ゼロトラスト・アーキテクチャ導入のための「NIST SP800-207」
掲載:2022年07月11日
執筆者:アソシエイトシニアコンサルタント 井本 龍彦
コラム
2022年2月末に始まったウクライナ侵攻は、物理空間だけでなくサイバー空間にも及びました。その影響や、クラウドサービスの普及、近年増加しているマルウエアの被害などを踏まえると、組織にはますます強固で高度なセキュリティ対策が求められます。このような中、セキュリティ対策の在り方は、社内ネットワークと社外ネットワークの境界を防御する「境界型」から、社内外を問わず「何も信頼しない」ことを前提とした「ゼロトラスト(ZT)」へと移行しつつあります。2020年8月には、NIST(米国国立標準技術研究所)※が「NIST-SP800-207 Zero Trust Architecture」を発行し、どのような点を考慮してゼロトラスト・アーキテクチャ(ゼロトラストの考え方に基づいたサイバーセキュリティ対策)を導入すべきかを示しました。本記事では、組織にゼロトラスト・アーキテクチャを導入する際のポイントについて、「NIST-SP800-207 Zero Trust Architecture」を踏まえて解説します。
※NIST(米国国立標準技術研究所):米国の連邦政府機関に対するセキュリティ管理策を定めたガイドラインなどを発行している機関
ゼロトラストとは
ゼロトラストというコンセプトはアメリカで2010年頃に提唱されたといわれています。従来の「境界型」と呼ばれるセキュリティ対策は、「社内ネットワークは信頼できる/社外ネットワークは信頼できない」という前提に基づき、社内/社外の境界にセキュリティ対策を施すものでした。これに対してゼロトラストでは、社内外を問わず「何も信頼しない」というスタンスでセキュリティ対策を行います。
「NIST-SP800-207 Zero Trust Architecture」ではゼロトラストについて、「リソース保護に焦点を当てたもので、信頼は暗黙のうちにあるのではなく、継続的に評価されていなければいけない」という考え方に基づくとしています。つまり、社内ネットワークであっても無条件に信頼するのではなく、従業員単位やアプリケーション単位で安全かどうかを判断すべきだということです。
なぜ今、ゼロトラストなのか
10年以上前から提唱されてきたゼロトラストが今、注目されている背景には次の3つの理由があります。第1にクラウドシフトです。オンプレミスからクラウドへの移行は世界的な潮流となっています。日本政府も2018年6月、「クラウド・バイ・デフォルト原則」を打ち出し、「政府が調達する情報システムはクラウドサービスを第一候補として検討する」と示しました。クラウドは社外ネットワークになるため、これまでの境界型防御では限界があります。
第2に働き方の変化です。新型コロナウイルス感染症(COVID-19)の影響もあり、テレワークを実施する企業が急増しました。テレワークでは従業員の端末は社外へ持ち出され、社外ネットワークから社内ネットワークに接続されます。境界型防御では多くの場合、VPN(バーチャルプライベートネットワーク)を使って社内ネットワークに接続しますが、VPN装置の脆弱性を突いたサイバー攻撃の事例は多数報告されています。
第3にサイバー攻撃の高度化です。近年のサイバー攻撃は非常に高度化かつ巧妙化しているため、従来の「社内/社外」という概念にとらわれず、あらゆるところから攻撃される可能性を前提としたセキュリティが求められています。
NIST-SP800-207を読み解く
「NIST-SP800-207 Zero Trust Architecture」の対象読者は組織のサイバーセキュリティ管理者、ネットワーク管理者、責任者などです。主にゼロトラスト・アーキテクチャについて解説していますが、「ゼロトラスト・アーキテクチャは『ゼロトラストという考え方』が実現できればよい」というスタンスで、その実現方法は指定していません。つまり「NIST-SP800-207 Zero Trust Architecture」には「こうしなければならない」という具体策が書かれているわけではないのです。ゼロトラストの概念やコンセプトを理解した上で、各組織が最適なセキュリティ対策を検討する必要があります。
「NIST-SP800-207 Zero Trust Architecture」の構成は以下の通りです。
