ニフクラ ブログ

ニフクラ/FJcloud-Vやクラウドの技術について、エンジニアが語るブログです。

ゼロトラストアーキテクチャ(ZTA)がテレワークと相性がいい理由

こんにちは。富士通クラウドテクノロジーズの鮫島です。

とうとう完全テレワーク期間が5カ月を超えましたが、インドア派なので、ストレスフリー。 夏のレジャー(海とかなんとかフェスとか)が恋しいようなことはまったくなく、Zoom会議用の激安コンデンサーマイクを、○ルツで買った電子部品(すべて通販)で高音質化改造するのが唯一の楽しみになっていますって、地味ですか?

今回は、政府CIOが6月にゼロトラストに関する「ディスカッションペーパー」を公開したこと、アメリカの政府情報システム向けのゼロトラストのガイドラインが出たこと、ガートナーのセキュリティ・ハイプサイクルでゼロトラストが取り上げられたこともありますが、ゼロトラストがテレワークを関連付けられて「過度な期待」を集めている状況についてお話しします。

f:id:sameshima_fjct:20200902175525j:plain
引用元:政府情報システムにおけるゼロトラスト適用に向けた考え方(2020/6)

政府情報システムもゼロトラストへ ?

気が付いたら予想通り新型コロナ感染症の第二波が到来しましたが、第一波との違いは、政府が経済活動を極力継続しながら感染拡大を抑制するという方針を取っている点です。テレワーク実施率も相応に低下しているようですが、政府CIOはこのタイミングを政府情報システムを刷新する好機だと考えているのか、2020年6月に下記のようなドキュメントを公開しました。

政府情報システムにおけるゼロトラスト適用に向けた考え方 cio.go.jp

政府情報システムが、クラウド・バイ・デフォルトを基本としていることは、事情通ならご存じと思います。 しかしながら、政府情報システムのクラウド移行は限定的に現在進行中(クラウド事業者として把握している範囲で)であり、政府情報システムに「ゼロトラスト」を適用することは、かなりハードルが高いと思われます。

政府情報システムにおけるゼロトラスト適用の方向性を下記のように記述しています。

1.パブリック・クラウド利用可能システムと利用不可システムの分離
2. システムのクラウド化徹底とネットワークセキュリティ依存の最小化
3.エンドポイント・セキュリティの強化
4.セキュリティ対策のクラウド化
5.認証、及び認可の動的管理の一元化

さらに、本文中にこのような記述があります。

2.5技術トレンドとしてのゼロトラスト ゼロトラストは、主要ITベンダーや主要クラウドサービス提供者がコミットしていることから、不可逆的で強い技術トレンドになっています。 また、ゼロトラストの考え方に基づくソリューション・製品は、クラウド利用時に使用すること、ソリューション・製品自体がクラウド化され ている場合が多く、ゼロトラストへの移行とクラウド利用の拡大は車輪の両輪として推進していく必要があります。
引用元:政府情報システムにおけるゼロトラスト適用に向けた考え方

「不可逆的で強い技術トレンド」という表現を、平易に言い換えると「将来的に間違いなく普及する技術」くらいの意味合いでしょうか?

クラウド移行の起爆剤として「ゼロトラスト」を利用しようとしているのでは?と単純に考えてしまいがちですが、実際のところ政府情報システムの調達基準などで(このディスカッションペーパーも)参考にされている、NIST(米国国立標準技術研究所)のSP‐800シリーズというセキュリティガイドラインの影響ではないかと思います。 NIST SP-800シリーズは、はアメリカの政府情報システム向けのセキュリティガイドラインですが、一般企業でも適用できる汎用性を持っており、サイバーセキュリティのグローバル・デファクトスタンダードと言ってもいいでしょう。

