ゼロトラストという言葉を聞いたことがありますか?
ゼロトラストはまだ一般に普及していないネットワークセキュリティの考え方です。
実装事例が数少ないので信頼できる文書の読み込みを行って簡潔にまとめました。
この記事は、
- ゼロトラストについてざっくり知りたい
- ゼロトラストなのかチェックリストで確認したい
- ゼロトラストの事例ってあるの?
そんな疑問を持った方に読んでもらいたいです。
参考にした文書
ゼロトラストとは
トラスト(信頼)がゼロ(無い)という意味なので全ての通信に対して安全か確認しましょうという意味です。
逆に言うと、どこからの通信でも安全性を確認して問題なければ接続させますという事になります。これは社内ネットワークや自宅や喫茶店のフリーWi-Fiも同じレベルでチェックするという事です。
現在普及している境界セキュリティは、ファイアウォールの内側にある社内ネットワークは安全という考え方です。
なので社外から社内ネットワークへの接続はVPNを使います。また社内ネットワークであればどこでもアクセスができるという利点があります。
このゼロトラスト何がいいのかと言うと、
- VPN接続を使わなくても会社のシステムにアクセスできる。
- 社内に攻撃者(クラッカー)が侵入しても重要情報にアクセスできない。
この2つになります。
どちらかというと2つ目の攻撃者(クラッカー)が侵入しても重要情報にアクセスできないというのがポイントだと思います。
また、ゼロトラストはネットワーク自体に認証情報を組み込む事になるので、個々のシステムで細かいアクセス管理を行うのではなくネットワーク基盤で全てのシステムのアクセス管理を統合しているとも言えます。
1回認証を済ませれば複数のシステムへ毎回ログインする手間が省けるシングルサインオン(SSO)と同じ考え方です。ゼロトラストの場合は、アカウント情報だけでなくデバイス情報も追加して認証するイメージになります。
社外から社内システムへ接続する場合の違いを見ていきます。
PCからインターネットVPNで社内ネットワークに接続します。VPNルータから社内用のIPアドレスに変換されてシステムへ接続します。システム接続時点でアカウント情報を入力して認証します。
このインターネットVPNはインターネットを使っているのにもかかわらず、社内に接続されているPCのようにシステムを利用できるのが特徴です。
この方法でもセキュリティは保たれています。
PCはインターネットから会社の入り口にしているゲートウェイルータを経由してシステムに接続します。
既存ネットワークとの違いですが、既存ネットワークはVPNルータを経由して社内ネットワークに接続してシステムの部分で認証していましたが、ゼロトラストではシステムの前に認証が加わります。この認証ではPC/スマホなどのデバイス情報とユーザ情報を元に接続してもいいか判断します。
この認証(ゼロトラスト基盤)はオンプレミス・クラウドどちらに展開しても構いません。
システムのほとんどがオンプレミスの場合は、オンプレミスでもいいですが、システムをクラウド上に展開している場合は、ゼロトラスト基盤もクラウドで展開するほうがスマートでしょう。
ネットワークをクラウドで展開する事をナース:NaaS(Network a as Service)と言います。
こちらの記事はナース:NaaSの概要についても触れているので、気になる方は参考にしてください。
ゼロトラストチェックリスト
ここまで説明した要素からゼロトラストになっているかチェックする項目を作りました。
下記リストがYesになればゼロトラストだと言えるでしょう。
- 認証にデバイス情報を使っている
- 認証にユーザ情報を使っている
- IPアドレスでのアクセス制御に依存していない
- 1回の認証で全てのシステムが利用できる(シングルサインオン:SSOになっている)
上のチェックリストに従えばゼロトラストだと考える事ができますが、実際にはどれくらいのアクセス制限を設けるのかセキュリティポリシーを検討しながら運用する必要があります。
- 重要情報のあるシステムには最新のセキュリティパッチが適用されたデバイスのみ接続できる
- デバイスとユーザの組み合わせが普段と違う場合は、生体認証を追加で求める
- 一定期間アクセスのなかったデバイスやユーザは承認が必要になる
これらのセキュリティポリシーは通常のユーザ認証よりセキュリティを強化していることを表しています。
ゼロトラストではどこから接続してもいい代わりにより多くの情報を元にアクセス制御を施すところがポイントになります。
実装事例
ゼロトラストの事例としてGoogleのBeyond Corpがあります。
Googleクラウドにはゼロトラスト実現までの過程が公開されているので参考になります。
ここではざっくりと過程をまとめました。
認証情報の統合とゼロトラスト基盤を構築
全てのデバイスを登録したデバイスデータベースと、すべてのシステムで使っている認証情報を統合してユーザアカウントデータベースを作成します。
そして認証を行うためのプロキシサーバを構築して、全てのシステムへのアクセスをプロキシサーバへ集約します。
プロキシサーバでデバイスとユーザ情報で認証してシステムに接続できるようになっています。
システムのクラウド化
Googleの場合は、全てのシステムをクラウド化しました。
元々クラウドを推進している企業なので当然かもしれません。
クラウド化が”○○ a as service”という意味なのかはっきり分かりませんが、少なくともシステムをインターネットに公開した状態なのは確実です。
普通社内システムをクラウド化する場合は、IaaSやSaaSのプロバイダと契約してインターネット経由でどこからでもアクセスできる形態になりますが、自前でサーバを購入構築してインターネットに公開しても同じ使い方ができるので実態は変わりません。
移行用にネットワークを区別
既存の社内ネットワークを特権ネットワークとして、ゼロトラスト後の社内ネットワークを非信頼ネットワークと区別します。この特権ネットワークはゼロトラスト以降前のユーザが接続して、非信頼ネットワークはインターネットからの接続と同じセキュリティレベルとして考えるゾーンです。
特別な理由でゼロトラストへ移行できないユーザは特権ネットワークを使い続けて、移行可能なユーザは非信頼ネットワークを使い始めるというイメージになっています。
ユーザ毎に特権ネットワークから非信頼ネットワークへ移行
非信頼ネットワークに移行した後に、問題なくシステムを使い続けれるか心配になります。
GoogleではPCがどのシステムに接続しているか分かる分析ツールを作成しました。
これによってゼロトラストに対応していないシステムを使っていないかが分かるようになり、非信頼ネットワークへの移行をスムーズに行う事ができます。
レガシーシステムの対応
最初に全てのシステムをクラウド化したと言いましたが、移行が進むと炙り出されるのがレガシーシステムです。
システムを何年も使うと事業や業務内容の変化でシステムに求める内容も変わり使い勝手が悪くなります。
また、ハードウェアやソフトウェアも古くなり保守が切れたり効率が悪くなります。
そのため5年~10年ほど使って新しく作り直すのが普通ですが、作り直しの費用を抑えるためずっと同じシステムを使い続けるケースがあります。
Googleにもそんなシステムがあり非信頼ネットワークへの移行を阻みましたが、レガシーシステムの管理者へ移行期間を相談しながら進めたようです。
まとめ
ゼロトラストはユーザ認証だけでなくデバイスの情報も含めて認証を行うセキュリティの考え方と言う事がわかりました。
またゼロトラストになっていても、結局はセキュリティポリシーを設けて利便性を天秤にかけて適切な調整が必要になります。
まだまだ現実味のない考え方ですが、Beyond Corpの導入事例を元に今のIT環境だとどうなるかな?とイメージしてみるところからはじめてみましょう。