Slide 1
Slide 1 text
2020 Shintaro Okamura @okash1n
2020/5/19
ゼロトラストをゼロから学ぶ
岡村 慎太郎 @okash1n
Slide 2
Slide 2 text
2020 Shintaro Okamura @okash1n
岡村 慎太郎 / @okash1n
Shintaro Okamura
Slide 3
Slide 3 text
2020 Shintaro Okamura @okash1n
岡村 慎太郎 / @okash1n
● 31歳(1989年3月19日生まれ)
● 香川大学医学部医学科中退
● SESでインフラエンジニアとしてキャリア
をスタート
● SaaS企業のエンジニア(情シス)
● toCサービスのエンジニア(SRE)
● SaaS企業で経営企画(Now)
Slide 4
Slide 4 text
2020 Shintaro Okamura @okash1n
● 最近は「ハゲ」「ヒゲ」「スーツ」
● Zoom背景芸人
○ 最近グリーンスクリーン買った
Slide 5
Slide 5 text
2020 Shintaro Okamura @okash1n
今日話すこと
● そもそもセキュリティって?
● 従来の情報セキュリティの考え方
● ゼロトラストの概念と経緯
今日は主に経済活動を行う企業におけるセキュリティについて話します
Slide 6
Slide 6 text
2020 Shintaro Okamura @okash1n
話さないこと
● ゼロトラストの実装方法
○ 個々のサービスでの実装方法など
Slide 7
Slide 7 text
2020 Shintaro Okamura @okash1n
セキュリティとは?
protection of a person, building, organization, or country against threats
such as crime or attacks by foreign countries:
❖ 情報セキュリティの文脈では守る対象は「情報」
SECURITY | meaning in the Cambridge English Dictionary
https://dictionary.cambridge.org/dictionary/english/security
Slide 8
Slide 8 text
2020 Shintaro Okamura @okash1n
情報といってもたくさんある
・顧客情報
・個人情報
・ソースコード
Slide 9
Slide 9 text
2020 Shintaro Okamura @okash1n
全部守るのか?いや実際無理でしょ。
・顧客情報
・個人情報
・ソースコード
Slide 10
Slide 10 text
2020 Shintaro Okamura @okash1n
どれを守ったらいいんだろう?
・顧客情報
・個人情報
・ソースコード
Slide 11
Slide 11 text
2020 Shintaro Okamura @okash1n
「何を守るか」は大きく2パターン
1. 法令やガイドライン・契約によるもの
○ 基本的には「守る」以外の選択肢は無い
2. 情報の保持者(主に企業や団体)の判断によるもの
○ ものによっては「守らない」という選択肢もある
Slide 12
Slide 12 text
2020 Shintaro Okamura @okash1n
「何を守るか」は大きく2パターン
1. 法令やガイドライン・契約によるもの
○ 基本的には「守る」以外の選択肢は無い
2. 情報の保持者(主に企業や団体)の判断によるもの
○ ものによっては「守らない」という選択肢もある
Slide 13
Slide 13 text
2020 Shintaro Okamura @okash1n
行政処分や社会的な死が待っている
● 罰金
● 業務停止
● 信用の失墜
○ ブランド力低下
○ 不買
これらの先には「倒産」が待っているかもしれない
Slide 14
Slide 14 text
2020 Shintaro Okamura @okash1n
サイバーセキュリティ .com
https://cybersecurity-jp.com/news/27296
Slide 15
Slide 15 text
2020 Shintaro Okamura @okash1n
ITmedia ビジネスオンライン
https://www.itmedia.co.jp/business/articles/1912/04/news159.html
問題となっていたのはリクルートキャリアの「リクナビDMPフォロー」というサービス。同社は
2018年度に対象企業に応募した学生のリクナビ上の行動履歴などを分析。アルゴリズムを作
成して19年度の学生の行動履歴と照合することで内定辞退率を予測していたが、学生に十分
な説明をすることなく企業に提供していたとして、19年8月にサービスを廃止。同月には個人
情報保護委員会から、9月には厚生労働省から指導を受けている。個人情報保護委員会から
は、今回2度目の勧告を受けた。
リクナビDMPフォローを利用していた企業のうち、トヨタ自動車、京セラ、YKK、三菱商事など
11社は、同サービスの利用目的について適切に通知・公表するよう指導を受けた。デンソー
やレオパレス21など残り24社はこれに加え、個人データを第三者に提供する場合や個人デー
タの取り扱いを委託する場合の対応についても指導を受けている。
Slide 16
Slide 16 text
2020 Shintaro Okamura @okash1n
「何を守るか」は大きく2パターン
1. 法令やガイドライン・契約によるもの
○ 基本的には「守る」以外の選択肢は無い
2. 情報の保持者(主に企業や団体)の判断によるもの
○ ものによっては「守らない」という選択肢もある
Slide 17
Slide 17 text
2020 Shintaro Okamura @okash1n
情報の重要性は企業・業態によって異なる
C社
B社
A社
パワポの資料 顧客のデータ全て 製作物
Slide 18
Slide 18 text
2020 Shintaro Okamura @okash1n
「守り方」は様々な要素から総合的に判断する
● 情報の重要性
● 時代や環境
● 漏洩する可能性(脅威度)
● 実現可能性
● etc...
