近年、リモートワークやクラウドサービスの普及などにより業務環境は変化し、企業をターゲットにしたサイバー攻撃が拡大しています。
従来のセキュリティ対策の脆弱性が指摘されるようになってから、「ゼロトラスト」や「ゼロトラスト・アーキテクチャ」という言葉をよく耳にするようになりました。
今回はこのゼロトラストを知るために有用な「 NIST SP800-207 」について解説します。セキュリティ対策に不安がある方や、ゼロトラストに興味があるけれど、導入の方法がわからないという方はぜひ参考にしてください。
NISTとは
NISTとは、正式名称を「 National Institute of Standards and Technology 」といい、米国国立標準技術研究所のことを指します。主に米国の技術や産業、工業などに関する規格標準化を行い、 IT 分野の標準化についてもさまざまなガイドブックを作成しています。
NIST は 5 つの研究所と 2 つのユーザー用施設を持ち、このうちの情報技術研究所( ITL )では情報技術に関する研究が進められています。 2020 年にはセキュリティに関する新たなガイドライン「 NIST SP800-207 」を発行しました。
NIST SP800-207 はゼロトラストのガイドライン
NIST はセキュリティに関するさまざまな文書やガイドラインを発行しています。
なかでも SP800 シリーズは、セキュリティマネジメントやリスクマネジメント、セキュリティ技術など政府機関や民間企業が参考にすべきガイドラインです。政府や企業がシステムを導入する際には、調達要件の基準として明記される場合もあります。
とくに SP800−207 は、ゼロトラストの基礎知識やゼロトラスト・アーキテクチャについて網羅的に解説しています。企業のセキュリティ担当者だけでなく、これからゼロトラストやゼロトラスト・アーキテクチャについての知識を深めたい方に必読の文書といえるでしょう。
ゼロトラストとは
ゼロトラストとは「何も信頼しない」という意味をもつ言葉です。これまで企業が情報資産を守るためのセキュリティの考え方として、ファイアウォールや VPN などの「境界型セキュリティ」が一般的でした。社内と社外というような境界線を設けて、内部の情報資産を外部の不正な攻撃から守るという考え方です。
しかし昨今では、働き方の多様化やシステムのクラウド化が進み、境界が曖昧になっています。ゼロトラストは企業の情報資産へのアクセスに境界線を設けず、すべてを検証するというセキュリティの新しい考え方です。すべてのアクセスを信頼せずに検証を行い、安全性を証明できないものは許可しないことでリソースを保護します。
NIST SP800-207 の概要
NIST SP800-207 は、 2020 年 8 月にゼロトラストを実現するためのガイドラインとして NIST によって発行されました。全 7 章・ 50 ページの内容で、以下のように構成されています。
| 章 | タイトル | 説明 |
| 1 | 序章 | ゼロトラストの歴史と成り立ち |
| 2 | ゼロトラストの基本 | 用語の定義、前提条件、 7 つの基本原則 |
| 3 | ゼロトラスト・アーキテクチャの論理的構成要素 | 技術的な内容 (ネットワーク、システム構成など) |
| 4 | 導入シナリオ/ユースケース | ゼロトラストの展開やシナリオ、事例 (リモートワーク・マルチクラウドなど) |
| 5 | ゼロトラスト・アーキテクチャに関連する脅威 | セキュリティの 7 つの脅威 |
| 6 | ゼロトラスト・アーキテクチャと既存のアメリカ合衆国政府ガイダンスとの連携の可能性 | アメリカ政府との整合性や関連性 |
| 7 | ゼロトラスト・アーキテクチャへの移行 | 現行ネットワークからの移行 (ピュア ZTA やハイブリッド ZTA の紹介) |
参照元: NIST Special Publication 800-207 ゼロトラスト・アーキテクチャ
1 章と 2 章ではゼロトラストの歴史や考え方などの基礎知識が記され、 3 章以降は、ゼロトラスト・アーキテクチャの構成を理解するための内容を図を用いて解説しています。
企業のサイバーセキュリティ管理者やネットワーク管理者がゼロトラスト・アーキテクチャを検討する上で参考になるでしょう。
NIST によるゼロトラストの 7 原則
SP800−207 の第 2 章では、 NIST によるゼロトラストの基本的な考え方が掲げられています。ここでは、 NIST によるゼロトラストの 7 原則について解説します。
1. すべてのデータソースとコンピューティングサービスをリソースとみなす
ゼロトラストの考え方では、アクセスする側・される側を問わず、組織のネットワークに接続するデバイスやソフトウェア、サーバーやストレージなどのすべてのコンピューティングサービスをリソースと定義します。もちろん企業が所有するデバイス以外にも、個人が所有するスマートフォンやタブレット、 IoT デバイスなども対象です。
2. ネットワークの場所に関係なくすべての通信を保護する
従来の境界型セキュリティでは、たとえば社内ネットワークとインターネットで境界を引き、境界の外に対して対策をすれば内部にある情報資産やリソースは安全であるということが前提でした。
しかし、近年では外部だけでなく内部のセキュリティの脆弱性や、業務環境の変化など、さまざまな課題が指摘されています。そのためゼロトラストでは、社内のネットワーク上にある場合でも暗黙で信頼せず、ほかのネットワークからのアクセスと同等のセキュリティレベルで認証を行うべきとしています。
