以前のコラムでコロナ禍のセキュリティ対策そのものも踏まえながら、境界モデル(ネットワーク分離)とゼロトラストセキュリティモデルの対比のお話をしました。
〈前回の記事はこちら〉
我々のワークスタイルは大きな変化を迫られています。わずか一年程度の間に、従来のオンプレミスを主体としたモバイルとクラウドの活用から、一気にモバイルとクラウドが主体となり、オンプレミスはレガシー資産へと変化してしまいました。
この変化の中で、従来のネットワーク分離を中心としたネットワーク境界モデルは限界を迎えました。従来はSSL-VPN等で接続すること信頼できる端末扱いにしてきたモバイル端末が業務の主体となりました。また、閉域網で接続することで、信頼できるネットワーク扱いにしてきたパブリックのマルチクラウド環境が業務システムのプラットフォームとなっています。
モバイル端末からSSL-VPNで社内ネットワークに接続し、再び、仮想のプライベートクラウドを作成したクラウド環境に閉域網で接続するというネットワーク設計は、非常に非効率であり、最適な設計とはいいがたい状況になってきました。
このため、一過性のバズワードとも思われた「ゼロトラストセキュリティ」を、多くの情報システム管理者は無視できなくなってきました。
そこで、ここであらためてどう向き合うかを考察してみたいと思います。まず、ゼロトラストセキュリティとはなにかをNISTの定義により確認してみます。
| 原文 | 日本語訳 |
|---|---|
|
All data sources and computing services are considered resources.
|
すべてのデータソースとコンピューティングサービスはリソースと見なされます。
|
|
All communication is secured regardless of network location.
|
ネットワークの場所に関係なく、すべての通信が保護されます。
|
|
Access to individual enterprise resources is granted on a per-session basis.
|
個々のエンタープライズリソースへのアクセスは、セッションごとに許可されます。
|
|
Access to resources is determined by dynamic policy—including the observable state of client identity, application, and the requesting asset—and may include other behavioral attributes.
|
リソースへのアクセスは、クライアントID、アプリケーション、および要求元のアセットの監視可能な状態を含む動的ポリシーによって決定され、他の動作属性が含まれる場合があります。
|
|
The enterprise ensures that all owned and associated devices are in the most secure state possible and monitors assets to ensure that they remain in the most secure state possible.
|
企業は、所有および関連するすべてのデバイスが可能な限り最も安全な状態にあることを確認し、資産を監視して、それらが可能な限り最も安全な状態にあることを確認します。
|
|
All resource authentication and authorization are dynamic and strictly enforced before access is allowed.
|
すべてのリソース認証と承認は動的であり、アクセスが許可される前に厳密に適用されます。
|
|
The enterprise collects as much information as possible about the current state of network infrastructure and communications and uses it to improve its security posture.
|
企業は、ネットワークインフラストラクチャと通信の現在の状態について可能な限り多くの情報を収集し、それを使用してセキュリティ体制を改善します。
|
出展:NIST Special Publication 800-207 Zero Trust Architecture
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207-draft2.pdf
この定義からだけでは全体像が目に浮かびにくいように思います。従来のセキュリティシステムとして、多層防御を構成してきたファイアウォール、マルウェア対策、URLフィルタリングとCASB、WAF、IDS/IPS、OSレベルやネットワークレベルの振る舞い検知、ファイルシステムアクセス制御やシステムの権限制御、ネットワーク制御やマイクロセグメンテーション、SIEMやSOCサービス・・・等をマッピングして関連する技術を個々には理解できます。しかし、全体がどのようなシステムアーキテクチャとなるのかはこれだけではイメージが難しく思います。
この定義を簡潔に一文で言うと「アクセス要求の『信頼』を実現するために必要な情報を収集して、アクセス要求の『信頼』を実現すること」となります。
既存のアセットからゼロトラストセキュリティを読み解く
情報システム管理者の視点で、慣れ親しんだ要素で少し整理してみます。「アクセス」の要求元のデバイスとは概ね以下のことになります。
・企業貸与のWindows PC(Windowsデスクトップ)、Mac等デスクトップまたはノートPC
・企業貸与のモバイルデバイス(スマートフォン、タブレット)
・同等の扱いを承認されたBYOD
企業によっては、Windowsデスクトップは次の二段階で構成されることも多いでしょう。
・Windows仮想デスクトップ
・シンクライアントまたは代用としてのBYODデバイス
これらが「アクセス」する資産(データとコンピューティングリソース)とは、以下があります。
業務システムとしては、以下が考えられるでしょう。
・全社や部門で整備しているオンプレやIaaS/PaaSベースのWebシステム
・ローカルWindowsアプリによるクラサバ
・スマートフォンベースのモバイルアプリ
・SaaSのWebシステム
