[レポート]基調講演２｜パネルディスカッション – AWS Security Roadshow Japan 2020 #awscloud #AWSSecurityRoadshow

こんにちは、臼田です。

本日はAWS Security Roadshow Japan 2020で行われた以下の講演のレポートです。

基調講演 2　(パネルディスカッション)

「ゼロトラストとセキュリティアーキテクチャの将来像」 Mark Ryland（モデレーター）

（Amazon Web Services, Inc. Director, Office of the CISO）

井上 大介 氏

（国立研究開発法人 情報通信研究機構（NICT) サイバーセキュリティ研究所 サイバーセキュリティ研究室 室長）

梅谷 晃宏 氏

（内閣官房 情報通信技術（IT）総合戦略室 政府 CIO 補佐官）

門林 雄基 氏

（奈良先端科学技術大学院大学 先端科学研究科 教授）

レポート

• 自己紹介
  • 門林さん
    • ゼロトラストの研究を学生としている
      • ゼロトラストアーキテクチャのプロトタイピングをしている
      • ゼロトラストは一般的なOSSがないので興味深いテーマ
    • サイバーを監視する研究
    • サイバーセキュリティートレーニング
  • 井上さん
    • NICT
      • R&Dエージェンシー
      • DAEDALUSはダークネットのモニタリング
        • 600以上の自治体が参加
      • NIRVANA KAIはセキュリティアラートの収集とトリアージ
      • 次世代のクラウド・セキュリティの研究もしている
  • 梅谷さん
    • CIO補佐官
    • ゼロトラストのディスカッション・ペーパーを出している
    • 日本政府において何が課題か議論している

パネル - ゼロトラストの定義およびポイントとなる要素

•  井上さん
  • 保守的なセキュリティを信用しない
    • 境界防御など
  • 全てをモニタリングするとか
  • 今までの既存の技術を使って行える
• 門林さん
  • トラスト境界線を再定義する必要がある
  • MFAやIDパスワードを信頼することもある
    • 何も信頼しないわけではない
• 梅谷さん
  • 多くの人たちにとってはマイナスの感情があるかも
  • 全てをモニタリングする、いつもモニタリングすること
  • アメリカの政府も参考にしている
  • IDを中心としたセキュリティ
  • 境界防御をなくすわけではない、層を重ねる、付け加えるものだという認識
• Rylandさん
  • まとめる
    • ネットワークを必ず信頼するわけではない
    • それだけが唯一ではない
    • 既存のセキュリティコントロールをなくすわけではない
  • 本当にゼロトラストは最近火がついたように言われている
  • これは流行り(ハイプ)なのか、長続きするのか

昨今ゼロトラストに対する関心が高まっている理由

• 門林さん
  • ハイプというフェーズだと思う
  • 多くの日本企業が影響を受けている
    • マルウェアとかEmotetとか
    • これらは水平展開する
    • 近代的な脅威にはゼロトラストは有効
• 梅谷さん
  • まだハイプだと思う
  • ゼロトラストは10年前から言われている
  • クラウドはゼロトラストからスタートしている、自然な概念
  • インターネットでは自然
  • 最終的には幅広く使われるようになる
  • 政府もクラウドを採択しようとしている
  • これも自然の流れ
  • 攻撃は想定を侵害すること
  • ダイナミックなモニタリングが必要
  • 有効な想定がたてられないため
• 井上さん
  • 日本では過度な期待の直前ではないか
  • 多くの人がゼロトラストという言葉に馴染んできた
  • 境界防御からIDS/IPSなどとだんだん言葉が変わってきた
  • 在宅勤務でセキュリティの考え方が大きく変わってきた
• Rylandさん
  • まとめる
    • インターネットベースのサービスを使っていた方は何らかのゼロトラストを使っていることになる
      • メールやOffice365など
    • 少しはハイプではありそうだが、価値もあると考えられる
    • 長年見ぬふりをしてきた水平展開など
    • 既存に対して強化していくという話もあった
  • 使用事例について見ていきたい

