「ゼロトラスト」導入だけが答えじゃない? IPAと金融庁が示した"最適解"の出し方(転載)~ゼロトラストは既存セキュリティの延長線で考える~


「ゼロトラスト」導入だけが答えじゃない? IPAと金融庁が示した"最適解"の出し方:

 「ゼロトラスト・アーキテクチャ」と聞いたときの反応は、数年前と今ではかなり変わってきているのではないでしょうか。これまでは「ウチには関係ない」と一蹴されるケースもあったかもしれませんが、ゼロトラストの導入事例も増え、一気に身近になってきています。

 セキュリティ業界にはありがちですがキーワードだけが先行し、実態はよく知られていないということも多々あります。前回の岡田 良太郎氏の講演レポートで触れられていましたが、“バズワード”には急いで飛びつく必要はありません。ただし放置しないように概略を知っておき、必要なタイミングで必要な部分を取り入れるという積極性は必要かと思います。

 ゼロトラストに関しては、キーワードが盛り上がってからしばらくたったことで、重要な資料が“無料で”手に入るようになりました。今回は、これらを紹介していきます。この機会に少しだけでも触れてみてください。

 まずは、最重要な資料「NIST SP800-207」を押さえておきましょう。NIST SP800-207は2020年8月に公開された、米国国立標準技術研究所(NIST)による「ゼロトラスト・アーキテクチャ」の教本です。日本語訳はPwCコンサルティングから無料で公開されています。

NISTによるゼロトラスト・アーキテクチャの基本原則は以下の通りです。

  1. 全てのデータソースとコンピューティングサービスをリソースと見なす
  2. ネットワークの場所に関係なく、全ての通信を保護する
  3. 企業リソースへのアクセスは、セッション単位で与える
  4. リソースへのアクセスは、クライアントアイデンティティーやアプリケーションサービス、リクエストする資産の状態、その他の行動属性、環境属性を含めた動的ポリシーにより決定する
  5. 全ての資産の整合性とセキュリティ動作を監視し、測定する
  6. 全てのリソースの認証と認可を動的に行い、アクセスが許可される前に厳格に実施する
  7. 資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ態勢の改善に利用する


NIST SP800-207 「ゼロトラスト・アーキテクチャ」(日本語訳)から引用

 米国内の事情に特化した章も含まれるため、この資料のことはあくまで「ゼロトラストという概念を確認する」目的で手元に置いておくものと考えてもいいでしょう。まず2章の「ゼロトラストの基本」を読み、そこから始めるというのがちょうど良いのではないかと思います。

 次に紹介するのは、情報処理推進機構(IPA)が2021年6月に公開した「ゼロトラストという戦術の使い方」という実践的な資料です。

 この資料は、先ほどのNIST SP800-207を含めて多数の資料を参照しているので、ゼロトラストの入門書としても最適です。本資料は、現場に近い視点から、ゼロトラストを構成する要素を一通り解説しています。

 ゼロトラストを構成する要素のキーワードのリストがあれば、私たちは「何を知っていて」「何を知らないのか」「知らないキーワードはどの部分を対象としているのか」などが分かるはずです。

 「ゼロトラストという戦術の使い方」では、モデルケースも多数掲載されており、オンプレやクラウドの混在環境でこれをどのように適用していくかのヒントになると思います。制御系システムへの適用も検証されているため、ITとOTが混在するシステムの参考になるはずです。

 最後に、金融庁が2021年6月に公開した無料の「ゼロトラスト」指南書「ゼロトラストの現状調査と事例分析に関する調査報告書」を紹介します。

 この報告書は、PwCあらた有限責任監査法人が作成し、前半は「ゼロトラストとは何か」、後半は金融機関におけるゼロトラストの導入と事例を紹介しています。

 金融機関といえば、安全なシステムを重視して最新の技術よりも“枯れた”技術を採用するという、良くも悪くも保守的なイメージがあると思います。一見、ゼロトラスト・アーキテクチャとは全く相いれないように思えますが、最近ではコロナ禍やデジタライゼーションの進展に伴い、境界型防御の限界を感じてゼロトラストを取り入れる金融系企業も増えています。

 同報告書で個人的に気になったのは「ゼロトラスト・アーキテクチャを導入しないと決めた海外金融機関」の事例です。理由はさまざまですが、企業の中には「ゼロトラストはまだ早い」と判断したところもあります。金融系であればこれまで投資してきたセキュリティ対策が十分に機能していることなども理由の一つでしょう。

 ゼロトラスト・アーキテクチャを導入しないことは「セキュリティ投資を止める」ことではありません。この判断をした金融機関の中には、ユーザーの振る舞いを監視する「UEBA」や、マルウェア横展開を防ぐ「内部ネットワークセグメントの細分化を実装」するなど、最新のセキュリティ対策を講じているところもあります。この事例は、金融機関だけでなく「ゼロトラストを導入しない」と決めた組織や、決断できず問題を先送りした組織にとって、大きなヒントになるはずです。

【バックアップ】

ゼロトラスト導入指南書

ゼロトラストの現状調査と事例分析に関する調査報告書