改めて「ゼロトラスト」とは何なのか?

企業を取り巻くIT環境の変化を受けて、セキュリティのキーワードとして「ゼロトラスト」が叫ばれるようになった。DXの推進に伴ってクラウド利用の拡大や、新型コロナウイルス感染拡大などによる働き方の変化が、企業におけるセキュリティのあり方にも大きな変化を及ぼしているのである。

こうした背景を踏まえてNTTテクノクロスの小川氏は、ゼロトラストの肝となる特権アクセス管理(PAM)にフォーカスした、「ゼロトラストによる特権アクセス管理の役割と適用」と題する講演を行った。

講演の冒頭で小川氏は、ゼロトラストにおける特権アクセス管理(PAM)の重要性について解説した。従来、セキュリティというのは境界防御が中心であったが、クラウドの普及やテレワークなどのIT環境の変化に伴って、場所の固定だけではセキュリティが保てなくなってきた。そこで新たに求められる対策として出てきたのが「ゼロトラスト」である。

  • IT環境の変化に伴う課題と解決策

    IT環境の変化に伴う課題と解決策

このゼロトラストとは、米国NISTの定義によると、「ネットワークが侵害されている場合であっても、情報システムやサービスにおいて、各リクエストを正確かつ最小限の権限となるようにアクセス判断する際の不確実性を最小化するために設計された概念とアイデアの集合体のこと」を指す。

小川氏はゼロトラストについて次のように語った。「端的に言えば、データに対する不正アクセスを防止するために、アクセス制御を可能な限り細分化していくことだ。ゼロトラストに必要となる技術をはじめ、どのように実装するのかという点では現状かなり曖昧であり、『ゼロトラストだからコレをすべし』というのはあまりない。このように、ゼロトラストとは概念やアイデアの集合体であるため、組織によってシステム構成は異なることから単一のアーキテクチャにはならない。そのため、ゼロトラストの思想を理解したうえで、自分たちにとってはどのようなアプローチが有効なのかを考えることが重要になってくる」

小川氏は、NISTが定義するゼロトラストの「7つの原則」を紹介した後、ゼロトラストを構成する論理コンポーネントについて図で示した。ここでは、ユーザーがアクセスする際にポリシー決定/実施ポイントを必ず通過する必要があるが、このポリシー決定/実施ポイントでは、アクセスを許可するかどうかをデータソースと連携して動的に決定することになる。このデータソースとは、従来のID/パスワードといった認証情報に加えて、それ以外のさまざまな情報を指す。例えば、SIEMシステムのログやアクティビティログなどであり、こうした複数の情報を活用することで、認証を動的に行うのである。

  • ゼロトラストを構成する論理コンポーネント

    ゼロトラストを構成する論理コンポーネント

こうした各種データソースがあるなか、PAMをテーマとする今回の講演では、特にID管理システムの話題について掘り下げて解説がなされた。

ゼロトラストにおけるPAMの役割と実装のアプローチ

ID管理における「ID」には、大きく一般IDと特権IDの2つの種類がある。このうち一般IDというのは、ユーザー個人に割り当てられた業務で使用する個人IDを指し、対して特権IDとは、システムのメンテナンスで使用する高権限のIDを指す。この特権ID管理は、講演テーマであるPAMとほぼ同義と考えていい。

そしてゼロトラストにおけるPAMの役割とは、特権アクセスの制御の細分化であり、これは「ゼロ特権」と「一時的な特権貸出」によって実現する。

小川氏は言う。「理想は常時アクセスできる特権を排除した状態の『ゼロ特権』であり、必要な際にのみ『一時的な特権貸出』を行うことだ。しかし、ゼロ特権の実現が難しいため現実として多いアプローチが、常時存在する特権IDに対して『一時的な特権貸出』のみでリスクを低減する、というものだ」

ゼロトラストにおけるPAMの実装は、次のようなかたちとなる。まず特権ユーザーがリソースへ特権アクセスするためには、ポリシー決定/実施ポイントを通過した後にPAMへと連携される。このPAMでは、特権アクセスの細分化が事前の申請と承認に基づいて行われるのに加えて、すべての操作が記録されることになる。

また、ゼロトラスト実現に向けてPAMを適用するには、段階的な長期計画に基づくことが重要になる。ここでは、「ステップ1:オンプレミスの特権アクセス管理」「ステップ2:クラウドの特権アクセス管理」「ステップ3:リモート特権アクセス管理」「ステップ4:ゼロ特権の実現」「ステップ5:人間以外への特権貸出管理」からなる5つの適用ステップを参考にすることで、スムーズなPAMの適用を行っていくことになる。

