[レポート][NTTデータ先端技術株式会社] ゼロトラストセキュリティを考える~開発者の在宅勤務率を90%にする中で見えたこと~ – CODE BLUE 2020 #codeblue_jp

2020.10.29

こんにちは、崔です。
今回は CODE BLUE 2020 で行われた以下のセッションのレポートです。

セッション情報

ワークスタイルが急激に変化し、セキュアなテレワーク環境への速やかな移行が求められています。 この環境下において、従来の境界防御では、組織を守ることができません。 そこで、テレワーク環境をより適切にサポートし、リスクを管理するため、ゼロトラストセキュリティが注目されています。 本講演では、弊社の事例をもとに、ゼロトラストの考え方や実現方法をご紹介します。

Presented by : チーフコンサルタント 佐藤 雄一

レポート

  • ゼロトラストセキュリティを考える
    • どのように進めていくのか
    • セキュリティコンサルティング

ゼロトラストとはなにか

  • ゼロトラストはバズワード?
    • 内部でも外部でも信頼しない
    • 信用せず、検証する
    • 必要な権限しか付与しない
  • ゼロトラストが求められる背景
    • テレワークの需要増加
      • 社内と同様に働きたい
    • テレワークで気になること
      • 社外から参照できないデータがある
  • 境界防御の限界
    • 境界防御モデルだけでは限界
    • 内部と外部で境界線を引いて、内部は信頼してよい、時代ではなくなった
  • ゼロトラストの世界
    • アクセスしてくるものは信頼できない前提
    • 適切な権限をもっているかどうか検証する
  • ゼロトラストの流れ
    • 2010年からはじまった
  • ゼロトラストのスタートは10年前から
    • 内部だから信頼できる、外部だから信頼できない、ということはなくなった
  • NISTによるZero Trust Architecture
    • コンポーネント、ワークフロー、アクセスポリシー等を含めた設計図
    • NISTとは、米国標準技術研究所
  • NISTによるゼロトラストの原則
    • 7つの原則
    • アクセス要求の信頼の実現
    • アクセス要求を信頼するために必要なインプットを提供
  • SASE(セキュアアクセスサービスエッジ)
    • Network as a Service
      • SD-WANなどなど
    • Network Security as a Service
      • CASB,SWG,DLPなどなど
  • ゼロトラストに必要な技術要素
    • ネットワーク
      • プライベートアクセス
    • アクセス制御
      • 認証認可でゼロトラストの基本
    • エンドポイント
    • ログ分析
      • UEBA、驚異分析など

ゼロトラスト実現への進め方

  • ゴール(NIST SP800-207より)
    • Pure Zero Trust Architecture
      • まっさらな状態からなら作ることができる
    • Hybrid Zero Trust Architecture
      • 既存環境とゼロトラストアーキテクチャが共存する環境
      • 一定期間が必要
  • どこから手を付けていくべきか
    • 1.アクセス制御
      • IDはゼロトラストの基盤である
      • 既存の認証基盤の確認
    • 2.ネットワーク
    • 3.エンドポイント

実施事例(最初の一歩)

  • テレワーク実施のケース
    • なかなか進められない
    • 自社製品を開発・保守するチームはテレワークに移行できなかった
    • 通常業務と開発業務を行うネットワークが違うものであった
    • 開発環境は社内からしか接続できない
    • 開発業務を行うには出社が必要
  • どうしたいか、その課題
    • リモート接続をどのようにするのか
    • 部門で管理するネットワークとなってしまうので、別途セキュリティ対策が必要
  • どこから手をつけるのか
    • 開発環境にADが有った
  • 課題のおさらい
    • セキュリティ対策
    • 拡張性を見越した設計
    • 短期スケジュール
  • サイジングの検討や構築に相応の期間が必要
    • 今までのやり方だと間に合わない
  • セキュリティ対策ができるクラウド型プロキシを導入
    • 短期間スケジュールをカバーできる
  • ZIA(Zscaler Internet Access)とは
    • セキュリティゲートウェイ機能がクラウド上で揃っている
  • 外部接続にZIAを利用することで出口対策
  • ZPA(Zscaler Private Access)とは
    • 入り口を制御
  • ZPAの構成
    • Zscaler App
    • Zscaler Enforcement Node
    • Zscaler Connector
    • セキュアな通信が可能に
  • ZPA:ゼロトラストに基づいたアクセス制御
    • SAML連携でユーザに認証
    • アクセス制御(認可) 
  • 開発環境への接続にZPAを利用すると
    • ゼロトラストベースのアクセス制御をして、リモート接続可能に
  • その結果
    • 検討から1ヶ月で、開発環境向けのテレワークが開始できた
    • 在宅率も50%から90%に
  • 次のステップ
    • 利用を許可しているクラウドサービスの拡充や接続モニタリングにもとづくアクセスポリシーの見直し
    • 端末起点の情報漏えい対策
    • 端末の脅威への対策

まとめ

  • テレワークを前提としたセキュリティ対策にはゼロトラストの考えが有効
  • すべてをゼロトラストベースのアーキテクチャにする必要はない
  • 「これひとつでゼロトラスト」はない。ソリューションを選びつつ進めていく

感想

昨今、話題にあがるゼロトラストについて、まずは既存の認証基盤をベースに、アクセス制御を進め、ネットワークやエンドポイントについても、セキュリティ面から見ていくのが良いのではないでしょうか。