アーカイブ動画

ゼロトラストセキュリティにおける「3つの基本原則」

株式会社マクニカ
ネットワークス カンパニー セキュリティドメイン
テクニカルコンサルタント　小林 真也氏

最初に登壇したのは、ゼロトラストセキュリティのプロフェッショナルとして顧客先に出向き、環境構築のコンサルタンティングを行っている小林真也氏だ。まずは、ゼロトラストセキュリティが登場した背景や現状の課題などを説明した。

グローバル化、働き方改革、セキュリティ攻撃の増加、労働力不足といった社会の環境変化に対し、企業はクラウドサービスの利用やテレワークの拡大、外部パートナーとの協業といった取り組みを行うようになった。

その結果、以前のように自社内のネットワークのセキュリティを高めるだけでは不十分となり、守るべき場所が多様化していった。小林氏はその他、現状の設備や社員を信頼する性善説に基づいたセキュリティなど、現状の課題を4つ挙げた。

セキュリティに対する既存の考えでは、会社と外部や家などを区切り、セキュリティ対策を講じた境界内は安全であるという「境界防御型」が一般的であった。対してゼロトラストセキュリティでは、「決して信頼せず、必ず確認する」ことが前提となる。

「ゼロトラストセキュリティにおいては、オフィス内の通信であっても信用せず、アクセスする場合は必ず検証します。アクセスの権限も最小限に押さえておく。マクニカではこれらの考えを基本とした、ゼロトラストの3原則を掲げています」（小林氏）

1つ目の原則「明示的に検証する」とは、ネットワークだけを注視していたこれまでの境界防御に対し、送信元のユーザーから使用しているデバイスやアプリまで、あらゆるリソースを検証する。

2つ目の原則「最小権限のアクセス許可」はそのままだが、玄関の鍵を持っていると家全部の部屋にアクセスできるのが従来の境界防御型。一方ゼロトラストは、ホテルの一室の鍵のみを与えるようなイメージだと、小林氏は以下のように分かりやすく解説した。

3つ目の原則「侵害を想定する」について、小林氏は次のように勘所を説明した。

「オフィス内が安全との考えでいると、脅威の侵入に気づかず攻撃が拡散し、被害が広がる恐れがあります。そのため繰り返しになりますがノントラスト。常に侵害されていることを想定した上で、セキュリティを組んでいくことが大切です」（小林氏）

この3原則に基づき、企業は対策や運用においてセキュリティの変革を行うことが重要だと小林氏は語る。それぞれの原則における対象ポイント、技術や実際にマクニカで扱っているソリューションなども紹介した。

なおゼロトラストの概念からネットワーク種類(IAP型、SASE型、SDP型、VPN型)については、前回のイベントでも詳しく解説しているので、ぜひ参考にしてもらいたい。

※前回のイベントレポート
ニューノーマル時代のゼロトラストセキュリティ──マクニカが基本知識からコア機能、最適ソリューションまでを徹底解説

ゼロトラストの入り口となる、IDのアクセス管理「IAM」とは

続いて、IDアクセス管理製品Oktaに関して、小規模から大規模まで数多くの案件でID管理製品を導入した実績を持つ宍倉大貴氏が登壇。まず、認証と認可の違いから説明した。

「認証」とはユーザーの主張どおりの人物であるかを確認することであり、パスワードによる知識認証、アプリによる所持認証、指紋や顔を使った生体認証などがある。そして種類の異なる2つ以上の認証を組み合わせることがセキュリティを高めることになる。

対して「認可」とは、特定のリソースや機能にアクセスする許可を、ユーザーに付与するプロセスだ。

宍倉氏は両者の違いを、休暇中にペットの世話を友人にお願い際のシチュエーションで分かりやすく説明した。

「鍵を渡すという行為が認証要素になります。一方、犬の世話は許可していますが、シャワーを浴びる行為は許可していません。これらのフェーズが認可となります」（宍倉氏）

続いては、「IAM」についての解説だ。IAMとは「Identity and Access Management」の頭文字を取った言葉で、ユーザーのIDおよびアクセス管理を実施する仕組み、ソリューションを指す。

認証だけを行うソリューションではないと、宍倉氏は強調する。IAMには認証も含めて大きく4つの機能があり、それぞれ説明していった。

多要素認証は、複数種類の要素をユーザーに要求する認証方式。シングルサインオンは、一度パスワード入力などを行えば、他の関連サービスにアクセスする際も、IDやパスワードを要求しない機能であり、利便性もセキュリティも高い。

デバイスやアプリケーションの管理などを、マイクロソフトのサーバ用OSであるWindows Serverの機能、Active Directoryで行っている利用者が多い。そこで同既存機能と同期する、ディレクトリ統合機能も備える。

