APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > ゼロトラスト > ゼロトラストとは - 後編 -

ゼロトラストとは - 後編 -

ゼロトラスト
< techblogAPCについて(はじめにお読み下さい) >

1. はじめに

こんにちは、エーピーコミュニケーションズ 0-WANの嘉藤です。
0-WANは、0から1を作るというゼロトラスト事業の成功へ向けた願いと、お客様へゼロトラスト環境を提供することで、いつでもどこでも業務が継続できる、つまりは、閉域網に頼らずともセキュアに業務ができる環境を提供するという思いを込めて創設されたチームです。
前回(ゼロトラストとは - 前編 -:https://techblog.ap-com.co.jp/entry/2024/02/08/220857)に引き続き、ゼロトラストを実現する要素について説明します。

2. ゼロトラストを実現する要素

ゼロトラストネットワークの実現にはどのようなものが必要なのでしょうか。ゼロトラストネットワークの基本は、「全セッションに関して正規のデバイス・ユーザ・アプリケーションからのアクセスであるか、正当かつ安全なアクセス権限であるかを全て検証する」です。これを実現するには大きく次の3点が必要になります。

① 情報収集
→ 利用するデバイス/ユーザ/アプリケーション/脅威情報/更新プログラムなどの情報を収集します。
② アクセスレベルの決定
→ ①の情報と企業のセキュリティポリシーに応じたアクセスレベルを決定します。
③ アクセス制御
→ ②で決めたレベルに応じてユーザのアクセスをコントロールします。

3. ゼロトラストネットワークの構成例

先ほどゼロトラストネットワークを実現する3つの要素について説明し、前回(ゼロトラストとは - 前編 -:https://techblog.ap-com.co.jp/entry/2024/02/08/220857)はゼロトラストの7大原則について説明しました。ここでは具体例として米Microsoft社が公開している「Zero Trust strategy—what good looks like」を紹介します。

① 情報収集(青色)
→ (左上)利用者からはユーザIDと多要素認証(MFA)1の実施状況を収集します。
(左下) デバイスからはインベントリDBに合致したアプリケーションや更新プログラム適用状況などを収集します。

② アクセスレベルの決定(緑色)
→ ①の情報と企業のセキュリティポリシーに応じたアクセスレベルを決定します。

③ アクセス制御
→ ②で決めたレベルに応じてユーザのアクセスをコントロールします。
正当なデバイス・利用者が適切なアクセスレベルでデータ、アプリケーション、インフラ、ネットワークにアクセス出来るようになります。 データであれば図の右上にあるように、クラス分けやラベル付けによって必要な権限を付与したり、暗号キーの配付があります。 アプリケーションであれば図の右中にあるように、適応型認証2によってアクセス可否を決めることもできます。

4. ゼロトラスト導入のアプローチ

ゼロトラストネットワークの導入では、ユースケースにより最適解が様々であり一概にどのように導入するのが良いかを断言することができません。 米NISTが定義している SP800-207「Zero Trust architecture」では、ゼロトラストネットワークの導入方式を3つ紹介しています。

4.1 拡張されたIDガバナンスを利用したZTA3

簡単に言うとユーザはID認識型プロキシ(IAP)4を介してのみリソースつまりアプリケーション、サービスにアクセスすることができるということです。つまりIAPを介さずにリソースにアクセスすることを禁止するという方式です。

ユーザAはIAPを介してサービスAとサービスBにアクセスすることができます。リソースへのアクセスはIAPが行い、ユーザAに対してリソースにアクセスした結果を返すという仕組みです。 同様にユーザBは、IAPを介してサービスCにアクセスすることができます。

この方式の良い点はインターネットを介して接続するオープンネットワークのアクセスに適合させやすい点です。

4.2 マイクロセグメンテーションを利用したZTA

簡単に言うと個々のサービス毎にネットワークセグメントを分けてNGFW(次世代ファイアウォール)を配置して、個々にポリシーを適用しサービス間の通信を保護するという方式です。
境界防御型の場合ですと、外部への通信はファイアウォールを経由することになりますが、個々のサービスはLAN側(内側)で制限なく自由に通信することができてしまいます。
一方、マイクロセグメンテーションを利用するとサービス間の通信は常にファイアウォールを経由することになり、個々のポリシーが適用され通信が保護されます。 ただし、サービスの数だけNGFWが必要になるためコスト面でデメリットがあります。また、Google社はBeyondCorpにおいて本方式を検討したそうですが、性能面に課題があるため採用に至りませんでした。

4.3 ネットワークインフラとSDPを利用したZTA

簡単に言うと利用者とサービスの間でトンネルを形成して通信を行う方式なのですが、通信前に利用者側でトンネル認証を一度するだけのVPNと違い動的に利用者とサービスの双方でネゴシエーションしてトンネルを確立しセキュアにアクセスすることが出来ます。 この方式をSoftware Defined Perimeter:SDPと言い、以後SDPと省略します。

①利用者がサービスへのアクセスをSDPコントローラにリクエストします。
②SDPコントローラがデバイスとサービスのそれぞれに通信用のトンネルを確立するよう指示をします。
③デバイスとサービスの間でトンネルが形成されセキュアに通信を開始します。

SDPコントローラの認証が許可されてはじめてデバイスとサービス間が通信することができます。接続元/先情報はSDPコントローラが保持しているため、直接利用者やサービスが攻撃を受けることがないためセキュリティが向上します。

5. おわりに

二回に分けてゼロトラストの考え方、実現する要素について説明しました。
次回は、SD-WANについて説明します。
最後までお読みいただきありがとうございました。

  1. 認証の3要素である知識情報、所持情報、生体情報のうち、2つ以上を組み合わせ認証することをMulti-Factor Authentication:MFAと言います。
  2. 状況に応じて異なる資格情報を要求する認証のことを言います。
  3. Zero Trust Security Modelに基づいて、ネットワークの攻撃対象領域を削減し、脅威の横方向の移動(ラテラルムーブメント)を防止し、データ侵害のリスクを低減するために構築されたセキュリティアーキテクチャのことをZero Trust Architecture : ZTA と言います。
  4. ユーザとアプリケーションの間に入って通信を仲介するプロキシのことをIdentity-Aware Proxy : IAPと言います。