3. 企業リソースへのアクセスはセッション単位で付与する
これまでのネットワークアクセスでは、パフォーマンスを重視して、一度アクセスが許可されれば一定時間記憶される仕組みになっていました。
これに対してゼロトラストの考え方では、認証や許可はセッションやリクエストごとに行われるべきであるとして、セッションごとに見直しを行います。またアクセス時に付与される権限は、目的のタスクを完了するために最低限必要な権限のみに制限することも推奨されています。
4. リソースへのアクセスは動的ポリシーにより決定する
従来のネットワークへのアクセスでは、ユーザー ID とパスワードといった、あらかじめ決められた組み合わせでユーザーのアクセスを認証することが多いです。
これに対してゼロトラストでは、ユーザー ID とパスワードといったクライアント情報だけでなく、アクセスする資産の状態、異常な振る舞いの有無といった行動属性、ネットワークの場所や時間などの環境属性により認証を行います。
これらの状態や環境は常に変化するため、リクエストを行うたびに最新の情報をもとにして正常性を判断できるのです。
5. すべての資産の整合性とセキュリティ動作を監視・測定する
ゼロトラストでは、すべてのデバイスは信用せずに検証するという考え方のため、デバイスの正常性が保たれているかを継続的に監視する必要があります。
接続するデバイスやシステムの状態、アプリケーションのバージョン、パッチの適用状況など認証に必要な情報を収集し、セキュリティに問題のあるデバイスが見つかればセキュリティレベルを上げる対策を求めます。
6. すべてのリソースの認証と認可はアクセスが許可される前に動的に行う
従来のセキュリティ対策では、一度アクセスを許可すればその結果を使い回し、再認証によるユーザーの手間を省く傾向がありました。
ゼロトラストの考え方では、リソースへのアクセスがあれば許可する前に都度検証し、再評価を行うことでセキュリティを保持することを勧めています。
たとえ一度企業リソースへのアクセスを許可された場合でも、時間の経過や別のリソースへのアクセス、また異常な行動などを検知すれば、デバイスの使用中でも再認証を行う必要があります。
7. 資産、ネットワーク、通信の現状について情報を収集し、セキュリティ体制を改善する
企業は自社の情報資産に関するセキュリティ状況・トラフィック状況・リクエストのデータを継続的に収集することが大切です。
たとえば企業が成長して規模や業務環境が変化すれば、必要な対策は変わります。変化し続けるセキュリティ要件に対応するためには、継続的にデータ収集を行い、収集したデータを環境の変化に応じたポリシーの作成・施行に利用する必要があります。セキュリティ環境を常にアップデートすることが重要です。
ゼロトラスト・アーキテクチャを実現するためのポイント
NIST-SP800-207 では、前章でお伝えしたゼロトラストの 7 つの基本原則以外に、ゼロトラスト・アーキテクチャについて記載されています。
ゼロトラスト・アーキテクチャとは、何も信頼しないというゼロトラストの概念に基づいて、デバイスやアプリケーション、データといった企業のリソースを保護する体制を指すものです。
ここでは、 NIST SP800-207 の内容をもとに、ゼロトラスト・アーキテクチャを実現するためのポイントについて解説します。
段階的に進める
前述した 7 つの基本原則を満たすためには、複数のソリューションの導入が必要です。しかし、はじめからすべて導入するのはコストや人的リソースの面で難しい場合もあります。また、ゼロトラストは特定のソリューションを導入するだけで実現できるものではありません。
まずはスモールスタートし、段階を踏んで徐々に改善していくことが大切です。既存の対策と併用しながら、重要度の高い部分から徐々に進めるのがよいでしょう。
自社の資産やワークフローを把握する
自社のセキュリティ対策にゼロトラスト・アーキテクチャを導入したいと考える場合、まず現在の自社の資産やワークフローをすべて把握することが大切です。
組織内でどのようなデバイスやアプリケーションが使用されているのか、誰が使用しているのかを把握します。また、組織の許可を得ずに従業員が独自で導入した機器やソフトウェアなどの「シャドー IT 」があるかを確認することも重要です。
現状を把握することにより、自社に必要な施策が見えてくるでしょう。
適切なソリューションを選定する
ゼロトラスト・アーキテクチャを実現するには、社内外を問わずデバイスやネットワークの認証・管理作業が必要です。
NIST-SP800-207 には、特定のソリューションは明記されていません。事前に調査した自社の資産やワークフローに応じて、複数の製品を比較し、適切なものを選定しましょう。
NIST SP800-207 をもとにゼロトラストの導入を始めよう
ゼロトラストやゼロトラスト・アーキテクチャは、アプリケーションやソリューションそのものではなく、企業資産へのアクセスすべてを信頼しないことでセキュリティを強化する考え方です。ネットワークを取り巻く環境はこれからさらに進化を続け、企業にはより高度なセキュリティで資産を守ることが求められるでしょう。
ゼロトラストやゼロトラスト・アーキテクチャを導入したいと考える企業の担当者の方は、ぜひ NIST SP800-207 をもとにゼロトラストへの取り組みを検討してみてはいかがでしょうか。