ゼロトラストの使用事例といちばん重要なポイントについて

• 梅谷さん
  • COVIT-19によってゼロトラストのコンセプトは後押しを受けた
  • 日本政府の話
    • 政府の担当者にとってクラウドサービスの利用が課題になった
      • 既存のサービスもそう
    • これまではどこも境界セキュリティに依存していた
      • 単に各省庁の分離をするもの
      • ビデオ会議のシステムが省庁をまたぐとうまく機能しない
      • 省庁Aでは使えるサービスが省庁Bでは使えないなど
      • ポリシーやACLなどで制限されていた
    • まだゼロトラストには至っていない
    • コロナによって表面化したが、何年も前から議論されていた
    • そのためディスカッション・ペーパーを出した
      • どうゼロトラストを展開してクラウドサービスを利用するのかが中心
      • 様々なインターネットサービスが使われている
        • ビデオ会議もクラウドも
        • どのようにネットワークコストを下げるかという話にもつながっている
        • 最終的には日本政府全体でセキュリティ管理を効率化するのか
    • 日本政府ではまだゼロトラストを模索中
• 井上さん
  • NICTの例
    • シングルサインオン
      • 10年ほど前、独立した複数のシステムがあった
        • 勤怠、承認など
        • ID/PASSは独立
        • 非常に手間だった
      • すべてシングルサインオンで統合した
        • 全てのアセット(個人データも含む)を管理できるようになった
    • ログ管理
      • 境界だけではなくエンドポイント、プロキシ、DNSレコードも監視
      • NIRVANA KAIを開発
      • 導入して7年くらい
      • 様々なセキュリティアラートを集めている
      • 毎日8億ほどのログが発生する
      • NIRVANA KAIはこのログサイズを自動的にスケールダウンできる
      • この仕組がログ管理にいいのでは
• 門林さん
  • 学生のグループワークに携わっている
  • ゼロトラストにおけるプライバシーとセキュリティのトレードオフについて議論している
    • コンテキストが重要になる
    • 営業とエンジニアリング、研究開発などとワークロードが違う
    • どうやってゼロトラストを会社の中で実施するのかが重要
    • ワークロードはかなり違って多様
    • モデリングも大変
• Rylandさん
  • ソフトウェア間の通信はどうか
  • クレデンシャルをなんらかの形で入手しないといけない
• 井上さん
  • ソフトウェア to ソフトウェア、マシーン to マシーンの通信は重要
  • それぞれのIoTデバイスはその他デバイスと通信していて日本はまだそれ以前の状況だと思う
• Rylandさん
  • 認証はどうか
  • X.509は存在しているか
• 井上さん
  • X.509で認証できるものもある
  • 今のIoTデバイスはそれより弱い、基本的な認証のものが多い
  • 日本ではそれが多い、ID/PASSも弱い
  • NICTではそれを確認する責任がある
  • 毎月1万件ほどそれが弱いIoTデバイスが見つかる
  • 日本ではまだ初期的な状況であると思う
• Rylandさん
  • まだまだ弱いものは多くて対応が重要
  • FreeRTOSなどはTLS、相互認証などをサポートしてる
  • これまで業界ではうまくいってなかったところ、ようやく改善してきているのでは
• 門林さん
  • どうデバイスのグループと通信すればいいか答えが出てきていない
  • プリンタ・スキャナ・スマホなどがあり、人が介在しないで使われているものもある
  • 合意されたモデルがない
  • 監視カメラなど、小型デバイスをどうすればいいかなど懸念
• Rylandさん
  • マイクロサービスでモダンな認証ができるのか
• 梅谷さん
  • AWSのIAMについてよく知っている
  • IDとは何か、アイデンティティとは何か
  • 哲学的な議論になっていく
  • 私は梅谷晃宏ですと名乗って、全く私を知らない人に訴えるのはどうなのか
  • ユニバーサルに使える認証認可に使えるものはなんなのか
  • IDに基づいた認可は人によってデバイスやサービスに付与される
    • 定義した目的をどうやって満たせるのかという深い話になる
  • マイクロサービスとは一般的にツールを利用するかという話になる
  • 例えばAlexaの話
    • 支持をして何らかのエッジデバイスを操作する
    • IDは事前定義されたログイン認証 + 音声認証
  • IDという考え方を明確にして様々なサービスに適用する必要がある
• Rylandさん
  • ID管理だけで別のディスカッションができそう
  • ブートストラップの話
    • スマホでスマートデバイスを初期化する
    • それがデバイスの認証になる
  • クラウドにおける別のブートストラップ
    • コントロールプレーンから取得して別のものに利用する
  • IDとはなにか
    • シンプルにすると認証情報
    • ただ人と紐付けることには課題がある

ゼロトラストアーキテクチャー概念の捉え方。新しいコンセプトが既存の考え方が進化したものか。

• 門林さん
  • 進化だと思う
    • 10年20年やってきたことに名前がついた
  • 多くの人が実践して普及することができる
  • 名前があることで文書化して広がる
• 梅谷さん
  • 門林さんと同意見
  • 実際は前から存在するもの
  • 既存の優れた技術が含まれている
  • 重要なのは実装
    • 実装は最終結論には至っていない
    • サービスや製品の話になりがちだが違う
  • ただ実現をすることはできる
• 井上さん
  • 同意見
  • 概念は目新しいかもしれないがテクノロジーは新しくない
  • いい点としては既存の調和
  • 組織のセキュリティが飛躍的に向上する可能性がある
• Rylandさん
  • なにかに新しい名前をつけるというだけで注意をひきつけて、進化のスピードをあげている
  • 境界セキュリティは不十分だと認識させる
    • デジタルアセットを守る上で全く十分ではない