Slide 19
Slide 19 text
2020 Shintaro Okamura @okash1n
ゼロトラストとは?
Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms
that move network defenses from static, network-based perimeters to
focus on users, assets, and resources.
NIST Zero Trust Architecture (2nd Draft)
https://csrc.nist.gov/publications/detail/sp/800-207/draft
Slide 20
Slide 20 text
2020 Shintaro Okamura @okash1n
ゼロトラストとは?
Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms
that move network defenses from static, network-based perimeters to
focus on users, assets, and resources.
❖ 情報セキュリティにおける「考え方」を表す用語
➢ Not「製品」or「特定の技術」
➢ 「守り方」のお話
NIST Zero Trust Architecture (2nd Draft)
https://csrc.nist.gov/publications/detail/sp/800-207/draft
Slide 21
Slide 21 text
2020 Shintaro Okamura @okash1n
ゼロトラストとは?
Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms
that move network defenses from static, network-based perimeters to
focus on users, assets, and resources.
❖ 情報セキュリティにおける「考え方」を表す用語
➢ Not「製品」or「特定の技術」
➢ 「守り方」のお話
NIST Zero Trust Architecture (2nd Draft)
https://csrc.nist.gov/publications/detail/sp/800-207/draft
Slide 22
Slide 22 text
2020 Shintaro Okamura @okash1n
話をわかりやすくするために、従来のモデルをまず説明します
Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms
that move network defenses from static, network-based perimeters to
focus on users, assets, and resources.
❖ 先に断っておきますが、これらが「悪い」「もう使ってはいけない」というわ
けではありません。
NIST Zero Trust Architecture (2nd Draft)
https://csrc.nist.gov/publications/detail/sp/800-207/draft
Slide 23
Slide 23 text
2020 Shintaro Okamura @okash1n
Perimeter:境界モデル
Slide 24
Slide 24 text
2020 Shintaro Okamura @okash1n
ネットワーク境界を区切ることで情報を守る考え方
● 人事情報
● 顧客情報
● etc...
Slide 25
Slide 25 text
2020 Shintaro Okamura @okash1n
境界モデルを実現する方法
● ファイアウォール
● DMZ
● IPアドレス制限
● VPN
● VDI
● etc...
Slide 26
Slide 26 text
2020 Shintaro Okamura @okash1n
恐らく9割以上の企業はこのタイプ
● 人事情報
● 顧客情報
● etc...
Slide 27
Slide 27 text
2020 Shintaro Okamura @okash1n
恐らく9割以上の企業はこのタイプでは?
● 人事情報
● 顧客情報
● etc...
WFH
VPN
VPC
Slide 28
Slide 28 text
2020 Shintaro Okamura @okash1n
繰り返しますが、このモデルは何も悪くありません
● 人事情報
● 顧客情報
● etc...
WFH
VPN
VPC
Slide 29
Slide 29 text
2020 Shintaro Okamura @okash1n
様々な媒体(PC・DC・クラ
ウド)の上に保存されてい
る「情報」
繰り返しますが、このモデルは何も悪くありません
WFH
VPN
Slide 30
Slide 30 text
2020 Shintaro Okamura @okash1n
では何故ゼロトラストが生まれたのか?
Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms
that move network defenses from static, network-based perimeters to
focus on users, assets, and resources.
❖ 情報セキュリティにおける「考え方」を表す用語
➢ Not「製品」or「特定の技術」
➢ 「守り方」のお話
NIST Zero Trust Architecture (2nd Draft)
https://csrc.nist.gov/publications/detail/sp/800-207/draft
Slide 31
Slide 31 text
2020 Shintaro Okamura @okash1n
では何故ゼロトラストが生まれたのか?
● 情報の重要性
● 時代や環境
● 漏洩する可能性(脅威度)
● 実現可能性
● etc...
Slide 32
Slide 32 text
2020 Shintaro Okamura @okash1n
時代や環境の変化
Slide 33
Slide 33 text
2020 Shintaro Okamura @okash1n
そして
Slide 34
Slide 34 text
2020 Shintaro Okamura @okash1n
そして
新型コロナウイルス
Slide 35
Slide 35 text
2020 Shintaro Okamura @okash1n
時代や環境の変化
● SaaS, IaaS, スマホの登場
○ ロケーションに依存していてはビジネスにおける競争に勝つことが出
来ない時代になってきた
○ ロケーションから解き放たれると「境界」の線引きが困難になる
Slide 36
Slide 36 text
2020 Shintaro Okamura @okash1n
では何故ゼロトラストが生まれたのか?
Zero trust (ZT) is the term for an evolving set of cybersecurity paradigms
that move network defenses from static, network-based perimeters to
focus on users, assets, and resources.
❖ ネットワークの境界における防御から、ユーザーやデバイスなど情報を取
り扱う主体ベースで防御を考える必要が出てきた
NIST Zero Trust Architecture (2nd Draft)
https://csrc.nist.gov/publications/detail/sp/800-207/draft
Slide 37
Slide 37 text
2020 Shintaro Okamura @okash1n
Perimeter:境界モデル
● 人事情報
● 顧客情報
● etc...
ここにいる人は大丈夫!!
Slide 38
Slide 38 text
2020 Shintaro Okamura @okash1n
主体ベース(境界がミクロになったという見方もできる)
Slide 39
Slide 39 text
2020 Shintaro Okamura @okash1n
時間が経つと信頼性も変わる
Slide 40
Slide 40 text
2020 Shintaro Okamura @okash1n
脅威の質や量も変わってきた
● 標的型攻撃
○ 三菱重工
○ Emotet
● 関係者の犯行
○ ベネッセ
○ ブロードリンク
Slide 41
Slide 41 text
2020 Shintaro Okamura @okash1n
境界を狭めた上で、定期的に信頼性を見直す必要がある
Slide 42
Slide 42 text
2020 Shintaro Okamura @okash1n
境界を狭めた上で、定期的に信頼性を見直す必要がある
What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm
https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
Slide 43
Slide 43 text
2020 Shintaro Okamura @okash1n
境界を狭めた上で、定期的に信頼性を見直す必要がある
What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm
https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
全く信頼
しない訳
ではない
Slide 44
Slide 44 text
2020 Shintaro Okamura @okash1n
境界を狭めた上で、定期的に信頼性を見直す必要がある
What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm
https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
Dataに
アクセス
させて
大丈夫?
Slide 45
Slide 45 text
2020 Shintaro Okamura @okash1n
判定は可能な限り多数の要素から総合的に判断
What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm
https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
Dataに
アクセス
させて
大丈夫?
Slide 46
Slide 46 text
2020 Shintaro Okamura @okash1n
判定は可能な限り多数の要素から総合的に判断
What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm
https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
● ID/Password合ってる?
● このIDにはアクセス権ある?
● このIDを使ってるのは本当に ID
保持者?
Slide 47
Slide 47 text
2020 Shintaro Okamura @okash1n
判定は可能な限り多数の要素から総合的に判断
What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm
https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
● 信頼できるデバイス?
● ウイルスに侵されていない?
● OSのバージョンは?
Slide 48
Slide 48 text
2020 Shintaro Okamura @okash1n
判定は可能な限り多数の要素から総合的に判断
What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm
https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
● どこからアクセスしてる?
