ゼロ トラスト セキュリティ。 クラウド時代の次世代ネットワーク セキュリティ『SDP』で ゼロトラストモデルを実現

ゼロトラスト・セキュリティ

ゼロ トラスト セキュリティ

<目次>• それでは、何を信頼できないこととするのだろうか。 ゼロトラストセキュリティを理解するために、まずは従来のセキュリティモデルである「ペリメタセキュリティ」についてみてみよう。 「ペリメタセキュリティ」とは ペリメタ(perimeter)とは、境界線という意味である。 インターネットと企業ネットワークの間に明確な境界線を引き、境界線上にファイアウォールなどのセキュリティデバイスを設置、セキュリティ上の脅威を境界線で防御することによって企業ネットワーク内部に侵入させない、という対策をとる。 また、企業ネットワークへの接続も厳格に管理されることになる。 これによって、境界の内側である企業ネットワークの安全性を確保し、企業ネットワーク上に保存された守るべき情報資産を保護するのだ。 境界線の外側にいる者は信用できず、したがって情報資産へアクセスすることはできない。 一方、企業ネットワークに接続を許可された者(境界の内部にいる者)は信用され、情報資産へアクセスすることができる。 すなわち、ペリメタセキュリティとは、企業ネットワーク上のデバイスを信用する、トラストセキュリティとでもいうべき考え方なのだ。 ペリメタセキュリティは多くのケースにおいて依然として有効な対策であろう。 実際、ペリメタセキュリティに基づいて構築されてきたシステムや業務プロセスは、多くの企業において今なお実際に運用されている。 ペリメタセキュリティの限界 長きにわたって構築、運用されてきたペリメタセキュリティだが、その限界が認識され始めている。 技術、働き方、社会、会社を取り巻くさまざまな環境が大きく変わる中で、ペリメタセキュリティでは情報システムに対する要請の変化を受け止めきれなくなったのだ。 ペリメタセキュリティには、次のような暗黙の前提が置かれていることに気づいただろうか。 守るべき情報資産は境界の内側にある• 従業員は境界の内側で業務を行う• 境界の内側の安全性を確保することができる このような前提はことごとく崩れ去ろうとしている。 まずは、情報資産の保存場所だ。 ペリメタセキュリティではオンプレミスのファイルサーバやデータベースに格納されていることが前提とされていた。 しかし、クラウドに対する理解の深まりとともに抵抗感が薄れてきた今日、メールやスケジュールのみならず、ファイルサーバや基幹システムも含めてクラウド上に移行したり、その検討をしたりする企業が急速に増加している。 気が付けば、境界の内部にはほとんど情報資産がない…ということすら起きつつあるのだ。 次に、従業員が業務する場所。 働き方改革や通信回線の高速化によって、業種や業務内容によっては事業所に行かずとも仕事が可能となった。 外回りの営業職がVPNを使ってリモートワークをすることもあったが、そのような働き方が可能な職種が大幅に増えたのである。 これにより、週に数日といった形で在宅勤務をする人も増加している。 さらに、拠点のない地方や海外に居を構えて働く、いわゆるノマドワークを取り入れる会社も現れ始めた。 ベンチャーなどでは、そもそも物理的な拠点がないケースも存在するのだ。 最後に、境界の内側の安全性について。 サイバー攻撃といえばサイバー空間で閉じるというイメージが強いかもしれない。 しかし、昨今のサイバー攻撃者にとって、サイバー空間での攻撃は単なる手段に過ぎず、必要な場合には実空間での攻撃も組み合わせている。 たとえば、訪問者を装って物理的に侵入し、何らかの攻撃用デバイスを仕掛けるといったことも考えられる。 また、標的型メールも思わず開封してしまい、さらにそれが怪しいメールであることに気づかないまま、長期にわたって攻撃者が遠隔制御するなどの不審なプロセスが動作し続けていることも珍しくない。 物理セキュリティや従業員への啓蒙活動も重要だが、境界線での防衛だけでは、境界の内部の安全性を十分に確保することは難しくなっているのだ。 「ゼロトラストセキュリティ」とは このように、守るべきものは企業ネットワーク内になく、従業員も会社にいないという状況では、ペリメタセキュリティによって企業ネットワークの安全性を確保することが意味をなさない。 さらに、そのような対策にもかかわらず、企業ネットワーク内の安全性にすら疑義が生じる状況となっている。 ペリメタセキュリティ ゼロトラストセキュリティ 情報資産の保存場所 企業ネットワーク内 あらゆる場所 従業員の働く場所 企業の物理拠点 あらゆる場所 企業ネットワークの安全性 確保できる前提 確保できない前提 そこで、ゼロトラストセキュリティである。 この考え方は2010年にForrester Research社により提唱されたものだが、前述のような背景により、最近になって脚光を浴びるようになった。 その基本的な考え方は、「企業ネットワークは信頼に足るものである」という前提を捨て、すべてのアクセスを検査する、というものである。 具体的には、たとえば次のような項目を検査対象とすることがある。 アクセス元の端末はアクセスを許可されたものか• アクセス元の端末のセキュリティ対策は適切か• アクセス元のユーザーはアクセスを許可された者か• アクセス元のユーザーの挙動に怪しい点はないか サーバへのアクセスがあれば、それを検査する。 情報資産へのアクセスがあれば、それを検査する。

