ゼロトラストを実装する

シンジです。ゼロトラストがマーケ用語に成り上がって久しいですが、とは言えなぜこの状況下であっちこっちでゼロトラストだとうるさいのか、かくいう俺もゼロトラスト警察とか言われるくらい叫んでおるわけで、それほどまでゼロトラストというのは現代的な考え方で、理想的で、非現実的な側面を持っています。

にわかゼロトラストの見分け方

マーケ用語と言われる所以は、ITベンダーが自社製品販売の為にゼロトラストという単語を使っていることが増えたからです。事例記事でゼロトラストを語っているものは、よく見ればベンダーの公告記事だということも分かります。ゼロトラストが盛り上がるのは大変良いことだと思いますが、まるで結論が出て運用していてうまくやってる風に見せている点が、実態と差があってよくないなぁと思うところです。

逆に何がまともなゼロトラスト記事だなと思うかと言えば、ゼロトラストへの結論はさておき、組織的に現代的なIT実装へ推し進めているもの、なぜやる必要があって、どうなりたいのかが分かるもの、例えばさくらの江草さんのやつとかがそれです。アーキテクチャをベースに自組織においての最適化は、ゼロトラストにおいては容易ではありません。

ゼロトラストで、もっと便利に、もっと安全に by. 江草陽太
https://knowledge.sakura.ad.jp/24913/

よく見る資料、オライリーとBeyond CorpとNIST SP800-207

ゼロトラストを知る上で参考にされる資料がこの3つです。後ろ2つはググって出ますからね。この資料を読めばゼロトラストが分かると思っている人も多いようですが、ゼロトラストの一端を知ることが出来るだけであって、全てを知ることは出来ません。

読むと分かりますが、ゼロトラストそのものが未完成です。

ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計
https://www.amazon.co.jp/dp/4873118883

BeyondCorp 企業セキュリティに対する新しいアプローチ
https://cloud.google.com/beyondcorp?hl=ja

SP 800-207 Zero Trust Architecture
https://csrc.nist.gov/publications/detail/sp/800-207/final

まずGoogleのゼロトラストは、例えばとある会社が全てのシステムをGoogleのサービスを利用して設計してもGoogleと同じにはなりません。不思議ですね。それがGoogleです。

NIST SP800-207は、米国政府におけるという大前提があり、資料の中でも揺らぎがあり、元のしがらみもあったうえでの表現が強く、大変そうだなってことがよく分かります。

オライリー本については、基礎の基礎って感じなので、ここから現在のゼロトラストをどう解釈すべきかを求められます。エンジニアな人は楽しいかもしれない。矛盾が分かると思います。

というわけで、どれもまるでファンタジー小説を読まさせているような気になります。この資料群をネタにした記事やブログは、もはや又聞き状態になるという悲しい事態です。

ゼロトラストは解釈次第でどうにでもなる

そのお陰でマーケ用語にもなったわけですし、単語の定義が超あいまいなので、創造力を持って作り上げる必要があります。ITの一部を指すものではなく、組織全体に対してどう機能するかを実装しなければなりません。VPN撤廃したところでゼロトラストだとは言いたくないなと思っています。全体最適していきたい所存です。

なぜ現代にゼロトラスト需要が高まるのか

利便性とセキュリティは二律背反の関係にみえるケースがあります。例を挙げれば、

  • 社内からはBoxやSlackやZoomにアクセスできない
  • メールに添付ファイルは2通目でパスワード通知という謎システム
  • リモートデスクトップして、リモートデスクトップして、リモートデス(ry
  • 会社端末を外に持ち出すときは承認が必要

他にもみなさんが思うところが沢山あるとは思いますが、まるで子供に渡すスマホのように制限をかけられたデバイスを渡す会社も会社だなと思うわけです。

まぁなんか、そういう面倒なものが全部なくなって、超いい感じになるのがゼロトラストだと思ってる人もいるかもしれませんが、んなわけなくて、それはセキュリティよくわからんゼロトラスト信仰者の理想です。宗教みたいなものです。まずは信じましょう。ゼロトラストだけど。