● 通信は暗号化されてる?
Slide 49
Slide 49 text
2020 Shintaro Okamura @okash1n
これらの総合点で判断する
Implementing a Zero Trust security model at Microsoft
https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
Slide 50
Slide 50 text
2020 Shintaro Okamura @okash1n
つまりゼロトラストとは
情報にアクセスする主体が、アクセスしようとしている情報に対してアクセス権
があるかどうかを、様々な方法で常に検証することで情報を保護する考え方
Slide 51
Slide 51 text
2020 Shintaro Okamura @okash1n
でもこんなの自前で作るのはかなりキツい
Implementing a Zero Trust security model at Microsoft
https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
Slide 52
Slide 52 text
2020 Shintaro Okamura @okash1n
巨人達の肩にある程度乗っていく
● Microsoft 365
● GSuite Enterprise
● Akamai EAA
● etc...
Slide 53
Slide 53 text
2020 Shintaro Okamura @okash1n
巨人達の肩にある程度乗っていく
What is the Zero Trust Model for Cybersecurity, Really? | LogRhythm
https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/
Slide 54
Slide 54 text
2020 Shintaro Okamura @okash1n
サービス作る側は?(SaaSサービスなど)
Implementing a Zero Trust security model at Microsoft
https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
Slide 55
Slide 55 text
2020 Shintaro Okamura @okash1n
サービスのユーザー管理にこんな機能持たせるのはきつい
Implementing a Zero Trust security model at Microsoft
https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft
Slide 56
Slide 56 text
2020 Shintaro Okamura @okash1n
導入企業側に選択肢を与えてあげる
例えば
● SAMLでのSSOを強制出来る機能をつけてあげる
○ ゼロトラストな方向に向かおうとする企業向け
● IP制限やプロキシ経由での利用を可能にする機能
○ 境界型、もしくは境界型からの移行中の企業向け
Slide 57
Slide 57 text
2020 Shintaro Okamura @okash1n
どうやって勉強したらいい?
● 弊著と言いたいところだが
Slide 58
Slide 58 text
2020 Shintaro Okamura @okash1n
どうやって勉強したらいい?
● @ken5scal さん翻訳の本家をオススメします
Slide 59
Slide 59 text
2020 Shintaro Okamura @okash1n
どうやって勉強したらいい?
● @ken5scal さん翻訳の本家をオススメします
Slide 60
Slide 60 text
2020 Shintaro Okamura @okash1n
どうやって勉強したらいい?
● Google Beyondcorp
○ https://cloud.google.com/beyondcorp?hl=ja
● MicrosoftのZeroTrustに関するドキュメント
○ https://www.microsoft.com/ja-jp/security/business/zero-trust
● NIST SP 800-207(まだドラフト)
○ https://csrc.nist.gov/publications/detail/sp/800-207/draft
Slide 61
Slide 61 text
2020 Shintaro Okamura @okash1n
今日のまとめ 1
● どんな情報をどのレベルで守るのかまず定めましょう
○ 法規制に触れる部分は法に則る
○ それ以外は自分たちのビジネスにおける重要性と危険性から決める
Slide 62
Slide 62 text
2020 Shintaro Okamura @okash1n
今日のまとめ 2
● 境界型防御やVPN等が悪いわけではない
● 変化するビジネスシーンや脅威の中で、守りたい(守るべき)情報を守りな
がら、円滑にビジネスを行う為に、防御の境界をユーザーやデバイスレベ
ルまで狭める必要が出てきただけ
● Zero Trust(何も信頼しない)のではなく常に様々な要素から信頼を見直し
続ける仕組みが必要
Slide 63
Slide 63 text
2020 Shintaro Okamura @okash1n
今日のまとめ 3
● 自前で作り込むのは厳しいので、海外でも実績のある巨人達のソリュー
ション(AzureAD, GSuite, Ping, Okta)などに乗っかりましょう(私は
Microsoftのソリューションが今の所オススメ)
● SaaSなどのサービスを作る側はSAML認証の強制やプロビジョニングの
仕組みなど、巨人達のソリューションとの連携機能をつけてあげましょう
Slide 64
Slide 64 text
2020 Shintaro Okamura @okash1n
ご清聴ありがとうございました!