次の

「脱・境界型セキュリティ」を実現するには? ゼロトラストへ移行するための5つのポイント

ゼロ トラスト セキュリティ

2020年5月14日、サイバートラストはオンラインセミナー「押さえておきたい!IoT機器のセキュアなライフサイクル管理とは」を開催した。 このセミナーでは、IoT機器、組込みシステムの開発担当者に向けて、IoTセキュリティに関する国内外の最新動向や、製品ライフサイクル全体におけるセキュリティ管理を行うソリューションが紹介された。 本稿では、サイバートラスト IoT技術副本部長 岸田茂晴氏によるセッション「IoT機器を安全に長期運用する方法」についてレポートする。 もくじ• 標準規格のトレンド まず、岸田氏は産業界におけるセキュリティ標準規格のトレンドを整理した。 従来のセキュリティ規格は、組織や企業の情報を守るためのISMS(Information Security Management System:情報セキュリティマネジメントシステム)が対象の中心になっていた。 しかし昨今は、コンポーネント(部品単位)のレベルまで規格の対象が広がっている、というのが岸田氏の意見だ。 その理由として以下の2点が挙げられた。 デバイスそのものの高機能化 デバイスそのものがネットワークへ自律的に接続できるレベルまで高機能化しており、従来はサイバーアタックの対象にならなかった機器が、攻撃対象として見なされるケースが非常に増えてきているというのだ。 ゼロトラストアーキテクチャの浸透 ゼロトラストアーキテクチャとは、「全て信頼できない」という事を前提に、厳格なセキュリティチェックを行う、という考え方だ。 「内側は安全」という境界セキュリティの認識から、「全ては信頼できない」という考え方をベースに厳しいセキュリティチェックを行う「ゼロトラストアーキテクチャ」の考え方へとセキュリティの世界はシフトしている 従来は、「ファイヤーフォールの内側であれば安全」という考え方ありきでセキュリティの仕組みが設計されていた。 しかし、IoTの世界ではゼロトラストアーキテクチャの考え方がセキュリティ構築の基本になるという。 つまり、基本的にプライベートネットワークは信用できない、ネットワーク上の多種多様なデバイスを集中管理する事は出来ない、本質的に信頼できるデバイスはない、という前提のもと、セキュリティを担保しなければいけない方向にパラダイムシフトしているというのだ。 このゼロトラストアーキテクチャにおいては、ネットワークに接続されるすべてのデバイスで個別のセキュリティ対策が求められる。 そこで重要なのが、共通鍵暗号や公開鍵暗号といった暗号機能をモジュールに持たせる事であり、この部分について対策を取らなければ、いかに優れたIPSやファイヤーウォールを持っていても簡単に攻撃を受けてしまう、と岸田氏は述べた。 「IEC62443」において、デバイス開発者に注目すべき基本要件 セキュリティ規格に関する全体的なトレンドを述べた後、岸田氏は産業機器の汎用制御システムに関するセキュリティ規格「IEC62443」について、産業向けデバイスの開発者が注目すべきポイントを紹介した。 IEC62443は制御システムのデバイスメーカー、SI、エンドユーザーに向けて細かく要件を設定している。 このうちデバイスメーカーが対応すべき要件は「62443-4-2」が中心になるそうだ。 この「62443-4-2」は、具体的に7つの基本要件を定義している。 「62443-4-2」の基本要件 基本要件1:識別および認証制御 人間、コンポーネントの識別と認証に関する要件を定義している。 基本要件2:利用制御 利用権限とアクセス制御、セッション管理、ロックアウト、監査要件に関する要件を定義。 基本要件の1と2については、OSレベルの対応が必要な要件である、と岸田氏は説明を加えた。 基本要件3:システムの完全性 コンポーネント・通信の完全性、真正性検査、安全な更新、物理保護に関する要件を定義している。 基本要件4:データの機密性 通信中、あるいは保持するデータの保護、解放や、デバイスの廃棄時の情報破棄に関する要件を定義。 