クラウドとゼロトラストの関連性。ゼロトラストアーキテクチャーへ移行するためのクラウドの技術とは？

• 梅谷さん
  • まさに今起きていること
    • クラウドとゼロトラストが同時に導入されている
  • クラウドは実際に存在している
  • 日本の政府には先程話したとおり様々な問題がある
    • 一元的なクラウドサービスがありコスト効果が良いと政府には多くのメリットがある
    • それができないのはネットワークが分離されている
  • 政府で一元的に導入できれば改善できる
  • ディスカッション・ペーパーは企業の方も参考にできると思う
  • 例えば金融機関など
    • 日本政府と同じような問題を抱えているのでは
  • よく聞かれる議論
    • 独自の専用線
    • ゼロトラスト
  • なかなかいい議論だと思う
• 門林さん
  • クラウドによってゼロトラストにより注目が集まっている
  • クラウドによって具体的な話に集中している
  • 電源やネットワークのプロビジョニングなどの苦行から開放されている
  • セキュリティなど重要な問題を解決できるようになった
  • クラウドがゼロトラストに集中するように仕向けたとも言える
• 井上さん
  • 組織におけるセキュリティで一番難しいのはアセットとID管理
  • 物理的なデバイスの数を数えないといけない
    • クラウドではそれが統合化できる
    • これはメリット
    • ただ物理も考えないといけない
    • 物理デバイスはクラウド環境に持ち込めない
    • 物理とバーチャルの接続を気にしないといけない
    • ここがゼロトラストの問題点
• Rylandさん
  • 10年前はセキュリティは自分たちでなんとかするしかなかった
  • 今はエコシステムがある
    • フロントエンドへのセキュリティの支援システムがある
  • たくさんのデバイスが出回っていて課題があるが、いずれ好転する
  • セキュリティに強い大手のベストプラクティスを実践していくといい

ゼロトラストの実装の進め方。避けたほうがいいアプローチについて

• 梅谷さん
  • ゼロトラストを魔法の杖だと思っている人がいる、あるいは最先端のテクノロジーだと
  • でもこれは基本的なこと
  • 直ぐにできることとしてID基盤の整理
    • ゼロトラストで非常に重要
    • キラキラした最新テクノロジーではないけどゼロトラストでは重要
  • ネットワークの境界線はそのままでもいい
  • エンドポイントセキュリティを強化するといい
    • MDMやEDRなど
  • エンドポイントとネットワーク境界のセキュリティがあり、リソースベースのACLも同時に検討
  • IDとエンドポイントプロテクションの2つが基本では
• 井上さん
  • NICTではSSOとサービス統合から始めた事例を紹介した
  • 最初にこれがいいのでは
  • 多くの組織ではそのような状況なのでは
  • ゼロトラストの本とかを買わないように(笑)
    • 概念なのでそれを実装しようとしたら3年5年かかる
    • 長い長い道のりになる
• 門林さん
  • 組織の中のアジャイルなところから始めるのがいいのでは
    • 例えば営業部門など
    • VPNが非常に嫌であったり
  • そうすると支援が得られる
    • FIDOや多要素認証などを提供するなど
    • 自分たちがセキュアであることを実感できる
    • 営業は外でたくさんの知識を吸収できる
• Rylandさん
  • ワークロードにクラウドを導入することもいいのでは
  • 在庫管理を簡単にできる
    • 何を持っているかわからないと守ることはできない
    • 物理では大変だがクラウドでは簡単
  • ID管理でもメリットがある
    • Private Linkでワークロードをセグメント化など
  • 魔法の杖ではないがよりゼロトラストのメリットを享受できるのでは

総括

• 門林さん
  • ゼロトラストは実践であるということは重要
  • 多くの企業にとって自分の城を築くことは難しい
  • それぞれ違うため
  • 実践が重要
  • クラウドはそれが簡単になる
  • すでに組み込まれたツールがたくさんある
  • IAMやGuardDutyなど
  • それがBuilding Blockになる
• 梅谷さん
  • とにかく実践的でないといけない
  • 日本人はプロでも流行り言葉でゼロトラストという人もいる
  • 実践してなんぼ
  • 営業部から始めてもいいしIDの管理、棚卸しからでもいい
  • ゼロトラスト、セキュリティを実践する上では必要
  • 殆どの日本人はアメリカの政府や組織でどのように導入しているか興味を持っている
  • これを是非日本の方に共有してほしい
• 井上さん
  • ゼロトラストは従来の技術の積み重ねだと思っている
  • 最も重要なのはゼロトラストは変えるものではない
    • ただ学ぶことはできるし実践することもできる
  • 理解して学ぶことができる人が重要
  • 人材育成が重要ではないか
• Rylandさん
  • ゼロトラストは実践であるということはまさにそう
  • 随分前にお客様に多層防御とは何？と言われたことがある
  • ゼロトラストはそれを具体化したものだとおもう
    • 境界の中でそれぞれをどのように守るのかを明確に
  • 被害を防止することが最終目的

感想

ゼロトラストが新しいもので買えばいいわけではない、従来の技術の積み重ねであることが強調されたパネルだったと思います。

実際にそういった勘違いが多いからこそ、こういった話になったのかなーと感じています。

ぜひこの考え方が広がっていって、クラウドがゼロトラストのためにも活用されたらいいなーと思いました！非常に興味深い話でした！