セキュリティの根底に事業継続があるわけですが、古の習慣に縛られていても会社組織が成り立っているならゼロトラストが叫ばれることはないでしょう。

インターネットの向こう側にデータがある

真面目な話ですが、基本的人権には忘れられる権利があるんだと戦っている人たちがいます。不真面目な話ですが、基本的人権には充電とインターネットがあると思っています。充電できない、インターネット使えない、生きた心地がしませんね。

クラウドサービスが普及しすぎて、果たしてクラウドサービスを使っているのかどうかもあやふやなくらい、大量のデータがインターネットの向こう側に行きました。

サイバー攻撃もインターネットをよく使う

データの価値が石油の価値を超えて久しいですが、悪いことを考える人や、あるいはそういった組織もインターネットを使うわけで、一見すると超優秀な技術会社に見えても、データ操作によってえらいことになったぞということで倒産したケンブリッジアナリティカのようなケースもあったりします。

境界防御の考え方が古すぎて対応できない

ということに気づいてない組織も沢山あるのですが、だからといってどうしたらいいんだ状態でもあります。ニュースになるITの事件事故は氷山の一角でしかありません。ITの隙をついてやりたい放題できるのは、悪意ある攻撃者に限りません。

そこに対応できると言われる考え方がゼロトラストアーキテクチャです。組織のITの在り方そのものが問われる訳なので、そんな簡単にほいほいと実現できるようなものではありません。

歴史的背景とかは

JPNICの登壇で研吾氏とゼロトラストの話をしたときの資料にまとまっているものが上がってるのでリンクを貼っておきます。

ゼロトラストネットワークの現在と実装
鈴木 研吾(株式会社LayerX)と俺
https://www.nic.ad.jp/sc-online/program/sc-online-day2-1.pdf

ゼロトラストアーキテクチャ

ゼロトラストというのは、全てを信用しないということではなく、どうすれば信用できるのかという考え方です。シンジのブログでも性悪説と書きましたが、あれは間違いです。記事を挙げた当日に研吾氏が家に乗り込んできて怒られましたが、その結果オライリーから出版することにもなりました。(研吾氏はオライリーゼロトラストの監訳者)

ゼロトラストとは「信用できるなら許可する」アーキテクチャなので、どうすれば信用できると言えるのかというのをIT的に実装していくわけですが、まぁこれがちょー大変なんですよ。

iPhoneって信用できるんでしたっけ?HUAWEIは?
みたいなことですよ。信用と信頼ってなんだ?とか。

なので、信用できるかどうかって話はさておき、インターネットの先にあるデータやサービスを境界防御な今よりも、より安全に効果的に活用するためは、特定のネットワークや特定のデバイスでなければアクセスできないといった仕組みを取り払って、普段からみなさんがスマホでポチポチするように、仕事でもインターネットを普通に使えるようにすることで、もっと便利に使っていこうよって事です。

で、ゼロトラストな考え方をせずにインターネットを使ってるとアホほど事故るので、そうならないようにするためには何をしたらいいんだっけ、というまとめがゼロトラストアーキテクチャです。旧来からあるセキュリティの基本が組み合わさって仕上がったような側面があります。

  • 境界がマイクロセグメンテーション化されている
  • 組織が組織内ITを完全に掌握している
  • 脆弱性がない
  • ネットワークに依存しない
  • 説明責任を果たせる
  • ITが便利でみんな嬉しい
  • ついでに業績と給料も上がったりする

まぁこんなところです。ふんわりしてますよね。そんなん出来るわけないやろって思う人もいますよね。そーゆーものです。

なので、おいしいところどりして、今後の進化にも追従できるようにしておこうというのが現在のゼロトラスト実装ですが、前述したリストを実現するために外せない要素が沢山あります。