重要なポイントはNIST SP-800シリーズの考えるセキュリティフレームワークは明確に「サイバー攻撃への対応」に特化していることです。

それでは、テレワークがニューノーマルとなりつつある世界線で、なぜゼロトラストが必要とされているか、現実的にどこまで対策すればいいのかを考えてみたいと思います。

ゼロトラストにかかる「過度な期待」とテレワーク

一方8月に「ゼロトラスト」を提唱した本家本元のガートナー社がセキュリティ・ハイプサイクルを発表しています。

ガートナー、「日本におけるセキュリティ (デジタル・ワークプレース) のハイプ・サイクル:2020年」を発表

そこには「ゼロトラスト」が「過度な期待」のピークにあるとの記述があります。 最高潮の盛り上がりをみせているテレワークで生じる課題を解決するアプローチとして注目されているのが「ゼロトラスト」でしょう。

第一波到来時に利用された代表的なテレワーク手法は、「VDI」「リモートデスクトップ」「会社PCの持ち帰り」でした。
※詳しくは前回書いたこちらの記事をご覧ください。
blog.pfs.nifcloud.com

これらをセキュアに利用するためには「VPN」の利用が一般的です。 VPNは文字通り「Virtual Private Network」なので、仮想的に企業のプライベートネットワークを家庭まで延伸することになります。 これによって、安全だと考えられていた「企業の社内ネットワーク」の境界線があいまいになってしまいました。

「VPNってそんなに危険なのか?」

と不安を感じた方もいらっしゃると思います。絶対安全とは言い切れませんが、論点はそこではなく、本質は多くの企業でプライベートネットワーク内部に対するサイバー攻撃(社外・社内問わず)の対策が不十分である点です。

ファイアウォールIDS/IPSもウイルス対策ソフトも基本的にはネットワークの境界を防御するための仕組みです。テレワークで使用する自宅のPCがマルウェア感染をはじめ何らかの方法で乗っ取られ、「VPN」経由で企業のプライベートネットワークに侵入されると、何も遮るものがないのでやりたい放題になります。

f:id:sameshima_fjct:20200902184642p:plain
ネットワークを道路に例えるとこんな感じ

実際に、大企業のテレワーク環境を狙ったサイバー攻撃による被害はニュースにもなりましたが、ニュースにならないもの・気づいていないものを含めるとかなりの件数が現在進行形で発生していると思われます。こういったインシデントの発生リスクを軽減するセキュリティのアプローチとして期待されているのがゼロトラストです。

一方、VPNはセキュリティ以外の課題(帯域不足などで快適に利用できない)で評価が悪化していますが、これはVPNそのものが悪いのではなく、単純に運用の問題のような気がします。

NIST SP 800-207(Zero Trust Architecture)最終版キタ!

では、テレワーク環境に最適なゼロトラストを実装するにはどのような「ツール」を導入すればいいのか?
「VPNは境界型セキュリティの代表格だからニューノーマルではもうオワコン」といった「VPN」を使わないことがゼロトラストへの第一歩という勘違いをしている人は少ないと思いますが、セキュリティベンダーの提供するソリューションやパッケージを導入しても、パーフェクトなゼロトラストを実現できそうにないところがゼロトラストの難しい点です。

なぜなら、ゼロトラストはあくまで概念であり、企業ごとに無数の最適解があるからです。

そういうタイミングで、タイムリーなコンテンツがでてきました。

NIST SP 800-207(Zero Trust Architecture)最終版の公開です。

NISTは米国国立標準技術研究所(National Institute of Standards and Technology)という組織のことで、世界のサイバーセキュリティのデファクトスタンダードといえるガイドラインを多く作成していることで知られています。たとえば、一般的に「NIST SP 800-63-3」と呼ばれる電子的認証に関するガイドライン(Electronic Authentication Guideline)では、米国の政府機関がユーザー認証や身元証明を行うシステムを実装する際に「多要素認証」の利用が推奨されています。

冒頭でも述べたように、NIST SP 800シリーズはサイバー攻撃の対応に特化したガイドラインであり、今回のNIST SP 800-207もその文脈で読みましょう。