  • ゼロトラスト実現に向けたPAMの適用ステップ

    ゼロトラスト実現に向けたPAMの適用ステップ

「なかでもステップ1~3の時期とステップ4~5の時期に大きく分かれ、ステップ4は常時アクセス可能な特権IDを排除することを意味し、ステップ5では、アプリケーション、RBAなど人間以外が利用する特権IDに対してPAMを適用することとなる」(小川氏)

5つのステップでPAMを適用していくために

ここから小川氏は、PAM適用の5つのステップについて順を追って解説していった。

まず、ステップ1の「オンプレミスの特権アクセス管理」は、PAMにおける基本となるものだ。ここでは特権IDの管理、特権IDの貸出、特権IDの利用点検、といった3つの管理運用が基本となる。

そしてこれをクラウドへも適用していくのがステップ2の「クラウドの特権アクセス管理」だ。ここではクラウド事業者の責任範囲にある特権IDというものも生じてくる一方、使っているクラウドサービスによって、ユーザーが管理すべき特権IDも発生してくる。そこをしっかりと把握した上で、クラウドの特権IDに対してもPAMの適用を行っていくのだ。

続いてステップ3の「リモート特権アクセス」だが、高いセキュリティが求められる特権業務についてはリモートワークに移行できていない企業が多いのが現実だ。そこで、これまでセキュリティルームで行っていた物理セキュリティをリモートワークでどのように再現するかが課題となってくる。

その解決方法について小川氏は、「多要素認証によるユーザー認証などで厳格に本人確認を実施し、BYODやリモート端末からの直接アクセスを禁止して踏み台経由のアクセスを強制的に行わせるようにするとともに、特権操作をすべて録画することで不正を抑止することが基本となる」と解説した。

ステップ4の「ゼロ特権の実現」では、より強固な特権アクセス環境をつくりだすことができる。ここでは常時アクセス可能な特権IDを排除するわけだが、システムによって可能なパターンと不可能なパターンがある。可能な場合には、新規特権IDを一時的に貸し出す、もしくは非特権IDを一時的に権限昇格するという方法がある。ただし小川氏は、「後者はあまりおすすめできない」と注意を促した。また、不可能な場合には、既存の特権IDを一時的に貸し出すことでゼロ特権を実現していく。

最後にステップ5の「人間以外への特権ID貸出」については、マシン、アプリケーション、スクリプトなど、人間以外の特権アクセスについてもすべて把握し、PAMを適用していくこととなる。

8年連続シェアNo.1(*1)のPAMソリューション

PAMの5つの適用ステップを紹介した後に小川氏は、NTTテクノクロスのPAMソリューションである「iDoperation」を用いたPAM実践方法についてのデモを披露した。

iDoperationは、特権ID管理ツールの分野で8年連続シェアNo.1を記録するなど、多くの企業・組織から非常に高い評価を得ているソリューションだ。

「これまで挙げたような特権ID管理における課題も、iDoperationによってすべて解決できる。クラウド、OS、データベース、ディレクトリー等におけるさまざまなプラットフォームやサービスに対し、iDoperationは特権IDを可視化する」と小川氏は語った。

iDoperationのUIはWebコンソールとなっており、認証を経てダッシュボード画面が表示される。そこから例えば特権ID貸出申請を行う際も、フォームへの入力やボタン選択などでスムーズに行えるようになっている。

特権ID貸出が行われたユーザーは、「iDoperation Client」を用いて特権IDに基づいたアクセスを行うことになる。ここでポイントとなるのが、特権ユーザーを認証し、利用可能なターゲットを一覧表示したうえで、パスワードを秘匿した状態で特権IDの貸出が実施されることだ。

さらにiDoperationは、アクセスログを自動的に収集し、監査をも自動化して定期的に監査レポートを生成する。管理者は、特権IDの利用点検レポートの内容から不正アクセスを発見することができ、不審なアクセスが見つかった場合には、その詳細な内容の確認はもちろん、操作内容を動画で見ることも可能となっている。

最後に小川氏は、今回の講演内容のまとめとして改めてゼロトラストとPAMの要件について振り返ると、「iDoperationは導入実績も豊富であり、世の中の動向に合わせて機能強化も随時行っているので、ぜひ皆さんの特権アクセス管理に役立ててもらえれば」と強調して講演を締めくくった。

(*1) 富士キメラ総研「2014~2021 ネットワークセキュリティビジネス調査総覧」(2013年度~2020年度)

関連情報

・特権ID管理 iDoperation
>>詳しくはこちら

[PR]提供:NTTテクノクロス