  • 統合認証環境とユーザ認証
  • デバイスの認証と端末の健全性評価
  • 資産管理
  • 構成管理
  • 脆弱性のない状態の維持、サイバーハイジーン
  • ログとふるまいからのレスポンス
  • RBACとABAC
  • トランザクションモニタリング
  • インサイダーリスクマネジメント

ゼロトラストにはこれまでのセキュリティ手法が多数盛り込まれていることが分かります。ただし、これらをインターネット前提で行います。ここまでが現代において実現できるゼロトラストのベースです。SDPをオンプレに適用してどうこうとか、動的ほにゃららと言われるもの達は解釈によって実装がめちゃめちゃ異なってくるのと、既存環境をどれだけいかせるかみたいなところもあるので今回は含みませんでしたが、明日はどうなるかわかりません。

あと、そもそもトラストってなんだ?とか考え始めると頭が沸騰します。
個人的にはSDPはビジネス臭が強すぎるので警戒しながら触ってます。ものは良いんですよ。ただニオイが。

ゼロトラストはお金がかかるのか

便利なものを手に入れる場合に、お金がかからないことほど恐ろしいことはありません。安いに越したことはありませんが、タダは恐ろしい。とはいえ、世のITは、不便さを実装してそれをセキュリティだとかで多額のコストを支払うケースも稀によくあるので、仕組みを置き換えたときに過去の遺物を捨てられるかにかかっています。高い利便性を手に入れられるならそれは消費ではなく投資です。他者への説明責任も同じです。その必要がない環境では、高いだとかコストだとか言われて当然だと思いますので転職しましょう。現代において利便性とセキュリティを追求する会社は山のようにあります。

経験上、セキュリティという名目で導入している製品を、ゼロトラスト化を進める上で継続して運用したり更新購入したような製品はありません。レガシーに縛れると進まないので捨てます。それでもやはり利便性強化は求められますから、以前よりITに対してお金をかけることになるケースもあります。この場合、今までがお金をかけてこなさすぎたとも言えますが。

ゼロトラストの実装方法

以前に動画で2時間ほど喋りました。
https://www.youtube.com/watch?v=ssuOmanpYDo&t=441s

資料はこちらです
https://cloudnative.box.com/s/xzuoop5iqhhvpnrma8hoyrso3nsfzv1h

最近だとAzure B2CやB2Bも含めることが増えました。メールアドレスを持たないユーザへのアクセス許可ですね。

この動画、2時間喋ってもまだまだ全然足りてないので、そう簡単にはいきませんよね。

自組織のゼロトラストモデルを作っていく

私たちはこれまで、単純なITモデル、セキュリティモデルを単純に適用することでそれっぽくふるまってきました。それがアクセス禁止だったりメールZIPの2通目パスワードだったりしたわけです。そこから脱却するにはそれなりの創造性が必要です。何が出来るのかを知ると同時に、何が出来ていなくて、何に対して弱いのかを知ることがセキュリティの基本です。ゼロトラストを進めていると、そういったセキュリティの基本を呼び起こしてくれます。

シンジ個人としては、政府CIOのデジタル・ガバメント技術検討会議の下で「セキュリティアーキテクチャ検討委員会」の委員として参加し、大先輩方に囲まれながら、我が国におけるゼロトラストとは何ぞやというのを文章化しているお仕事に参加させて頂いておりますが、ここで知恵を絞ってもスンナリと答えが出ない、そーゆーものなので、どうありたいか、どうあるべきかというゼロトラストっぽい話と、現実的にどうできるか、どうしていけるか、どうなれるか、なんのためにやるのか、いつまでにやるのか、といったところが食い違っていたとしても、それでも理想を追求しつつ現実的なラインで落としていけるかは、このアーキテクチャを進める上で最も面白くて、学びの多い考え方なのは間違いないと思います。

楽しいよ、ゼロトラストは。買うんじゃなくて、創るんだよ。

参考:自社のゼロトラストモデル(2020/08/20)
https://cloudnative.co.jp/security

Category