ゼロトラストは多くの人にとっては新しい概念ですが、今後その重要性が増していくであろうと私は考えています。この投稿では、この新しい概念について紹介し、それがセキュリティ向上のためにいかに優れた方法であるか説明するとともに、Tripwire Enterprise(TE)をはじめとするファイル整合性監視(FIM)ツールおよびセキュリティ構成管理(SCM)ツールを活用して、ゼロトラストを推進していく方法について解説したいと思います。
ゼロトラストとは?
まず、その定義を紹介しましょう。
ゼロトラストは、デバイスやユーザーが企業のファイアウォールで守られていても、一切警戒を緩めてはいけないという考え方です。すべての新しいデバイスやユーザーからの接続は潜在的なリスク源であるということが現実であり、ゼロトラストは、それに基づいた対処を求めるものです。「LAN上のすべてのインタラクションは、侵害のソースあるいは侵害の結果である可能性がある」という前提で各インタラクションを扱うのであれば、「信頼できる」ユーザーおよびデバイスに対しても、従来の信頼できないネットワークに対するのと同様の検証および追跡を実施することが重要ということになります。
すべてのインタラクションが未検証であると考えると、企業のリソースへのアクセスを許可する前に、すべてのリクエストが正当なもので、(たとえば暗号化などで)セキュリティ保護されていることを確認できるコントロールの確立に注力しなければいけなくなります。さらに、セキュリティインテリジェンスやアナリティクスを活用して、正確な検出と認証の確認を行い、不審なふるまいにリアルタイムで対応しなければなりません。
それは、実際にどのような対策を取らなければいけないことを意味するのでしょうか。また、ネットワーク内でゼロトラストアプローチをサポートするためには、どのような体制を整えるべきでしょうか。ゼロトラストは、いくつかの重要な原則に基づいて構築できますが、おそらく最も重要なのは、Microsoftのゼロトラスト成熟モデルで概説されている次の3つの項目でしょう。
- 明示的に確認する。常に認証と承認を、入手可能なすべてのデータポイントに基づいて行います。これに含まれるものとしては、ユーザー アイデンティティ、場所、デバイスの正常性、サービスまたはワークロード、データ分類、異常などがあります。
- 最小特権アクセスを使用する。ユーザーアクセスを限定するために、ジャストインタイムの必要十分なアクセス権(JIT/JEA)、リスクベースの適応型ポリシー、データ保護を使用して、データと生産性の両方を安全に守ります。
- 侵害があるものと考える侵害の「爆発半径」を最小限に抑えて横移動を防ぐために、アクセスをネットワーク、ユーザー、デバイス、アプリ認識によってセグメント化します。すべてのセッションがエンドツーエンドで暗号化されていることを確認します。アナリティクスの活用により可視性を高めて脅威検出を推進し、防御を強化します。
すぐに明らかになるかはわからないものの、FIMとSCMはこれらの目的達成のために非常に役立つツールになる可能性があります。
ファイル整合性監視とセキュリティ構成管理がどのように役立つか
最初の2つのポイントは、堅牢なロールベース・アクセス制御(RBAC)を実装して継続な検証を行うことを求めています。TEではユーザーのすべてのネットワークインタラクションを追跡するわけではありません。しかし、ディレクトリサーバーの監査を行うことによって、ユーザーおよび組織のセキュリティグループの両方に発生する変更の監視を可能にして、ゼロトラストモデルに基づいた重要なチェックを実現します。この手法を、変更管理システム(ServiceNow、Remedy、Unicenterなど)と組み合わせることにより、ユーザーのアクセス権限に対する変更要求のうち、承認された要求のみが実行されるようにすることができます。(この原則は、ファイルシステムへのアクセス権限の変更にも同様に適用する必要があります。)
ここ数年、私は多くの「アクセスクリープ」(ユーザーのアクセス権限が時間の経過とともに増加しているのに、見直しを行わなかったり、特定のリソースへのアクセスが不要になっても削除しない状況)を見てきました。そこで、「Just Enough Access(必要最低限のアクセス)」のコンセプトが登場しました。特にファイルシステムでは権限が過剰に付与されやすくなります。そのような場合では、SCMポリシーベースの監査を実行できるTEのようなツールを使用すると、デバイス全体で最低限の制御が適用されているかを一貫性を持って評価できるため、時間と労力を節約できます。このようなツールは、不要なアクセスによる変更が発生した場合に警告を発する機能も提供します。
Tripwire Enterpriseのセキュリティ構成管理(SCM)と、登録時にネットワークに追加された新しいデバイスを自動的にスキャンする機能(今年Tripwire Enterprise Axon Agentに追加された新機能)を組み合わせて、コンプライアンスポリシーのテーマに沿うように実行すると、新しいサーバーがプロビジョニングされる都度、関連するセキュリティ構成を迅速に評価できます。また、新しいデバイスを信頼すべきか否かについての洞察が得られるとともに、エンドポイントの承認プロセスを促進できる可能性もあります。SCMを導入すると、変更を経時的に把握できるため、デバイスをネットワークから完全に隔離または削除する必要があるかを常に見直すことができます。
最後に、Tripwire Enterpriseでは、タグ、重大度、カスタムプロパティを使用して変更データを分類できます。これにより、豊富なデータセットが提供され、正常なふるまいと異常なふるまいを把握できるようになります。ファイル整合性監視(FIM)は、変更をキャプチャし、逸脱にどのように対応または管理するかを選択できるという点で、従来の多くのキュリティモデルとは異なります。これは、ゼロトラストネットワークの実現を支援する重要な要素です。FIMをリアルタイムモニタリングを実施するエージェントの機能と組み合わせることにより、変更の特定や分類が可能になり、重要なコントロールの機能を果たせるようになります。特に、リスクを防止または報告したり、リスクに対応することのできる他のセキュリティツールと結合させると効果的です。
ゼロトラストは、実際には「達成する」ものではなく、ネットワーク上のリスクに対する意識を常に高めるためのアプローチです。私は個人的に、オペレーションのためのゼロトラストモデルに目を向ける企業が増えていることを喜ばしく思っています。これらのコンセプトの一部でも取り入れてみることにより、組織のセキュリティにおける本当の利点を感じることができると思います。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