章 | タイトル | 概要 |
---|---|---|
1 | 序章 | 歴史/本書の構成 |
2 | ゼロトラストの基本 | ゼロトラストの考え方・観点 |
3 | ゼロトラスト・アーキテクチャの論理的構成要素 | ゼロトラスト・アーキテクチャのバリエーション/技術的な内容 |
4 | 導入シナリオ/ユースケース | ゼロトラスト・アーキテクチャの導入に向けた事例 |
5 | ゼロトラスト・アーキテクチャに関連する脅威 | ゼロトラスト・アーキテクチャで考えられる7つの脅威 |
6 | ゼロトラスト・アーキテクチャと既存の米国政府ガイダンスとの連携の可能性 | NIST発行のフレームワークの比較 |
7 | ゼロトラスト・アーキテクチャへの移行 | ゼロトラスト・アーキテクチャの実装に向けたステップ |
付録A | 略語 | 略語の紹介 |
付録B | ゼロトラスト・アーキテクチャにおける現状とのギャップの特定 | 今後の展望と検討事項 |
出典:NIST Special Publication 800-207を基に筆者作成
前半では、ゼロトラストの考え方や用語の定義、ゼロトラスト・アーキテクチャの構成要素、導入事例などが記載されています。後半ではゼロトラスト・アーキテクチャ特有の脅威の紹介、「NIST-SP800-207 Zero Trust Architecture」と米国政府のガイダンスとの関係性/整合性、最後にゼロトラスト・アーキテクチャへの移行のヒントを紹介しています。
「NIST-SP800-207 Zero Trust Architecture」を初めてご覧になる場合、まずは2章、3章から読むことをお勧めします。これらの章には本ガイドラインの肝となるゼロトラストやゼロトラスト・アーキテクチャに関する基本的な内容が記載されているので、他章が読みやすくなります。また、4章の「導入シナリオ/ユースケース」や7章の「ゼロトラスト・アーキテクチャへの移行」は、ゼロトラスト・アーキテクチャの導入を検討している企業のシステム担当者には、ぜひとも読んでいただきたい内容となっています。
ゼロトラスト・アーキテクチャ導入におけるポイント
ここからは、ゼロトラスト・アーキテクチャの導入に向けてどのようなステップを踏むべきか、「NIST-SP800-207 Zero Trust Architecture」の内容を踏まえて解説します。
① ゼロトラスト・アーキテクチャの導入の前提は段階を踏むこと
「NIST-SP800-207 Zero Trust Architecture」では「ゼロトラスト・アーキテクチャに終わりはなく、境界ベース(従来のセキュリティ対策)とのハイブリッドでの運用を継続する」と述べています。つまり、ゼロトラストの導入に向けて走り出す際、完璧なゴールを目指すべきではないということです。ゼロトラスト・アーキテクチャを導入する方法は多岐にわたりますし、かけられるコストも組織によって様々です。従来のセキュリティ対策も併用しつつ、段階を踏んで進めていきましょう。
② ゼロトラスト・アーキテクチャを導入するための第一歩
ゼロトラスト・アーキテクチャの導入に向けて、担当者が第一にすべきなのは、自組織の情報/IT資産、アクセス管理、データフロー及びワークフローをすべて把握することです。いわゆるシャドーIT(従業員が無断で使用している、組織内で許可されていないサービスやアプリケーション)がある場合は、業務プロセスにおいて必要なものを管理できていない状態と言えます。シャドーITを発見後に対応する場合、ゼロトラスト・アーキテクチャ導入の方法そのものが変わる可能性があります。
③ 導入に向けたソリューション選定(認証/認可)
ゼロトラスト・アーキテクチャを導入すると、デバイスやネットワークなどがあらゆるところから接続できるようになる一方、それらを管理する必要が発生します。具体的には、各デバイスやネットワークなどを認証することで許可されたものであることを確認し、認可することで権限の付与を管理します。そのため、まず実施すべきは「ポリシーエンジン(PE)」の設置です。「NIST-SP800-207 Zero Trust Architecture」ではPEを「指定された主体のリソースへのアクセスを許可するための最終決定を行う」と定義しています。ここでのポリシーとは、アクセスポリシーやID管理システム、脅威インテリジェンスなどが該当します。