さらには同期した各種SaaSのアカウントの管理も、プロビジョニングという技術を使うことで、SaaS側ではなくIAM側で行うことができるのが、ライフサイクル管理機能だ。

宍倉氏は自身が普段扱っているIAMのソリューション「Okta」も紹介した。社内外どちらからのアクセスなのか。また、アクセスしてきた端末がきちんと管理されているかなどを、クラウドストライク社製のEDRと連携するなどして行う。

※EDR：Endpoint Detection and Responseの略。ユーザーが利用するパソコンやサーバといった端末デバイス（エンドポイント）を継続的に監視し、サイバー攻撃だと思われる不審な挙動を検知し対応するサイバーセキュリティソリューション。

認証要素においては先述した要素も含め14種類も揃っており、「ユーザーに応じてかなり柔軟に選定することができる」と、Oktaならではの特徴を話した。

最後に宍倉氏は、「本当はもっとたくさんある」と前置きした上で、IAM導入における大きく3つの効果を紹介した。

セキュリティのトピックでよく指摘される、高いセキュリティと利便性を両立するソリューションであることを示し、セッションを終えた。

IDガバナンスと管理「IGA」とは？

株式会社マクニカ
ネットワークス カンパニー Saviyntエンジニア　山田 陸氏

続いては、IDガバナンス製品Saviyntのソリューションの導入や、企業のID管理全般に関する課題解決業務に従事する山田陸氏が登壇。まずは、ユーザー権限を必要最小限に留めておくための5つの要素を、WhoやWhyといった分かりやすいキーワードとともに紹介した。

要素１：Who
適切な人物がアクセスを行っているかどうか。多要素認証に加え、ユーザーが使用するデバイスやロケーションに応じた適応型認証を導入することで、本人確認の厳格化を進めることが重要となる。

要素２：Where
オンプレ・クラウド問わず、誰がどこにアクセスできるかを可視化するシステムを構築する。加えて全てのリソースに対するアクセス状況を、1つのシステムで一元的に管理する。

要素３：When
アクセスが的確な期間で許可されているか。アクセスが必要なタイミングに限り権限を与え、利用後は剥奪。一度与えた権限を放置せず定期的に見直し、不要なものは削除する。

要素４：Why
適切な理由でアクセスを行っているか。部職や職種といった属性ベースで行う。あるいは仕事内容な職務やロールごとに権限を付与する手法があり。それぞれ、「Attribute Based Access Control（ABAC）」「Role Based Access Control（RBAC）」と呼ばれている。

要素５：Check
適切な判断のもとでアクセスを行っているか。ユーザーが行った申請を単に承認するのではなく、リスクに基づき判断する。また、申請内容や属性、職務に応じて適切な承認者をアサインすることが解決策につながる。

「ゼロトラストセキュリティを考えると、認証強化だけでは不十分です。そこで、説明した5つの要素に則り、最小権限の維持を実現するのがIGAです」（山田氏）

山田氏は、IGAの簡易的なアーキテクチャも紹介した。IGAとはIdentity Governance and Administrationの頭文字を取った用語である。ユーザーIDの源泉は人事システムであり、同システムからユーザーIDを、中央のIGA上にインポートする。

するとオンプレ、クラウド関係なく、IGAに紐付くアプリケーションや、Active Directoryのようなディレクトリサービスにも、権限をインポートできるようになる。結果、誰がどのアプリにどんな権限を持っているのかが、IGA上で一元管理できるという仕組みだ。

「IGAの特徴はアカウントの管理だけでなく、権限も管理できることです。そのため厳密なポリシーを管理したり、IDの棚卸し、分析レポートなども行うことができます」（山田氏）

セキュリティと効率化を実現。特権IDの管理や運用を行う「PAM」

株式会社マクニカ
ネットワークス カンパニー CyberArkエンジニア　川村 智貴氏

最後に登壇したのは、特権ID管理製品CyberArkのエンジニアであり、サイバー攻撃に対する防御の企画運営支援や、新技術調査などの業務を担当する川村氏だ。大型案件の導入実績を持つ。まずはPAMについて説明した。

PAMとはPrivileged Access Managementの略語であり、「特権アクセス管理」「特権ID管理」などと呼ばれるソリューションを指す。

「特権IDとはどんなシステムにも必ず1つは存在する、高権限を持ったアカウントです。マスターキーのような存在とも言えます。人事情報が蓄積されたデータベースのアクセスなど、日々のオペレーションを行うために必要不可欠なIDでもあります」（川村氏）

一方で、システムに対して大きな影響を及ぼすことが可能なため、情報の改ざんや機密情報の持ち出し、セキュリティ機能の無効化などのリスクがある。内外部を問わず悪意ある人物が悪用すると重大なインシデントになるのだ。

