまな属性をパラメーター化し、都度ポリシーに従って計算を行い、アクセスを許可します。下記が要素として扱われます。
  • クライアントの識別としては、ユーザーアカウントや関連属性など
  • デバイスの状態では、インストールされているソフトウェアのバージョンやネットワークの場所、アクセス日時など
  • 振る舞い属性として、ユーザーやデバイスの異常な振る舞いの記録の有無
  • 環境属性として、ネットワークの場所や時間、報告されている攻撃など
 これらの状態や属性を基に、データのリスクレベルに応じて許可すべきアクセスルールを決定し、その一連のセットがポリシーとなります。これらの状態や属性は時間によって常に変化するため、データへのリクエストを行うたびに最新の状態を基にアクセスの許可を決定します。

【5】組織が保有するデバイスが、全て正しくセキュリティが保たれているように継続的に監視する

 この基本原則では、組織内に存在する全てのデバイスがセキュリティを保って正常に動作している状況を監視し、必要に応じてタイムリーなアップデートや修正の実施を求めています。これは、「どのデバイスも本質的には信頼できない」という考えに由来します。
 脆弱(ぜいじゃく)性が発見されているにもかかわらず修正が行われていないようなデバイスを、セキュリティが保たれたデバイスと同じ扱いにしません。組織に接続する個人のデバイスも含めて常に監視を行い、セキュリティを保持することが求められます。

【6】リソースの認証と認可は、全てアクセスが許可される前に動的かつ厳密に実施される

 従来のモデルでは、ユーザーにおける認証・認可は一度認証された結果の使い回しが想定されていました。再認証によるユーザーの手間の省略やパフォーマンスの向上を求めた結果です。
 しかし基本原則では、現在実行中の通信においても継続的に信頼性の再評価を行い、場合によっては再認証の実施を求めています。

【7】組織は、資産・ネットワークインフラ・通信の状態について可能な限り多くの情報を収集し、セキュリティを高めるために利用する

 この基本原則では、資産のセキュリティ状況、トラフィックの状態、アクセス要求のログなど、組織のネットワークやデバイスにまつわる情報を常に取得し、さらに分析した結果を活用したポリシーの作成やセキュリティの改善を求めています。
 これは、組織の成長やテクノロジーの進歩によって変化し続ける組織のネットワーク形態やデバイス、ユーザーの利用状況に応じて、ポリシーの作り方やセキュリティの在り方を常にアップデートし続けるという考えです。

ゼロトラストの7つの基本原則と従来の境界型防御

 これらの7つの基本原則は、実現する技術にとらわれない普遍的な書き方です。いままでのネットワークセキュリティの考え方に基づいて提供されているさまざまなセキュリティソリューションが、ゼロトラストにおいても活用が可能なのは、そのためです。
 過去のゼロトラストの議論では、「ゼロトラストは従来の境界型防御を除去する」という部分が強調されてきました。しかし境界型防御の機能は、ゼロトラストを実現する機能の一部として、「マイクロセグメンテーション」「マイクロペリメタ」の形で取り入れられています。
 重要なのは、従来の境界型防御の排除ではなく、これらの7つの基本原則が満たされた状態が理想的なゼロトラストであると定義されていることです。
 また、「Never trust, always verify.」という言葉に代表されるように、暗黙的な信頼をゼロにするために、「全て(All)」という言葉が多用されているのが分かります。
 ただし、これらはあくまで理想的な目標であって、「現実的には全てが純粋な形で完全に実装されるとは限らない」とも書かれています。
 NISTが提言したSP 800-207 Zero Trust Architectureでは、現時点で理想的なセキュリティの姿を基本原則によって定義付けました。またSP 800-207では、これらの原則を実現するアイデアやコンセプトの集まりを「ゼロトラスト」とし、ゼロトラストのコンセプトやアイデアを利用する組織のサイバーセキュリティのプランを「ゼロトラストアーキテクチャ」として説明しています。
 ゼロトラストは、境界型防御の単純な否定ではなく、テクノロジーの進化に沿ったモダンなITアーキテクチャと共存可能なセキュリティコンセプトであると、SP 800-207からは読み解けます。