クラウドとか

クラウドと呼ばれるものについての個人的な備忘録です

ゼロトラスト導入のステップについて考えてみた

ゼロトラスト、という言葉をここ最近よく聞くようになりました。
私自身、ゼロトラスト、という言葉を理解するために資料をいくつか探して読んでみました。具体的に読んだ資料としてはPwC社のページで公開されている「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャの日本語訳や、IPAのページで公開されている「ゼロトラスト導入指南書」などですが、今一つ、読んでみても自分自身で「ではこうやってゼロトラストアーキテクチャを実現していきましょう」というステップが思い浮かばなかったのです。

そこで、ChatGPTに、ゼロトラストの実装順序について尋ねてみたところ、これまでに読んだ資料とそんなに不整合を起こさなそうな、妥当かつ一般化されたように見える回答を得ることができたので、メモ程度にここに記載します。

 

<以下ChatGPT回答>

---------------

ゼロ トラスト (ZT) セキュリティ モデルの実装は、慎重な計画と実行を必要とする複雑で多段階のプロセスです。以下は、組織でゼロ トラストを実装する際に従う一般的な手順です。

1. セキュリティ境界を定義する

• 従来のセキュリティ モデルでは、境界はネットワークのエッジとして定義されますが、ゼロ トラストでは、この境界はユーザーまたはデバイスがネットワークにアクセスするすべての場所です。これには、リモート ワーカー、クラウド サービス、モバイル デバイスが含まれます。

• ネットワークの一部となる人物と内容 (従業員、請負業者、IoT デバイスなど) を評価します。

2. アイデンティティとアクセス管理 (IAM)

• 多要素認証 (MFA) を使用して強力な ID 検証を実装します。すべてのユーザー、デバイス、アプリケーションは、リソースにアクセスする前に認証される必要があります。

• 内部ユーザーと外部ユーザーの両方に対してポリシーを適用し、アクセス権限を追跡できるアイデンティティ プロバイダー (IdP) を使用します。

• ロールベースのアクセス制御 (RBAC) または属性ベースのアクセス制御 (ABAC) が確実に実施され、ユーザーとデバイスが必要なリソースにのみアクセスできるようにします (最小権限の原則)。

3. 最小権限アクセスの実装

• ユーザーのニーズに基づいて権限を制限し、攻撃対象領域を最小限に抑えます。

• ジャストインタイム (JIT) アクセスを使用して、ユーザーが必要な期間のみ一時的にアクセスできるようにします。

• 機密リソースへの特権アクセスを制限し、職務を分離します (1 人のユーザーが重要なリソースをあまり多く制御しないようにします)。

4. ネットワークのセグメンテーション

• ネットワークをより小さなセグメントに分割して、攻撃者の横方向の移動を制限します。

• マイクロセグメンテーションなどのツールを使用して、よりきめ細かいレベルで制御を適用します。

ファイアウォールと仮想ローカル エリア ネットワーク (VLAN) を実装して、機密リソースと非機密リソースを分離します。

5. 継続的な監視とログ記録

• 継続的な監視を実装して、誰が何にいつアクセスしているかを追跡します。これは異常な動作を検出するために不可欠です。

• セキュリティ情報およびイベント管理 (SIEM) システムなどのツールを使用してログを一元管理し、潜在的な脅威がないかデータを分析します。

• 異常検出システムを使用して、特に新入社員、クラウドの導入、IT インフラストラクチャの変更など、環境が変わった後に、予期しないアクセス パターンにフラグを立てます。

6. エンドポイント セキュリティ

• すべてのエンドポイント (ラップトップ、スマートフォン、サーバーなど) が継続的に監視され、保護されていることを確認します。

• エンドポイント検出および対応 (EDR) などのツールを使用して、デバイスがセキュリティ ポスチャ要件 (更新されたウイルス対策、安全な構成など) を満たしていることを確認してから、デバイスにアクセスを許可します。

• デバイスの信頼ポリシーを実装して、準拠したデバイスのみが機密システムに接続できるようにします。

7. セキュリティ対応を自動化する

• 自動化を使用してセキュリティ ポリシーを適用し、脅威にリアルタイムで対応します。たとえば、疑わしいデバイスまたはユーザーを自動的に隔離すると、攻撃の拡大を防ぐのに役立ちます。

• セキュリティ自動化プラットフォームを使用してセキュリティ ポリシーを調整し、組織全体でさまざまなツールを統合して、脅威に動的に対応します。

8. 継続的なリスク評価と適応

• 組織が進化してもゼロ トラスト ポリシーが引き続き有効であることを確認するために、定期的なセキュリティ監査とリスク評価を実施します。

• アクセス制御ポリシーを定期的に見直し、必要な個人とデバイスのみが機密データとサービスにアクセスできるようにします。

9. ユーザーとデータの保護

• データ損失防止 (DLP) テクノロジを使用して機密データを監視および保護し、不正アクセスや漏洩を防止します。

• 転送中のデータには暗号化通信を使用し、機密データには保存時のデータ暗号化を検討します。

10. 教育とトレーニン

• ゼロ トラストの原則と、それが ID と会社のデータを保護するのにどのように役立つかについて、従業員に継続的に教育します。

• セキュリティ意識向上トレーニングを実施して、フィッシング、資格情報の盗難、ソーシャル エンジニアリング攻撃などの一般的な脅威を回避する方法をユーザーが理解できるようにします。

結論

ゼロ トラストの実装は、組織のニーズとセキュリティ環境に合わせて進化する反復的なプロセスです。これらの原則をサイバーセキュリティ戦略に統合し、ゼロ トラスト ネットワーク アクセス (ZTNA)、MFA、エンドポイント セキュリティなどのツールやフレームワークと連携させることが重要です。最も重要なのは、ゼロ トラストとは、従来の境界防御だけに頼るのではなく、継続的な検証と適応型セキュリティに関するものであるということです。

ゼロ トラストの実装に関する追加の洞察については、Gartner や Forrester などの情報源が詳細なレポートを提供しており、セキュリティの専門家は TechTarget や Dark Reading などのプラットフォームでベスト プラクティスについて頻繁に議論しています。

---------------

<ChatGPT回答ここまで>

 

ゼロトラストを考える際には、上述のChatGPT回答の1~10が重要というのは、私も過去読んだドキュメントをなんとなく脳内で振り返る限りは納得できます。

ただ、特に重要に感じたのは、赤文字で示した「ゼロ トラストの実装は、組織のニーズとセキュリティ環境に合わせて進化する反復的なプロセス」の部分です。

企業の業務は、一度決まったら未来永劫不変なわけではありません。

企業が購入した固定資産はいつかは価値がゼロになって入れ替える日が来ます。それと同じように、どんなシステムでもいつかは終わりがきて、新しいシステムに入れ替える日が必ず来ます。その時、旧システムで有効だったセキュリティの仕組みが新システムでも有効とは限りません(もしくは、情報システムの入れ替えが起こらなくとも、新しい脆弱性が発見されれば、その脆弱性に対しての対策を迅速に検討してシステムに実装する必要があります)。

そのため、教科書的な書き方をすれば、企業内におけるシステムの利用シーン、利用フローをひとつひとつ丁寧に洗い出し、上述のChatGPT回答の1~10に照らし合わせて、脆弱な部分がないか、ちゃんと保護されているのかを確認する必要があると考えられます。