このガイドライン(英語なので翻訳サービスを使って読んでいます)には、ゼロトラストアーキテクチャ(以降かっこいいのでZTA/ZTにします)の基礎から、導入手順、ユースケース、既存環境からZTAへの移行といった項目だけでなく、ZTAにおける脅威まで記載されています。

「既存環境からZTAへの移行(原文:Migrating to a Zero Trust Architecture)」という章には、既存の境界型セキュリティも併用しながら、徐々にZTAを志向したITインフラへ変えていくという現実的なアプローチについて記載されていました。

これは、以前書いた2020年に流行るらしいゼロトラストネットワークって何? - ニフクラ ブログという記事の内容の妥当さを裏付けているようで若干安心しました(弱)。

意訳すると、こんなかんじです。

ZTAを実装する場合、ITインフラの⼤規模な刷新が必要になる。ZTの原則とプロセスを理解し、段階的に実装すべき。多くの企業ではZTAと境界型セキュリティの両方をハイブリッドモードで利用することになるだろう。場合によっては、境界型セキュリティをそのまま使い続けるケースもあるかもしれない。しかし、ZTAを導入するにあたって、前提となるのは対象となるIT資産、ビジネスプロセス、トラフィックのフローの相互依存関係を特定してリストアップする必要がある。

・ Pure Zero Trustアーキテクチャ
まっさらな状態からのZTA移行アプローチはうまくいく可能性がある。しかし、実際には既存のアーキテクチャを捨てるのは現実的な話ではない。新規に独自のITインフラを構築するような案件であればその限りではない。

・ハイブリッドZTAと境界型セキュリティベースのアーキテクチャ
企業が単一の技術でZTAに移行できる可能性は低い。ZTAと非ZTAが共存する期間が無期限に続くかもしれない。 (非ZTAでも使用していた)ID管理、デバイス管理、イベントログの取得などは、ZTAで動作する柔軟性がある。

極めて怪しい意訳ですが、それでもなんとなくニュアンスはご理解いただけるのではないでしょうか?

既視感があると思ったら「クラウド移行」あるあるでは?という感じもします。
政府CIOが前述のディスカッションペーパーでZTA適用に向けてクラウド移行を強く推進する意味はこれなのか(また深読み)?

VPNのことを嫌いにならないでね!(ハイブリッドZTAって?)

ZTAを導入するには、政府CIOはパブリッククラウドの利用が必須と言い切っていますが、ようするに旧いアーキテクチャのシステムにZTAを適用するのは困難という結論に達したのだと思います。

とはいえ、この新型コロナによる経済的なダメージは大きく、IT投資を増やせる企業は多くないと思います。 ニューノーマルではテレワークが必須になるのは確実になってきましたが、現状のテレワーク環境に「何か」を追加してZT化できたらいいな!と考えるのが普通です。

前章で解説したNISTのSP800-207でも、ZTAと非ZTAの共存が続くという記述がありました。

今ならもれなく「VPNを使わずにリモートアクセスするソリューション」が候補に挙がってくると思います。でも、VPNを使わないこと=ZTAではありません。

テレワークにおけるVPNの課題は大きくわけて2つあると思います

 1.帯域問題(快適にテレワークができなかった)
 2.マルウェア感染や乗っ取りで攻撃者が侵入経路として利用

1については、「VPNを使わずにリモートアクセスするソリューション」を使うことで解決する場合もあります。 しかし、VPNを使っても帯域問題を解決する簡単な方法があります。

帯域を増やせばよくね?

