【レポート】境界モデルとのハイブリッド運用を想定したゼロトラストセキュリティとは? # Security Days Spring 2023

【レポート】境界モデルとのハイブリッド運用を想定したゼロトラストセキュリティとは? # Security Days Spring 2023

2023年3月7日から10日に行われているSecurity Days Spring 2023 Tokyoに参加しました。本記事はそのセッションレポートです。
#ゼロトラスト
#セキュリティ
#レポート
#Security Days
さいちゃん

さいちゃん

facebook logohatena logotwitter logo
Clock Icon2023.03.07

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうもさいちゃんです。

この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「境界モデルとのハイブリッド運用を想定したゼロトラストセキュリティとは?」というセッションのレポートブログになります。

セッション概要

サイバー空間におけるリスク環境の変化にあわせ、ゼロトラストモデルへの移行を進める組織が増えています。しかし、従来の境界モデルでセキュリティ対策を行ってきたレガシー環境を完全に捨て去ることはできず、中長期にわたり、ゼロトラスト環境との共存・併用が必要となるケースもあります。

境界モデルとゼロトラストモデルのハイブリッド運用を想定し、限られた予算で、無理なくゼロトラストセキュリティを実現するにはどうしたらよいのでしょうか?

3つの基本要素とその実装例を中心にご紹介します。

スピーカー

(株)ソリトンシステムズ ITセキュリティ事業部 エバンジェリスト 荒木 粧子 氏

レポート

近年の環境変化

  • クラウド普及
    • クラウドサービスの利用はどんどん進んでいる
  • ハイブリッドワーク
    • リモートでもオフィスでも働くことが出来る
    • この傾向は今後も進んでいくだろう
  • 侵入型ランサムウェア
    • 個人の端末だけでなく企業や組織の端末が狙われる
    • リモートアクセスがおもな侵入経路
    • 情報窃盗だけでなく、二重脅迫やDDoS攻撃をしてくる場合も
    • 警察庁のデータによると被害件数は増加傾向
  • サプライチェーン
    • サプライチェーンリスクの増加は昨年起きたインシデントからも確認できる
    • サプライチェーンリスクを考えてセキュリティアーキテクチャを考える

なぜゼロトラスト?

  • すべての端末を信用しない
  • すべてをUntrasutとして検証する
  • クラウドサービスを安全に利用可能
  • 時間やデバイスに自由度
  • いつでも厳重な検証
  • どこでも同じセキュリティ
  • ゼロトラストを実現するソリューションは多岐にわたる
  • NIST-SP800-207 Zero Trust Architectureによるとゼロトラストは段階的に導入していくことを考えるべきである
  • レガシーシステムを急に完全なゼロトラストに移行するのは難しい
  • ゼロトラストを実現するソリューションは多岐にわたるためシンプルなアーキテクチャで考える
  • データにアクセスするのがEdge
  • データが格納されているのがクラウド
    • オンプレの場合もあるがプライベートクラウド推奨

ゼロトラスト移行で最初に考える3つの要素

認証

  • まずは認証から
  • データ漏洩や侵害につながる主な経路は認証情報が最も多い
  • クラウドサービスの拡大により認証を突破してしまえば資産にアクセスできてしまう背景
  • リモートアクセス経由の侵入が増加
  • VPNの脆弱性
  • 脆弱性対策だけでは不十分
  • 修正パッチ適用後パスワードを変更しないのは危険
  • 多要素認証(MFA)を使うことを推奨
  • 最近ではMFAを突破する攻撃も
    • フィッシングメールなどで偽のURLを送る
    • 被害者がID/Passを入力
    • 正規のサイトにも情報を送ることでMFAを入力した後(ログイン後)のセッションを盗みそこから侵入
    • 被害者は気づきにくい
  • 米国ではフィッシング体制のあるMFAの導入を政府が要求
  • MFAの中でもオススメがデジタル証明書
  • デジタル証明書だけが通信確立時に認証
  • 証明書がないとそもそもアクセスができない(ログイン画面まで到達できない)
  • 紛失した場合も証明書を失効すればよいだけ
  • VPNだけでなく無線LAN、クラウドサービス等にも利用可
    • しかし証明書認証は管理や運用が大変
  • こういった運用をすべて任せられるようなサービスもある

データ保護

  • DLP
  • 運用に慣れている組織でないと使いこなすのが難しい
  • クラウドからデータを出さないことでデータ保護
  • VDIやリモートデスクトップを使う方式
  • 端末内分離(低コスト)
    • Solution SecureBrowser
      • セキュアにクラウドにアクセスできる専用ブラウザ
      • 隔離領域外にデータ持ち出し禁止
      • 終了時にデータ削除
    • Soliton WrappingBOX
      • 使い慣れたアプリを保護領域で使用する端末内分離ソリューション

モニタリング

  • 外部共有だけでなく内部共有も考える
  • 内部インシデントの方が漏洩のインパクトが大きい
  • 営業秘密の主な漏洩ルートは現職や元従業員から
  • シャドークラウド問題
  • シャドークラウドをしかっりとモニタリングしている組織は少ない
  • 従来の情報漏洩経路もモニタリングする必要がある(メール、USB、印刷等)

まとめ

  • これからはゼロトラストセキュリティの検討が必須
  • 段階的な導入とハイブリット運用の想定
  • 認証・データ保護・モニタリングの三要素から取り組んでいきましょう
  • この三要素で十分ではないが何から取り組むか迷った場合にはこの三要素から

最後に

近年増加するクラウド移行やハイブリットワークに伴い攻撃手法も進化し多様化しています。 ゼロトラストを実現するソリューションは数多くあるので、ターゲットを絞り込んで段階的に移行していくのがいいのではないでしょうか。 最初に抑えておくべき3つの要素についてもしっかり学ぶことが出来ました。

Share this article

facebook logohatena logotwitter logo

関連記事

Cloudflare WARP でリモートからドメインサフィックスを補完する

Cloudflare WARP でリモートからドメインサフィックスを補完する

User avatar
酒井剛
2024.08.30
リモートのデバイスを遠隔保守ができる WARP-to-WARP を試してみた

リモートのデバイスを遠隔保守ができる WARP-to-WARP を試してみた

User avatar
酒井剛
2024.07.22
Cloudflare Zero Trust の WARP をインストールした時の接続先と内部通信を整理した

Cloudflare Zero Trust の WARP をインストールした時の接続先と内部通信を整理した

User avatar
酒井剛
2023.12.17
GCPコンソールへのアクセス制御を簡単に実現する方法を教えます(Access Context Manager + BeyondCorp Enterprise)

GCPコンソールへのアクセス制御を簡単に実現する方法を教えます(Access Context Manager + BeyondCorp Enterprise)

User avatar
室井靖成
2023.11.14
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.