要件3と4に対応するためには、ハードウェアセキュアエレメント、つまりセキュリティ能力を持った半導体を組み込んだモジュールの実装と運用が必要である、と岸田氏は述べた。 特に、暗号の危殆化(安全性が低下する事)に対応できるものが求められるという。 基本要件5:データフロー制御 ネットワーク機器による通信制御とセグメント化の要件を定義。 基本要件6:イベントへのタイムリーな対応 監査ログのアクセス制限、インシデント監査、検出、報告に関する要件を定義。 基本要件7:リソースの可能性 障害や災害、攻撃による停止、復旧、インベントリ(情報機器やソフトウェア、その構成部品をまとめた資産目録)報告の要件を定義している。 基本要件6と7については、運用のモニタリングやサイバー攻撃に関するログを記録する必要について書かれている、と岸田氏は解説した。 IoT機器で求められるセキュリティレベルと、その要件 「62443-4-2」ではセキュリティレベルが4段階に分かれて定義されているが、サイバートラストの見解では、レベル3以上が産業向けIoT機器では求められる、と考えている。 「62443-4-2」におけるセキュリティレベルの定義 まず、レベル1はセキュリティについて何も対策を行っていない、最も低い安全性の段階である。 レベル2についてはソフトウェアにおける暗号化といった対策を行い、ローコストのコンシューマー向け機器については対応できる段階ではあるものの、産業用途向けについては対応が難しい。 したがって産業向けIoT機器にはレベル3以上のセキュリティ対策が求められる、というのが岸田氏の意見だ。 では、セキュリティレベル3以上で求められる要件とは何か。 それについては以下のような項目が紹介された。 機器を一意に識別 安全な鍵の管理や、配付、プロビジョニング(書き込み)、定期的な更新の仕組みが必要であるという。 ユーザーを一意に識別 その機器にアクセスするユーザーを、多要素認証や特権アカウントを用いて一意に識別すべきとのこと。 これはOSのカーネルレベルで仕組みを設計していく必要がある、と岸田氏は意見を加えた。 ハードウェアにおける識別情報の保護 ハードウェアのレイヤーにおけるRoT(Root of Trust:デバイスの信頼性を保障するための構成要素)が必要である、との記載が「62443-4-2」にはある。 システム、通信の完全性検証 RoTによるセキュアブートや、ソフトウェア、通信、バックアップの改ざん検知と通知機能を用意する必要があるそうだ。 安全な更新機能 OTA(Over The Air:ワイヤレス通信を通じたデータ送受信)による、セキュリティシステムのアップデートが必要になる、と岸田氏は述べた。 特にIoT機器の長期ライフサイクル管理にポイントを置いて、その仕組みを提供している点が特徴であると岸田氏は述べた。 セミナー内では、以下の特徴が紹介された。 長期利用できるIoT機器向けOS「EMLinux」 組み込み機器、IoT機器向けLinux OS「EMLinux」を、「長期アップデートパッチ提供サービス」とともに提供する。 産業向けIoT機器は長期利用される、という特徴を踏まえた保守サービスを付けている。 産業機器、IoT機器は長期利用されるものが多く、最低10年、長いものでは15年使われるケースもある。 そこで「EMLinux」では、従来のBSP(Board Support Package)やUbuntuよりも期間の長い、10年以上の脆弱性パッチ(セキュリティパッチ)提供を行っている。 本物性を担保するIoT機器管理機能 IoT機器に組み込まれる半導体の中に固有鍵を保存し、それをベースに電子証明書を配布し、製品のライフサイクル全体に渡って管理する。 リモートアップデート機能 固有鍵と電子証明書を利用し、正しいデバイスに正しいファームウェアをOTAでアップデートする機能を有している。 (トップ画像) 脆弱性検査ツール 出荷時に想定していなかった脆弱性や、新しいサイバー攻撃手法を検査できるツール「VDOO VISION」を提供する。 具体的には、出荷直前にバイナリファイルを監査、診断する機能や、某弱性対応状況をレポートする機能を持っている。

