キーワード
日立製作所研究開発グループの村中です。私達は現在日立情報通信エンジニアリングの方々と共同でゼロトラストセキュリティ(以下ゼロトラスト)のソリューション化に取り組んでいます。ここまでこのコラムでは、ハイブリッドクラウド時代を支えるSD-WANとゼロトラスト、それぞれの必要性と効果を中心に御説明をさせていただいたと思いますが、私達からは「ゼロトラストセキュリティを支える技術」と題しゼロトラストの技術的な側面を3回程に分けてご説明したいと思います。
第1回目はアーキテクチャです。ゼロトラストなシステムへの移行をご検討する際に、ご参考にしていただければ幸いです。
ゼロトラストは、ファイアウォールやIPS(侵入防止システム)などで守られていた境界ベースのセキュリティ対策ではなく、全てを信頼しないことを前提にアクセス単位でセキュリティ対策を行う概念といえます。この概念自体は2010年に米国の調査会社であるForrester Research, Inc.より提唱されており、最近生まれた概念ではありません。それでも最近頻繁に語られるのは、コロナ禍に伴う働き方の変化によるリモートワークの普及や内部からの攻撃の一般化により、従来の境界型のセキュリティのみでは対応出来なくなってきたことが大きな要因といえるでしょう。実践的には、ゼロトラストに則ったシステムを1から構築するよりは、既存のシステムがあった上で、接続形態の変化・クラウドサービスの利用・脅威への対応といった要件に応じて移行させていくことが多いと思われます。
ゼロトラストの考え方は前述の通りですが、単にゼロトラストなシステムに移行してくれと言われても途方に暮れますよね。ありたき姿はどういったものになるでしょうか。
ゼロトラストの最も一般的なガイドラインとして、米国の国立標準技術研究所(NIST)よりNIST SP 800-207 Zero Trust Architectureがリリースされています。2019年9月にDraft1がリリースされ、2020年2月にDraft2に更新されました。本ドキュメントでは、ゼロトラストの考え方およびそれを実現するための論理アーキテクチャの説明がされています。
論理アーキテクチャでは、ポリシーに従った認証認可によるアクセス可否判断を行うポリシー決定ポイント、アクセス可否判断に基づくアクセス制御および経路制御を行うポリシー実行ポイントが主要な機能として定義されています。また、稼働ログやその統合管理ツールであるSIEMを用いてセキュリティ動作を監視することも挙げています。まとめると、それぞれのアクセスに対して「認証・認可」「アクセス制御・経路制御」「監視」が行われることが必要と言えます。
いずれも言われれば必要そうな機能ですが、なぜこのように分かれて定義されているのでしょうか?
例えば、オフィスワーカーとテレワーカーが、オンプレミスのストレージシステムNASとクラウドのストレージサービスにアクセスする場合を考えてみましょう。ゼロトラストの概念に従ってアクセス単位でのセキュリティを整備していくと、認証・認可の方式が異なったり、アクセス経路は通信元と通信先毎に分かれたり、組合せの数が爆発してしまいます。そこで、例えば認証は「誰が」アクセスしようとしているかで実施し、その人がNASやストレージサービスにアクセスして良いかの認可およびアクセス経路の制御はアクセス対象毎に設定する。こうするとよりコンパクトに対応できそうに思えますね。このように機能を分割して考えると、ゼロトラストへ移行する際の要件が整理しやすくなるでしょう。
ゼロトラストに向けたソリューションは多く発表されており、統一されていないようにも感じられるかもしれません。そうした際には、「認証・認可」「アクセス制御・経路制御」「監視」のどこの機能に、どういった条件下で対応しているかといった観点で見ていくとゼロトラストへの移行の参考になるかと思います。
私はこれまで主にIoTのネットワーキングの研究開発に携わってきました。IoTネットワークの主な要件はデータを現場から取得すること。こう書くと単純そうに思えるのですが、従来ITには関わらない機器のみが接続されていたOTの領域にITのデバイスが接続されることはさまざまな影響が考えられるため、現場の構成や運用を理解した上で適切なネットワークを確立する必要がありました。
ゼロトラストのソリューションにおいても、ありたき姿は定義されていますが、既存のシステムを一足飛びで理想の形に移行するのは時間的にもコスト的にも困難でしょう。一歩ずつ要件に応じて機能の追加・削除・組合せ・分離などを検証しながら実施し移行していくことが必要で、その道のりはさまざまであろうと感じました。
宮沢賢治は「永久の未完成、これ完成である」と遺しています。完成度の高いシステムとは継続的な変化を許容するものとも言えるかもしれません。そのための1つの道しるべとして、ゼロトラストのアーキテクチャを常に参照していくと良いのではと思います。
株式会社 日立製作所 研究開発グループ
デジタルプラットフォームイノベーションセンタ エッジインテリジェンス研究部 主任研究員 村中 延之