これまで数多くの製品導入に携わってきたという川村氏は、豊富な経験から悪用されやすい、狙われやすい特権IDの運用方法についても紹介した。特権IDの数が多い、パスワードを使いまわしていて脆弱、利用証跡の取得をしていないといった運用だ。

視点を変えると、このような運用ではない適切な特権ID管理を行うことが、セキュリティを高めるためには重要であり、「管理」「利用」「監査」と3つの柱で進めていくことが必要だ。一方でその対策をツールなしで推進することは難しい。

例えば、誰が、いつ、どのように特権アカウントを利用したのかの記録をしようとすると、対象機器ごとにログ管理することになり、工数がかかってしまう。パスワードの定期的な変更をしたいが、対象先が多いケースと同じくコストを要するといった課題などである。

そこで人に代わり、「管理」「利用」「監査」の柱を一元的に担うのがPAMである。利用の流れとしては、まずは左側の特権IDを使いたい利用者が、申請をリクエストする。承認者はそのリクエストを承認する。承認がなされると、PAMを介して右側のリソースにアクセス可能となる。

一方で、管理領域であればIDやパスワードの一元管理、パスワードの定期更新、利用の申請や承認といったフローをバックグラウンドで行ってくれる。利用であれば、アクセス先の制御などを行う。監査担当者が利用者や操作内容の記録ならびにレポートを、後から確認することも可能だという。

川村氏は実際の導入効果を次のように話し、セッションを締めた。

「攻撃者から特権IDを守ることができるため、高いセキュリティ効果があります。加えて、人力ではなく自動で各種運用を担いますから、セキュリティ運用に加え、最終的には業務の効率化につながる。特権IDの適切な保護を利便性保ちながら実現する製品と言えるでしょう」（川村氏）

世界を知るマクニカID技術者が「ID」の現状・未来を語り合う

後半のセッションでは4人の登壇者が一同に介し、IDに関するさらなる技術の深掘りや、それぞれのIDの違いなどについて、現場で日々実務に取り組んでいるプロフェッショナルとしての見解を語り合った。

顧客が導入するきっかけや利用シーン、必要とする製品は？

宍倉：どのようなお客様が興味を持たれていますか？

山田：IAMで認証強化をスタートさせたい企業が、次のステップとして統合的なID管理基盤を導入し、許可を強化したいというご提案をいただくことが多いですね。

川村：PAMには5年ほど携わっていますが、最初は知名度が低いとの印象でした。最近はゼロトラストセキュリティに対する市場の意識が高まったこともあり、特権ID管理や関連ソリューションとして注目されるようになったと感じています。

一方で、EDRなど、他のセキュリティ対策製品と一括りにされがちです。そこで私は、EDRは風邪薬的な事後対策のソリューションであるのに対し、PAMは予防接種的なものだと例え、どちらも必要であることも強く訴求しています。

山田：IGAも国内の認知度が低いこともあり、効果をイメージするのが難しいという声を聞くことが多いですね。

宍倉：PAMやIGAと異なり、IAMは新しい市場をつくるという観点ではなく、認証基盤の切り替えの際にお問い合わせをいただくケースが多くあります。エンドユーザーが社内外に点在していたり、SaaSを導入しているなどの理由から、従来の境界防御型のソリューションではセキュリティ強度が足りない企業などです。

山田：逆に、IAMの導入で苦労している点はどのあたりですか？

宍倉：担当者が自社はどれくらいSaaSを利用しているのか、誰が管理者なのかを明確に把握していないケースが多く、最初の障壁となっています。

小林：自分たちがどのような製品を使っているか分からないという声は、私も現場で聞くことがありますね。企業におすすめしている製品はありますか。

川村：要件を聞いた上で、サイバーセキュリティ対策を一番課題に感じている企業であれば、PAMをおすすめしています。近年のインシデントを見ていると、特権IDを奪い被害が広がるケースが増えているからです。

宍倉：認証が弱いと考えている企業は、IAMを導入するべきだと考えています。実際、導入先は認証基盤を持っていない企業が一番多い。一方、大企業で一部認証基盤を入れているケースでも、全体の認証基盤を導入することで、セキュリティの強化が実現するとアドバイスしています。

さらにIAMは認証だけでなく、IDの管理もできますから、管理基盤を導入することにもなります。一方で、細かなID管理という点では、IGAに軍配が上がるので、IAMとIGAを組み合わせるのが、ベストプラクティスになると言えるでしょう。

小林：実際、IGAを実装する必要があるのはどのような企業でしょうか？

山田：厳密なID管理をされたい企業ですね。例えば、国内の複数部署にIDが乱立している企業、さまざまな業務を兼務している企業です。どの製品がいいかではなく、目的によって必要となる製品はそれぞれ異なると思います。