次の

ゼロトラスト・セキュリティ

ゼロ トラスト セキュリティ

ゼロトラスト・セキュリティーが求められる背景 近年、企業における働き方改革やクラウド活用の促進などにより、保有する情報資産の配置場所や、情報資産へアクセスするクライアント・デバイスの場所は多様化しています。 これらの変化に伴い、従来、企業内のオフィス・ネットワークに配置されたクライアント・デバイスや、企業内のサーバー・ネットワークに配置されたサーバーに対するセキュリティー対策を、根本的に変えていくことが求められています。 従来の境界対策モデルを標準とし、例外的な接続のみを考慮していればよかった時代とは異なり、クライアント・デバイスと接続する情報資産の形態の組み合わせが時間と共に変化・多様化していく中では、これらの多様化を前提としたモデルの選択が必要です。 このような状況において、2010年にForester Research社により提唱された「ゼロトラスト・セキュリティー」の概念が再び脚光を浴びつつあります。 本記事では、ゼロトラスト・セキュリティーの考え方を整理し、企業においてゼロトラスト・セキュリティーの考え方を適用する場合のデザインの留意点について記載します。 ゼロトラスト・セキュリティーとは 従来、企業は信頼のおけないネットワーク空間(例:Internet)との間に境界を設け、境界の内側は信頼できるゾーンとして定義してきました(境界型セキュリティー・モデル)。 しかしながら、クラウド利用の促進や、働き方改革により、企業内からではなくInternet上から企業の情報資産にアクセスするケースが急増し、境界の内と外という概念のみでセキュリティー・モデルを維持できない状況となっています。 このような状況下では、境界内が安全であるという接続環境の前提に立ったモデルではなく、全ての情報資産へのアクセスは前提を置かないモデルを採用する必要があります。 2010年にForester Research社により提唱されたゼロトラスト・セキュリティーの概念は、全ての情報資産へのアクセスは信頼でできないことを前提とし、1つ1つのアクセスに対してチェックを行い、信頼できるものだけにアクセスを許可するというセキュリティー・モデルです。 ゼロトラスト・セキュリティーの概念が脚光を浴びている背景として、境界内が安全であるという前提を置くセキュリティー・モデルが破綻しつつあるということが考えられます。 Fig 2. トラストレベルと状態遷移 チェック項目を増やした分だけ信頼性は上がるものの、チェックを満たすための対策を実装するためのコストや、ユーザ側の利便性が低下する可能性への配慮も必要です。 これらの対策をどこまで実装すべきかは、従来同様、アクセスすべき情報資産の重要度や、想定する脅威の発生頻度を考慮に入れたリスク評価を行った上で定めるべきです。 なお、 トラスト状態とは、リスクが一定水準以下に抑えられている状態であり、決してリスクゼロの状態ではないことに注意する必要があります。 トラスト状態のリスクレベルは、企業が持つ情報資産の重要度やセキュリティーにかけるコストの大きさ、リスクの許容度に依存するため、ゼロトラスト・セキュリティーを導入しようとする企業は、リスク評価に基づいたセキュリティー設計を行うことが求められます。 ゼロトラスト・セキュリティーのデザイン ゼロトラスト・セキュリティーをデザインする上で重要となるポイントは、 トラスト状態へ遷移させるアクセスのリスクレベルを判断することです。 リスクレベルを判断する上で参考になるのは、現状のオンプレミス環境におけるセキュリティー上の前提条件と、何をチェックしているのかという点の分析になります。 前提(例)• 社内利用されているPCはラベルが貼ってある会社貸与PCのみである• 会社貸与PCは必要なセキュリティー対策が実施された上で貸与されている チェックされている内容(例)• ユーザID、パスワードで本人認証をおこなっている• ウィルス対策やHDDの暗号化をPC起動時にチェックしている ゼロトラストの基本は、上述の前提が無くなることが根本的な考え方であるため、以下のようなチェックをシステム上で実装することになります。 