・レガシーまたは小規模なものではExcel/Accessベース等のデータ・ツール群
オフィス業務としては、主に下記が加わってくるでしょう。
・Windowsファイルサーバ
・クラウドストレージ
・電子メールシステム
・Office 365等グループウェア
・Zoom等のビデオ会議ソリューション
・インターネット接続環境(Webプロキシなど)
さらにシステムを提供しているネットワークとは、組織によっては利用していないものもあるとは思いますが、概ね下記になるのではないでしょうか。
・インターネット(自宅やシェアオフィスなどの環境含む)
・企業LAN/WAN、グループイントラネット
・仮想プライベートクラウド内のイントラネット(インターネットVPNまたは専用線で接続)
・官民各業界特有の専用のWAN、エキストラネット
アクセス要求の信頼を実現するために、ゼロトラストセキュリティ対応を謳うベンダや製品、サービス群を活用してみようと、市場で対応を謳う製品を眺めてみると次のように分解できると思います。
・SSL-VPN等リモートアクセスサービス
・UTM製品
・無線LAN等ネットワーク機器
・CASB
結局のところ、従来のネットワークセキュリティを実現する製品群であり、ゼロトラストセキュリティが単一のプロダクト製品で実現するものではないこと、また、すべてのデバイスとアセットにゼロトラストセキュリティを実現することが難しいことは容易に想像できます。
ここまでくると再びバズワードとしての「ゼロトラストセキュリティ」に戻りかねませんが、多くの有識者はゼロトラストセキュリティとは製品ではなく、設計であると説明しています。では、具体的にどのような設計になるのでしょうか。
ゼロトラストセキュリティにおいて、その設計を助ける有力なサービスを展開しているのはCloudflare社のCloudflare for Teamsです。
Cloudflare社は「ゼロトラストネットワークアクセス(ZTNA)テクノロジー」を標榜しています。企業が保有するアプリケーションへのアクセスをCloudflare Accessを介しておこなうように構成することで、ID、コンテキスト、ポリシー遵守を確認し、アクセスを許可することでアプリケーションをネットワーク、つまりサブネットやIPアドレスによらない境界で保護しようという考え方をとっています。
従来のSSL-VPN等のVPN、仮想デスクトップへのリモートデスクトップ接続、Linux等へのSSH等のレガシーな接続を、Cloudflare Accessに置き換えることで、ネットワーク境界の中で踏み台となるWindowsデスクトップのサブネットやIPアドレスに基づいてアクセスを信頼するモデルの依存比率を下げていこうという考え方になります。
コロナ禍において、在宅勤務の比重が大きくなり、従来多くの企業で利用していたSSL-VPNゲートウェイのコスト増大が課題となっています。物理的なハードウェアに依存し、メンテナンスをオンサイトでおこなうのは今となっては許容しくにい管理形態であり、ましてハードウェアは将来陳腐化するリスクがあります。これを低コストで、かつ将来の状況によって縮尺が可能なクラウドサービスへ移行することは非常にリーズナブルです。
Cloudflare Accessは、従来のSSL-VPNの課題を解決しながら、ゼロトラストセキュリティモデルへの移行を促進します。
ゼロトラストセキュリティの段階的実現アプローチと残されるもの
多くの業務システムは仮想化やクラウドリフトは実現し、物理ハードウェアからは解放されてきました。しかし、依然としてクラウドサービスも閉域網接続が用いられる等、ネットワーク境界を前提とした設計が一般的であり、新規に設計、または刷新される業務システムは順次ネットワーク境界に依存しないゼロトラストセキュリティに適したシステムに刷新していく必要があります。
ゼロトラストトラストセキュリティは製品ではなく設計であると先ほど述べました。Cloudflare for Teamsのようなゼロトラストアクセスを実現するサービスを活用しながら、システム管理者は既存の業務システムやオフィス業務の段階的な移行を考えていく必要があります。ある休暇明けの日から組織のシステムはすべてゼロトラストセキュリティに変更しますということはおそらく実現が難しく、数年をかけて、ニューノーマルに適した設計にシステムを段階移行していくことでゼロトラストセキュリティ実現が可能になります。
さて、現実的にはゼロトラストセキュリティとは別に、当面ハイブリッドの名目で残さざるを得ないワークスタイルがあります。それがMicrosoft系のアプリケーションを中心としたオフィス業務、具体的にはMicrosoft Officeの存在です。
これまで多くの1st Line業務はWindows/Officeに依存しないワークスタイルへ転換されましたが、資料作成、各種の文書、表計算ファイル、そしてプレゼンテーション資料の作成、この「ファイル」という概念を中心としたオフィス業務は根本的には転換されていません。また、同様にソフトウェア開発においても、Windowsデスクトップを前提とした業務が多くあります。
オンプレミスを中心としたMicrosoft Exchange等のグループウェアはMicrosoft 365等のクラウドサービスとしてグループウェアに、ファイルサーバはクラウドストレージに変化して、幾分、旧来の物理的なPCとファイルサーバに依存したワークスタイルからは解放されつつあります。しかし、Microsoft Officeを構成するWord/Excel/PowerPointを中心としたWindowsデスクトップ業務には当面の間必要であり、しかも比較的な1日の多くの時間向き合う必要があります。
そこで次回は、残るWindowsデスクトップについてお話ししたいと思います。
〈関連記事〉
-
-
西澤 和正SBクラウド株式会社
クラウド゙技術統括部 技術部 部長大手SIerで防衛や大手金融セキュリティプロジェクトの現場での設計・構築経験を経て、官庁や自治体の仮想化基盤やセキュリティ基盤構築にプロジェクトマネージャやアーキテクトとして多数参画。オンプレ領域では仮想化エンジニアチームのグループ長として、プライベートクラウド、仮想デスクトップ、SDNによるネットワーク分離や自動防御システム等を提供してきた。2019年にSBクラウドに入社し、Alibaba Cloudを活用した、中国進出企業を支援するネットワーク活用、マルチクラウド対応のセキュリティ対策、データ分析基盤や仮想デスクトップ等のソリューション開発・提供を行う。