[レポート][NTTデータ先端技術株式会社] ゼロトラストセキュリティを考える~開発者の在宅勤務率を90%にする中で見えたこと~ – CODE BLUE 2020 #codeblue_jp
こんにちは、崔です。
今回は CODE BLUE 2020 で行われた以下のセッションのレポートです。
セッション情報
ワークスタイルが急激に変化し、セキュアなテレワーク環境への速やかな移行が求められています。 この環境下において、従来の境界防御では、組織を守ることができません。 そこで、テレワーク環境をより適切にサポートし、リスクを管理するため、ゼロトラストセキュリティが注目されています。 本講演では、弊社の事例をもとに、ゼロトラストの考え方や実現方法をご紹介します。
Presented by : チーフコンサルタント 佐藤 雄一
レポート
- ゼロトラストセキュリティを考える
- どのように進めていくのか
- セキュリティコンサルティング
ゼロトラストとはなにか
- ゼロトラストはバズワード?
- 内部でも外部でも信頼しない
- 信用せず、検証する
- 必要な権限しか付与しない
- ゼロトラストが求められる背景
- テレワークの需要増加
- 社内と同様に働きたい
- テレワークで気になること
- 社外から参照できないデータがある
- テレワークの需要増加
- 境界防御の限界
- 境界防御モデルだけでは限界
- 内部と外部で境界線を引いて、内部は信頼してよい、時代ではなくなった
- ゼロトラストの世界
- アクセスしてくるものは信頼できない前提
- 適切な権限をもっているかどうか検証する
- ゼロトラストの流れ
- 2010年からはじまった
- ゼロトラストのスタートは10年前から
- 内部だから信頼できる、外部だから信頼できない、ということはなくなった
- NISTによるZero Trust Architecture
- コンポーネント、ワークフロー、アクセスポリシー等を含めた設計図
- NISTとは、米国標準技術研究所
- NISTによるゼロトラストの原則
- 7つの原則
- アクセス要求の信頼の実現
- アクセス要求を信頼するために必要なインプットを提供
- SASE(セキュアアクセスサービスエッジ)
- Network as a Service
- SD-WANなどなど
- Network Security as a Service
- CASB,SWG,DLPなどなど
- Network as a Service
- ゼロトラストに必要な技術要素
- ネットワーク
- プライベートアクセス
- アクセス制御
- 認証認可でゼロトラストの基本
- エンドポイント
- ログ分析
- UEBA、驚異分析など
- ネットワーク
ゼロトラスト実現への進め方
- ゴール(NIST SP800-207より)
- Pure Zero Trust Architecture
- まっさらな状態からなら作ることができる
- Hybrid Zero Trust Architecture
- 既存環境とゼロトラストアーキテクチャが共存する環境
- 一定期間が必要
- Pure Zero Trust Architecture
- どこから手を付けていくべきか
- 1.アクセス制御
- IDはゼロトラストの基盤である
- 既存の認証基盤の確認
- 2.ネットワーク
- 3.エンドポイント
- 1.アクセス制御
実施事例(最初の一歩)
- テレワーク実施のケース
- なかなか進められない
- 自社製品を開発・保守するチームはテレワークに移行できなかった
- 通常業務と開発業務を行うネットワークが違うものであった
- 開発環境は社内からしか接続できない
- 開発業務を行うには出社が必要
- どうしたいか、その課題
- リモート接続をどのようにするのか
- 部門で管理するネットワークとなってしまうので、別途セキュリティ対策が必要
- どこから手をつけるのか
- 開発環境にADが有った
- 課題のおさらい
- セキュリティ対策
- 拡張性を見越した設計
- 短期スケジュール
- サイジングの検討や構築に相応の期間が必要
- 今までのやり方だと間に合わない
- セキュリティ対策ができるクラウド型プロキシを導入
- 短期間スケジュールをカバーできる
- ZIA(Zscaler Internet Access)とは
- セキュリティゲートウェイ機能がクラウド上で揃っている
- 外部接続にZIAを利用することで出口対策
- ZPA(Zscaler Private Access)とは
- 入り口を制御
- ZPAの構成
- Zscaler App
- Zscaler Enforcement Node
- Zscaler Connector
- セキュアな通信が可能に
- ZPA:ゼロトラストに基づいたアクセス制御
- SAML連携でユーザに認証
- アクセス制御(認可)
- 開発環境への接続にZPAを利用すると
- ゼロトラストベースのアクセス制御をして、リモート接続可能に
- その結果
- 検討から1ヶ月で、開発環境向けのテレワークが開始できた
- 在宅率も50%から90%に
- 次のステップ
- 利用を許可しているクラウドサービスの拡充や接続モニタリングにもとづくアクセスポリシーの見直し
- 端末起点の情報漏えい対策
- 端末の脅威への対策
まとめ
- テレワークを前提としたセキュリティ対策にはゼロトラストの考えが有効
- すべてをゼロトラストベースのアーキテクチャにする必要はない
- 「これひとつでゼロトラスト」はない。ソリューションを選びつつ進めていく
感想
昨今、話題にあがるゼロトラストについて、まずは既存の認証基盤をベースに、アクセス制御を進め、ネットワークやエンドポイントについても、セキュリティ面から見ていくのが良いのではないでしょうか。