アクセス元の端末は会社貸与のPCか(アクセスを許可された正式な端末か)• アクセス元のセキュリティー対策は適切に実施されているか(ウィルス対策、HDD、そのほか対策)• アクセス元のユーザはアクセスを許可された者か(ユーザID、パスワードによる認証) 上述のチェックだけでは十分ではなく、例えばInternetからの接続を前提とする場合は脅威の発生可能性が高くなるため、デザイン上は、認証強度の強化(多要素認証の採用)なども含めて検討を行うことが必要となります。 デザインの流れとしては、現状のオンプレミス環境でのセキュリティー上のチェック項目および、前提としてチェックを省いている項目の洗い出しを行ったうえで、新しくデザインするゼロトラスト・セキュリティーのチェック項目との間に、リスクレベルでの差異が無いことを目標としてデザインを行います。 ゼロトラスト・セキュリティーのモデルの実装は、機能面、アーキテクチャー面での制約を受ける可能性があるため、ゼロトラストへの移行に際して、現状よりもセキュリティーレベルが下がる場合は、セキュリティーリスクの受容や別のリスク低減策を講じることが必要です。 デザインの中では、それらの差異を明確にし、企業としての判断を行うことが必要となります。 Draft 800-207 Zero Trust Architecture ゼロトラスト・セキュリティーに関しては、NISTからもドラフト版ではありますが、考え方が提示されています。 全体で7章構成ですが、2章がゼロトラスト・ネットワーク・アーキテクチャーとなっており、大まかな考え方について示されています。 2章では、端末から守るべき資産(データ)に対してのアクセスが行われる際に、必ずチェックが行われるべきであると述べられており、データへのアクセス前に、アクセスの信頼性と妥当性を確認するモデルが提示されています。 Fig 3. Zero Trust Access(NIST SP800-207参照) さらにこの章の中で、ゼロトラストの考え方として、6つの基本的な考え方の原則が示されています。 この考え方において特徴的なのは、信頼性はネットワークに依存するものではないと言及されていることです。 他方、アクセスしてくるユーザーに付随するさまざまな属性に基づき、リスクレベルが想定の基準を満たしているのかを判断されるべきであるとも述べられています。 信頼性がネットワークに依存するものではないことが記載されていますが、反面、特定のネットワークからくるということは、その事実自体がユーザーに付随する属性とも言えます。 アクセスしてくるユーザーが属するネットワーク上で担保されている信頼性は、ユーザーに付随する属性の一つであり(ユーザーがどこから来たかという属性)、そのネットワークで担保されているセキュリティー上のチェック内容などは信頼性の評価のベースになりうると考えることも可能です。 つまり、あるネットワークでは十分強力なチェックが行われており、ウィルス対策ソフトが導入されていることを担保しているとしたら、そのネットワークから来たというユーザーの属性は、ウィルス対策ソフトが導入されているということを保証することになるという解釈も可能です。 Fig 4. 接続元によるトラストレベルの開始点の差 この辺は、ユーザーの属性のチェックの結果、リスクレベルが想定の基準を満たしていることを条件にアクセスを許容する旨が記載されており、若干あいまいな表現となっています。 ゼロトラストにおいて、良い設計を行うためには、本質の部分を理解する必要があると考えます。 ただ闇雲にネットワークは信頼しない、全てゼロからチェックするというような、字面通りの解釈をせずに、設計していくことが重要であると考えます。 本質的には、ゼロトラスト・セキュリティーは、環境の変化を機に、企業としてのアクセスをリスクベースで考え直すことが必要であることを示唆しています。 ゼロトラストの検討例 ゼロトラスト・セキュリティーでは、全てのアクセスを信頼できないものとして設計を行っていくため、実際に考慮しなければならない対策はアクセスのチェック以外にも多くあります。 