Microsoft、Googleのゼロトラスト対応:Computer Weekly製品ガイド
ゼロトラストに向けて世界が動き始めている。ゼロトラスト導入の課題は何か。MicrosoftとGoogleの取り組みを交えて紹介する。
セキュリティコンサルタント2|SEC ConsultingのCEOティム・ホルムズ氏によると、ゼロトラストには、ITのセキュリティ対策においてやるべきこと、やってはならないことが集約されている。「十分過ぎる予算とリソース、それに現状を見極められる常識を持ちながら、全ユーザーと私物端末およびシステムが自分たちをハッキングすることはないと唱える企業がいまだにある」と同氏は言う。
ホルムズ氏はITセキュリティのプロフェッショナルに対し、完全無欠のセキュリティを達成する手段としてゼロトラストの検討を促している。同氏によると、侵入テストの目的はシステムに対する不正アクセスを明確化することにあり、通常はシステムを欺いたり、他人に成り済ましたりすることもテストの一環となる。このテストで、不正アクセスされた場合に何が露呈されるかを試す。「もし私がそのシステムやその人物に成り済ますことができれば私は信用され、そのシステムや人物にできることなら何でもできる」とホルムズ氏。
ゼロトラストには、そのエコシステムに関わる全システムと人に対する厳格な認証が求められる。このアプローチの柱の一つは「最低の権限」のコンセプトだ。サイバーセキュリティ業界のベテラン、イーオン・ケリー氏によると、これは必要なシステムにしかアクセスを許さないITセキュリティシステムを意味する。
「このアプローチの結果が境界内のネットワークとシステムのセグメント化(マイクロセグメンテーションとも呼ばれる)だ。ここではネットワークが区画に分割され、それぞれがアクセスと利用に対して認証を要求する。これは基本的に、セキュリティに対する『信じよ、だが検証せよ』のアプローチになる」(ケリー氏)
ITバイヤーがゼロトラストの検討を始めるに当たって出会う可能性が大きい技術の一つに特権アクセス管理(PAM:Privileged Access Management)がある。
ケリー氏によると、これは重要資産に対するセキュリティ対策、コントロール、管理および特権アクセスの監視を支援する一連の製品群のことで、特権アクセス監視はゼロトラストモデルの中核を成す。だがケリー氏は、「最低限の権限はゼロトラストの出発点にすぎない。多くのシステムやアーキテクチャは最小特権やPAMを念頭に置いておらず、そうしたモデルの改造は大掛かりなプロジェクトになる」と警告する。
それが足かせとなって、既存のITインフラにゼロトラストを組み込もうとする企業による採用は遅れている。ケリー氏によると、最も成功しやすいのは組織が何もない所で白紙からスタートする場合だという。Avanadeの英国・アイルランド担当セキュリティプラクティス責任者ジェイソン・レビル氏は、「私の英国の顧客でゼロトラストを優先課題に掲げているところは一つもない」と話す。同氏の経験上、多くの組織はネットワークが平たんで、セグメント化が難しい。
ITインフラはかつて、P2Pと分散されたシステムを配備して構築されていた。そうしたインフラは基本的に、ゼロトラストが求めるマイクロセグメント化のニーズを満たす構造を持たない。P2Pモデルには、Windowsやワイヤレスメッシュネットワークが含まれる。「P2Pではシステム同士がデータを中心として通信するのでゼロトラストモデルが破られ、マイクロセグメント化のモデルも破られる」とケリー氏は解説する。P2Pシステムはまた、データをほとんど、あるいは一切検証することなく共有する。つまり最小権限モデルも破られる。「共有アクセスアカウントに対応しているアーキテクチャやプロセスの場合、ゼロトラストの導入は難しいだろう」とケリー氏は言う。
そうしたレガシーインフラは技術的負債に結び付く。レビル氏が指摘する通り、「ゼロトラストのモデルに変更するビジネスケースは非常に高くつく」。同氏はIT意思決定者に対し、レガシーインフラを設計し直してゼロトラストを実現するよりも、アプリケーションをクラウドに導入してセキュリティを強化することを検討するよう促している。「クラウドに置くことで、ネットワークはセグメント化される」
その上で「Azure Active Directory」を使ってシングルサインオンを利用すれば、クラウドアプリケーションへのアクセスをコントロールできる。ゼロトラストに対する顧客の需要はそれほど大きくないものの、「シングルサインオンのためにAzure Active Directoryに移行する顧客はゼロトラストを達成する。そうした顧客は信頼できる管理された端末でリソースへのアクセスをコントロールできる」とレビル氏は話す。