認証/認可について「NIST-SP800-207 Zero Trust Architecture」には具体的なソリューションは記載されていませんが、IAM(IDアクセス管理)やIAP(ID認識型プロキシー)などが管理に有効です。また、シャドーITに関する対策としてはクラウド管理として利用される、CASB(クラウドアクセスセキュリティブロッカー)やSWG(セキュアウェブゲートウェイ)が効果的です。
④ 導入に向けたソリューション選定(デバイス管理)
続いて、考慮すべきはデバイスです。BYOD(私物デバイスの持ち込み)を導入している場合やテレワーク等でデバイスを社外に持ち出す場合、デバイスの管理は必須です。端末管理ソフトが必要だと判断されたものには導入し、セキュリティを強化したり、リモートワイプやリモートロックなどが行える体制を整えたりします。なお、デバイスを含めた資産に対して端末管理ソフトを導入するか否かを検討する場合、②で実施した「情報/IT資産、アクセス管理、データフロー、ワークフロー」の調査が活きてきます。端末管理の具体的なソリューションとしては、EDR(エンドポイント検知/対応)やMDM(モバイルデバイス管理)などがあります。
ゼロトラストの今後とまとめ
組織ではクラウド利用やテレワークが定着しつつあり、境界型防御のセキュリティ対策は限界を迎えていると言えます。この現状を打破するコンセプトとしてゼロトラストが注目され、調査会社のReport Ocean社が2021年10月に公表したレポートによると、世界のゼロトラストセキュリティ市場は、2021年から2027年において、17.4%以上の成長が見込めると予想しています。具体的には、2027年までに602.5億米ドルに達する見通しです。クラウドの普及やテレワークの恒常化、人材流動などに加え、DX(デジタルトランスフォーメーション)の推進、EU(欧州連合)のGDPR(一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)といったプライバシー保護に関する需要の高まりも追い風となっています。
こうした状況に鑑みると、今後組織に求められることは「柔軟な働き方や環境変化を前提とした上でいかにしてセキュリティを担保するか」ではないでしょうか。その一助となるのがゼロトラストであり、セキュリティ管理者やネットワーク管理者、責任者などの皆様にとって、「NIST-SP800-207 Zero Trust Architecture」は非常に有用です。ぜひ一読することをお勧めいたします。
参考文献
おすすめ記事
- IT-BCP虎の巻(2)
- 2022年のセキュリティ動向
- 2021年IT注目キーワード10
- 「NIST SP800-171」CUIの厳格管理でサプライチェーンリスクに備える
- FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)
- NICE Cybersecurity Workforce Framework(SP800-181)とは
- ISMAP:政府情報システムのためのセキュリティ評価制度
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- テレワークセキュリティガイドラインを改定 総務省
- NIST SP800-171「Rev.3」を正式に発行 NIST
- 国家が背景にあるグループによるサイバー攻撃の脅威の緩和に向けて、国際ガイダンスに署名 NISC/警察庁
- サイバー攻撃を想定したBCP策定を推奨、令和6年度の医療機関向けチェックリストを公表 厚労省
- 1,000万円超を詐取されたビジネスメール詐欺(BEC)の事例を解説 IPA
- 英国の認証制度を活用、手頃な価格で始めるサイバーセキュリティ対策~IASME Cyber Baseline と IASME Cyber Assurance~
- 「ICTサイバーセキュリティ政策の中期重点方針」(案)の意見公募を実施 総務省
- IMDRFガイダンス
- NIST SP800-160 Vol 2, Rev.1「Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」(サイバーレジリエントなシステムの開発:システムセキュリティエンジニアリングアプローチ)