一般的には、「接続元アイデンティティーの正当性検証」、「ネットワークのセグメント化」、「権限の最小化」、「活動の可視化(ログの収集・分析)」などが必要といわれていますが、本稿では、「接続元アイデンティティーの正当性検証」に焦点を当てて、実際のお客様においてゼロトラスト・セキュリティーを検討した際の紹介を行います。 検討は、以下のステップで行いました。 1 アクセスパターンの整理 2 検証機能のデザイン 3 アクセスパターンの集約 1 アクセスパターンの整理 最初に具体的なアクセスパターン(現状と将来実現したいアクセス)の定義を行いました。 例示は3パターンに簡略化しているが、実際の検討の中では、26パターンの実アクセスケースについて検討を行っている。 それら26のケースを抽象化、モデル化していく過程で本例は3パターンにまで整理されたアクセスパターンの例となる。 2 検証機能のデザイン 検証機能のデザインは、既存のアクセスパターンに対する検証機能の調査を行い、必要な検証機能項目の洗い出しを実施しました。 同等の信頼性を確保するため、新しいアクセスパターンにおいては、以下の検証を行うこととしました。 各パターンが新しく作る検証機能を利用した場合の、既存システムへの影響、利便性への影響などを評価の上で、集約検討した結果、社内からのクラウド利用(パターン2)は、新しく実装する検証機能を利用する結論となりました。 全てのエンドポイントからのアクセスを信頼出来ない前提でチェックするトラスト検証機能を用意すれば、全てのパターンを1つに集約することも可能となりますが、既存の枠組みやユーザの利便性を考慮してデザインを行うことが重要です。 ゼロトラストの概念の最も大きなメリットは、トラスト検証を行う機能を統合化、一元化することにより、接続元、接続先の変化を吸収できることと考えます。 ワークスタイルの変化、クラウドの活用、将来的にはIoTの活用などを視野に入れると、トラスト検証を行う機能を実装することのメリットを十分に享受できると考えます。 但し、コスト面、利便性から、今までのレガシーな仕組みも活かした形で実装を行っていくことも重要となるため、このお客様の例では、1つのパターンにまとめることなく、旧来のレガシーな接続パターンは活かしつつ、新しいトラスト検証機能を実装する方向性を取る結果となりました。 既存のオンプレ上に構築されていた機能は、Internetからの接続のケースと統合し廃止としました。 Fig 6. アクセスパターンの集約アーキテクチャー 最後に ゼロトラストは、「あくまでアクセスしてくるものは信頼性が無いものと考えるという考え方です。 この考え方は、内部不正等の権限を持った人間の不正行為に対する有効性は低いものと考えられます(内部不正に対する対策が行われているのかのチェックは可能)。 ゼロトラストの考え方を内部不正対策に適用する場合、コストや利便性においてある程度の妥協が必要になるため、場所を固定した従来型の境界対策は依然として有効です。 ゼロトラストは、働き方改革やクラウド化において検討すべき基本となるセキュリティーの考え方であり、ゼロトラスト・セキュリティーを導入しようとする企業は、情報資産の重要度やセキュリティーにかけるコストの大きさ、リスクの許容度を含め、リスク評価に基づいたセキュリティー設計を行うことが求められます。 最後に、IBMでは、ゼロトラスト・セキュリティーの導入に関連して、以下のソリューションおよび、ソリューション導入に際してのコンサルティング・サービスを提供することが可能です。 ID検証の強化 2. 機密データのセグメント化 3. アクセス・行動履歴の精査 また、これらのソリューションに限らず、ゼロトラスト・セキュリティーの考え方を取り入れたセキュリティー・コンサルティングやアセスメント、セキュリティー・インフラやアーキテクチャーの設計支援など、さまざまなサービスの提供が可能です。 お客様担当SEとして主にネットワーク・インフラ分野の設計・構築を担当後、2003年よりセキュリティー・コンサルタントとして、グローバル・セキュリティー管理態勢整備、CSIRT構築、セキュリティー・アセスメント、リスク分析、プライバシー保護、技術情報保護など、業種、分野問わず、サイバーセキュリティーにかかわる数多くのコンサルティングやプロジェクトをリードし、チームビルディングや組織マネージメントに豊富な実績を有している。

次の