Azure Active Directoryとの親和性が高いMicrosoftのSaaSを使っている企業であれば、これは簡単にできる。Avanadeの従業員が使う「Power BI」やOffice 365のようなクラウドアプリケーションは、Azure Active Directoryを介して連携させている。一方で、LDAP(Lightweight Directory Access Protocol)を使ったアプリケーションの設計を変更することははるかに難しい。
Microsoftのゼロトラストへの行程について記した同社サイトの記事によると、Microsoftは会社のネットワークに社外からアクセスする全ユーザーに、スマートカードを介した二要素認証(2FA)を導入してもらうことから着手した。これが携帯電話ベースの2FAへと進化し、後に「Microsoft Authenticator」になった。Microsoftはユーザー認証のために生体認証を導入する野心について次のように記している。「われわれが前進する中で、現在進行中の最大かつ最も戦略的な取り組みは、パスワードを排除してWindows Hello for Businessのようなサービスを通じた生体認証に切り替えることだ」
Microsoftによる導入の次の段階には端末登録が含まれていた。「われわれは端末の管理(クラウド管理または従来型のオンプレミス管理を通じた端末管理登録)を必須とすることから着手した」と同社は説明する。「次に『Exchange』や『SharePoint』『Teams』といった主な業務用アプリケーションにアクセスする端末が健全な状態であることを条件とした」
多くの組織がそうであるように、Microsoftのゼロトラストへの移行はかなり段階を踏んだ行程をたどっている。同社はユーザーが必要とする主要サービスやアプリケーションをインターネットからアクセスできるようにしているという。これは、レガシーな社内ネットワークアクセスから、必要に応じてVPNが使われるインターネットファーストのアクセスへと切り替える必要があることを意味する。同社はVPNへの依存度を下げたい意向で、それによって会社のネットワークにアクセスするユーザーはほとんどの場面で減少する。
契約業者やサプライヤー、ゲストユーザーなどが管理対象外の端末からアクセスしなければならない場合もあることを認識して、Microsoftはアプリケーションや完全なWindowsデスクトップ環境を利用できる管理型仮想サービスの確立を計画している。
GoogleのBeyondCorp
Googleは2019年、同社のゼロトラストセキュリティモデル「BeyondCorp」の5年間の進捗(しんちょく)状況をブログで報告した。Googleプログラムマネジャーのリオール・ティシビ、プロダクトマネジャーのプニート・ゲール、エンジニアリングマネジャーのジャスティン・マクウィリアムズの3氏は次のように記している。「われわれの使命はGoogleの従業員全員に、信頼されていないネットワークからさまざまな端末で、クライアントサイドVPNを使わずにうまく仕事をしてもらうことだった」
3氏はBeyondCorpを構成する基本原則を打ち出した。
- ネットワークはユーザーがどのサービスにアクセスしているかを判別しない
- サービスへのアクセスは、そのインフラがそのユーザーと端末について知っていることをベースに許可する
- BeyondCorpでは、サービスへのアクセスは全てリクエストごとに認証され、承認され、暗号化されなければならない
5年たった今、経営陣の後押しがゼロトラストの実装に不可欠であると同ブログで説いている。さらにティシビ、ゲール、マクウィリアムズの3氏は正確なデータの大切さも強調した。「アクセスの決定は、自分が入力するデータの質に左右される。もっと具体的に言うと、信用分析に左右される。これは従業員情報と端末情報の組み合わせを必要とする。このデータが信用できなければ、不正確なアクセス判断、最適とは言えないユーザーエクスペリエンスにつながり、最悪の場合はシステムの脆弱(ぜいじゃく)性が増える」
条件付きアクセス
英Computer Weeklyが取材した専門家によると、ゼロトラストを成功させるには、ユーザーの働き方にシームレスに統合することが不可欠だ。ゼロトラストのユーザーエクスペリエンスを向上させる一つのアプローチが条件付きアクセスであり、Avanadeのレビル氏によると、これによって必要なときにだけセキュリティを可視化する手段を提供できる。
だがケリー氏によると、中央で管理するゼロトラストフレームワークは、企業がデジタルトランスフォーメーションを通じて達成しようとしている柔軟性やアジャイル性に反する場面もある。「DevOps環境にゼロトラストを実装するには、そうした環境が非常に動的であることを前提として、このパラダイムをセグメント化して強制する追加的な技術とインパクトプロセスを必要とする」と同氏は言う。「何らかの形の自動化なしにDevOps環境にゼロトラストを適用して手作業の局面を排除すれば、単純に拡張性を失い、パイプラインスループットを劇的に低下させる」
Copyright © ITmedia, Inc. All Rights Reserved.