<コラム>「ゼロトラストアーキテクチャ」とは?

Share



株式会社ブロードバンドセキュリティ
エグゼクティブ・フェロー 安藤 一憲

(※取材当時の役職になります。)

「バズワードになってるけど実態がよくわからない」という現象はこの言葉に限ったことではないが、この言葉もご多分に漏れず中身の理解よりも言葉が先行しているように見える。世間に出ている記事を読むとどうやら認証が鍵なことだけは朧げながらわかる。

ゼロトラストを定義する文書で最短距離にあるのはNIST SP800-207で未だドラフトではあるが、そもそもの意味は「権限管理下にある認証を経ていないユーザには何もアクセス権限を与えない」という意味で「ゼロトラスト」と言っていることがわかる。

では、それを実現するアーキテクチャの「肝」は何かというと、ユーザがアクセスするデータプレーンと、認証とアクセス権限を与えるコントロールプレーンを論理的に分離することにある(ドラフトでは3.4.1の5に書いてある)。そうすることで不正アクセスへの監視を容易にし、例えばマルウェア感染の疑われるPCからのリソースへのアクセス遮断を容易にする、という寸法である。この分離がなされていない場合は「ゼロトラストアーキテクチャ」とは到底言い難い。企業システムの侵害において多くのケースで致命傷になっているのがAD等のディレクトリサーバへの侵害であることを考えればこの分離はとてもリーズナブルである。


従来のネットワーク


ゼロトラスト構成例


社内ネットワークへのVPNゲートウェイはこの構成では必要がなくなる。「ユーザがどの機器を経由してアクセスしているか」ではアクセス権限は与えられないからだ。逆に、ユーザが自宅にいようがモバイル環境にいようが、必要な認証さえ通ればリソースにアクセスできる、という思想である。もちろんユーザのアクセスには経路暗号化の利用が前提となりThreat intellgenceのふるいにかけられた後にアクセスが許可される。

ドラフトにはいくつかの実装モデルが載っているが、代表的な「Policy Enforcement Point(PEP)」を作るモデルでユーザにとって便利そうなのは、SSOを実現し社内リソースへのアクセス権限を適切に与えるreverse-proxyサーバのような実装が考えられよう。

管理リソースがローカルの社内ネットワークに止まらない場合には、例えばクラウド環境の裏側までコントロールプレーンを延伸する必要があろう。そこで必要になるのは例えばIDフェデレーションの仕組みだったりするだろう。ゼロトラストの文脈でIDフェデレーションが出てくるのは、「コントロールプレーンの論理的な分離」が要件だからである。

他にもユーザのデバイス上でアプリケーションが動く場合にはサンドボックス上で動かす等の配慮をするように書かれている。これは仮にユーザのデバイスが侵害されていた場合にも社内リソースへの影響を最小にするアプローチだ。基本的に「アプリケーションはユーザから隠せ」という記述も見られる。他にもざっとドラフトを読むとシステム侵害事例を研究した上で弱いところを潰し、かつ使い勝手を良くしようという意図が明確にわかる。

ゼロトラストアーキテクチャを実現するにはそれなりの道具立てが必要ではあるが、既存のネットワークをゼロトラストアーキテクチャに移行する場合にまず最初に手をつけるとすればもっとも手前にある社内ネットワークでの「コントロールプレーンとデータプレーンの論理的な分離」からであろう。最初から完全なものを作るのは難しいが「百里の道も一歩から」である。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share