当然、VPN機器を追加購入して設定するためのコストがかかりますし、運用コストもかかります。 クラウド事業者的には、オンデマンドで作成できる仮想VPNルーター(ニフクラ名:リモートアクセスVPNゲートウェイ)を使ってくださいと言いたいところです。

ラテラルムーブメント対策=マイクロセグメンテーション

2については、境界型のセキュリティではカバーできないため、見落とされがちな部分です。

企業のプライベートネットワークに侵入された場合の対策

これを実施する必要があります。

企業のプライベートネットワーク、要するに境界内部にマルウェアが侵入したり、内部からの情報流出(本人の犯行だったり本人が権限を乗っ取られたり)も視野に入れて対策を考える必要があります。いったん境界内部に侵入した攻撃者が、より高次のアクセス権限を獲るために同じネットワークセグメントにある他のマシンへの侵入を図るのをラテラルムーブメントと呼んでいます。

f:id:sameshima_fjct:20200903163114j:plain
リアルなラテラルムーブメントの概念図

ネットワークの境界を監視したりファイアウォールを置くだけでは、ラテラルムーブメントを防止することはできません。 ラテラルムーブメントを防ぐためには、いくつかの方法が考えられます。

 1.アクセス権限の細分化と認証強化(多要素認証)
 2.ネットワークのマイクロセグメンテーション化

NISTのSP800-207の3章でも、ZTAのアプローチのバリエーションとしてマイクロセグメンテーションが紹介されています。
感染したマシンから、同一ネットワークセグメント内の他のマシンやアプリケーションにアクセスする際に、単純なパスワード認証だと、総当たり攻撃などで突破される可能性があります。そこで、パスワード認証だけでなくデバイス認証やワンタイムパスワード認証など多要素認証を使用することで、ラテラルムーブメントの成功率を下げることができます。

また、ネットワークのマイクロセグメンテーション化というのは、ネットワークレイヤー単位でファイアウォールを設定する境界型防御に対し、ネットワークセグメントを細分化(マシン単位でのファイアウォール設定)することで攻撃の拡大を防止する方法です。

また、境界内部の防御で基本となるのは、システム(すべてのレイヤー)のログを収集するすることですが、攻撃者が次の攻撃対象への侵入する前に、ログを監視して異常を検知しマルウェアに感染したマシンを検知・隔離すればいいでしょう。もちろん、既存の複数のツールを利用すれば実現できることですが、ZTAではこれらの連携を自動化する仕組みが必要になります。

マイクロセグメンテーションは、最低でも仮想化環境、できればクラウド環境での実装が現実的です。 ニフクラでは、オンプレミス環境からZTAを志向したインフラへの移行を下記のように考えています。

f:id:sameshima_fjct:20200902171033j:plain
ニフクラで始めるZTAアプローチ

まとめ

ZTAがテレワークと相性がいいと考えられる理由

・「VPNの帯域不足で生じたテレワークへの不満」がネガティブな体験として記憶された。
・新型コロナ第一波で全国的なテレワークが実施された際、大規模なサイバー攻撃(マルウェアによる被害)が発生して企業のプライベートネットワーク内のセキュリティに注目があつまった。
・上記2つに対してZTAが解決するためのアプローチを内包していた

普通すぎますか?

結論としては、テレワーク環境でサイバー攻撃対策(前述のラテラルムーブメント対策)を実施するのが優先で、段階的におこなうべきITインフラのアーキテクチャ刷新(クラウドへの移行)とZTAは平行して実施する必要があるということです。

最後に

せっかくなので、ニフクラのサービス紹介もさせてください。 ニフクラでは、物理機器の準備不足に起因する「VPNの帯域不足」を解決する方法論として、クラウド+仮想ルーターである「リモートアクセスVPNゲートウェイ」をご用意しています。 こちらのテレワークにおけるご利用イメージもご覧ください。

pfs.nifcloud.com

ニフクラではマイクロセグメンテーションを標準で実装可能です。VMware vSphereを基盤としたパブリッククラウドであり、VMwareのネットワーク仮想化ソフトであるVMware NSXの技術を使用しています。もちろん、オンプレミスやプライベートクラウドでもVMware NSXを導入すればマイクロセグメンテーションは実装可能ですが、高い導入コスト・運用コストを考えると追加料金無しでZTAの重要な要素であるマイクロセグメンテーションを利用できるという点で、ニフクラは非常に現実的な選択肢でしょう。 こちらのeBOOKもご覧ください。 lp.pfs.nifcloud.com