セキュリティの最新トレンドについて

宍倉：認証においては、Okta Verifyのように、アクセスしているのが本人なのかどうか、ユーザーIDを確認するためのスマホアプリの活用などが挙げられます。

山田：スマートフォンを第三者に奪われたら、ログインされてしまいますよね。

宍倉：そうした危険性があるため、事前にログインするPCに証明書を発行、管理されているデバイスのみにアクセスを許可する。デバイス制御も一緒に導入する企業もあります。

小林：利用者からすると多要素認証も含め、手間だと感じる人がいるのでは？

宍倉：利便性を考慮する場合は、パスワードを使わないFIDO認証方式を採用しています。生体認証によりログインできる、Windows Helloなどです。

川村：Windows Helloは確かに便利ですが、対応端末が少ない印象があります。

宍倉：現状では少ないのですが、ユーザーのエクスペリエンスやセキュリティの向上を考えると、今後FIDO認証が標準化していくと考えられます。現在は移行の過程だと捉えています。FIDO認証を使えば、IDやパスワードはインターネット上に出ないため、神レベルのソリューションだとも思っています。

IDの未来についてはどう考えている？

川村：現在は特定の企業がIDを保有していますが、いずれは事業で情報交換を行うように、IDも共有するのではと考えています。

山田：国がIDを管理するマイナンバーカードのような考え方ですね。

川村：管理をどこが担うのかは、IDにおける問題でしょうね。集中ではなく分散だという考え方をよく聞きます。

小林：ブロックチェーンの考え方ですね。

宍倉：マイナンバーカードの拡張のように、現在は複数ある個人のIDはいずれ1つのIDに統合される。その統合IDに、学歴や銀行口座といった各人の個人情報を紐づけることで、入社面接などでも使われるのではないかと想像しています。

小林：IDが1つに統合されると、マイナンバーカードも含め、なくしたときの危険性が高いのではないでしょうか。

川村：ブロックチェーンであれば、改ざんできない仕組みとなるテクノロジーだと聞いています。

宍倉：情報を記録した小さなチップを体に埋め込む。それを一種の生体認証的に使うような未来もイメージしています。実現すればスマホや財布も必要ない。車の開け閉めや動作もできるようになるかもしれません。

川村：銀行口座の残金が少なくなると、赤色に光ったりしたら面白いですね（笑）。

【Q＆A】参加者からの質問に登壇者が回答

パネルセッション後は、イベントを聴講した参加者からの質問に、登壇者が回答する質疑応答も行われた。

Q．各ソリューションの普及割合は？

宍倉：ゼロトラストセキュリティが追い風となり、普及はだいぶ進んでいます。いずれはオンプレミス環境を維持したいと考える金融系企業を除き、約80％の企業に導入が進むと思っています。

川村：具体的な割合をお答えすることは難しいのですが、あえて挙げるとすれば60～70％ほど。すべてのお客様が使う製品ではないと考えています。

Q．アプリなど、人以外のID管理も可能なのか？

小林：権限管理という観点では、最終的には人だけではなく、アプリのAPIキーなども管理する必要があります。

川村：実際、RPAのスクリプトに埋め込まれたパスワードの管理が問題となっています。人ではなくモノが使うIDも管理するという考えであり、実際に可能です。

山田：人に紐づかないアカウントは数多くありますし、IGAで管理することも可能です。

Q．他のクラウドサービスが提供している類似製品との違いや連携について

宍倉：Oktaの導入に際しては、Microsoft 365を使っているお客様が一番多く、併用されるお客様もいます。Oktaならではの長所をかけ合わせることで、より柔軟な認証を実現できると言えるでしょう。

小林：望まれる機能や目的に合わせて選択するのが良いと思います。我々が扱っているのは各領域に特化したソリューションなので、細かな対応も可能です。

Q．IDaaSと連携できるサービスの状況は？

宍倉：現在、Oktaだけでも7500個以上あります。SaaSであれば基本的に連携することが可能です。

Q．取り組む順序やアセスメント、許可などについて

小林：社内で進める際は、コンセンサスが大事です。問題が起きている箇所から取り組むと進めやすいと思います。一方で、それだけでは見えている箇所しか取り組めていないとも言えます。

今回はIDに特化した内容でしたが、セキュリティ対策はネットワークなど他領域もあり、いろいろなソリューションを組み上げる必要があります。そのため上層部のへの報告も含め、プロジェクトを組むのをお勧めします。

また、マクニカではゼロトラストセキュリティに関するさまざまな情報を「マクニカネットワークスブログ」で公開しています。より深く知りたい、あるいは疑問に残った点などは、参考にしてもらえると嬉しいです。

株式会社マクニカ
https://www.macnica.co.jp/

株式会社マクニカの採用情報
https://www.macnica.co.jp/recruit/