ゼロトラスト大全読んで ゼロトラ完全に理解した Jumpei Toyota (@porinkysan) #InfraStudy 2021/08 Infra Study 2nd #4 セキュリティエンジニアリングの世界

自己紹介 • Twitter：しゃべるペンギン（@porinkysan) • 所属：株式会社日立情報通信エンジニアリング • 仕事：インフラエンジニア • 趣味：おいしいもの食べに行く Instagram(@jumpei5) ダイビング (PADI Advance Open Water Diver) スキー（北海道出身なので）

Agenda 目的 1 ゼロトラストとは 2 境界防御モデルの課題 3 境界防御とゼロトラストネットワークの歴史 4 Zero Trust Architecture（NIST7原則） 5 Zero Trust strategy – what good looks like 6 概念提唱者に聞くゼロトラスト導入の5Step 7 ゼロトラストネットワークの構成要素 8 ゼロトラスト実装について 9 事例に学ぶ 10 まとめ 11

目的 1 ゼロトラ大全を読んだので ゼロトラの基本と各技術要素などを まとめ、アウトプットすること （すべてわかるゼロトラスト大全 さらば VPN・安全テレワークの切り札 (日経BPムッ ク) | 日経クロステック |本 | 通販 | Amazon）

2 ゼロトラストネットワークとは ゼロトラストネットワークはすべての通信を「信頼できな いもの」とする考え （O'Reilly Japan - ゼロトラストネットワー ク (oreilly.co.jp)） “ゼロトラストネットワークとは、 ファイアウォールやVPNに代表される 従来型のセキュリティ（境界防御モデ ル）が通用しなくなった現状を踏まえ、 すべてのトラフィックを信頼しないこ とを前提とし、検証することで脅威を 防ぐというアプローチです。”

境界防御モデルの課題 3 一度中に入られてしまうと、無防備になってしまう。 クラウド化やモバイル化の広がりにより、企業ネットワー クの「境界」そのものも揺らいでいる、

境界防御とゼロトラストネットワークの歴史 4 境界防御の誕生 境界防御の発展 ゼロトラストネットワークの誕生 1990年代 2000年代 2010年代 1994 ・NAT ・IPsec ・プライベー トIPアドレス 2004 Jericho(ｴﾘｺ) フォーラム 非境界型の防 御普及団体 2010 ゼロトラ スト提唱 2014 BeyobdCorp論文公開 (Google) 2014 NISTのZTA NIST: National Institute of Standards and Technology ZTA: Zero Trust Architecture

Zero Trust Architecture（NIST7原則） 5 Tenets of Zero Trust References: NIST Special Publication 800-207 Zero Trust Architecture (nist.gov) 1. All data sources and computing services are considered resources. 2. All communication is secured regardless of network location. 3. Access to individual enterprise resources is granted on a per- session basis. 4. Access to resources is determined by dynamic policy 5. The enterprise monitors and measures the integrity and security posture of all owned and associated assets. 6. All resource authentication and authorization are dynamic and strictly enforced before access is allowed. 7. The enterprise collects as much information as possible about the current state of assets, network infrastructure and communications and uses it to improve its security posture.

Zero Trust strategy – what good looks like (Microsoft) 6 References: Zero Trust Maturity Model (microsoft.com)

概念提唱者に聞くゼロトラスト導入の5Step 7 Step1. 守るべき表面(Surface)の定義 Data(データ)、Asset(資産)、Application(アプリケーション)、 Service(サービス)からなる「DAAS」を個別に守る。 従来の外部からの攻撃されてた境界を攻撃表面、守るべき表面を 防御表面（ProtectSurface）と呼ぶ Setp2. 業務システムにおけるトランザクションの把握 DAASに適切なアクセス制御を講じるには誰がどのような流れで データを処理するのかを理解する必要がある Step3. ゼロトラストを実現するためのIT環境の設計、アクセス制御の実装 IAPのようなDAASへの門番を設けるのが１つの手 Step4. DAASに誰がアクセスできるのかを示すポリシーの策定 Step5. コントロールシステムの監視と維持 概念の提唱者：ジョン・キンダーバグ氏 2010年フォレスターリサーチ在籍時にゼロトラストモ デル提唱。2017年よりパロアルトネットワークス在籍

ゼロトラストネットワークの構成要素 8

8 ゼロトラストネットワークの構成要素 ユーザーの認証・アプリへのアクセス認可の強化（メイン) ① Identity & Access Management (IAM) ・複数システムへのSSO ・多要素認証 ・コンテキストベース認証 ②Identity Aware Proxy (IAP) ・アプリの門番として機能し、ユーザーによる正当な悪瀬薄だけをアプリ へと中継するプロキシ ・ユーザー・デバイスの属性(IAMと連携)、デバイスのセキュリティ強度、 アクセス元などをチェックして、社内アプリの利用可否を細かく制御 IAMの主な製品 Okta Okta Identity Cloud Google Cloud Identity Microsoft Azure Active Directory IAPの主な製品 Akamai Akamai Enterprise Application Access(EAA) Google Identity-Aware Proxy Microsoft Azure Active Directory Application Proxy

8 ゼロトラストネットワークの構成要素 デバイスの防御 ③ Endpoint Detection & Response(EDR) ・検知 ・封じ込め ・調査 ・修復 ※MDMと連携 ④Mobile Device/Application Management(MDM/MAM) ・IT資産管理ツールとしての機能(version,パッチ,app)※IAMと連携 ・クライアント管理(初期設定、アプリ一斉配布など) ・内部カメラ、SDカードへのアクセス禁止 ・リモートロック/ワイプ(消去) EDRの主な製品 Cisco Cisco AMP for Endpoint Trendmicro ApexOne Endopint Microsoft Microsoft Defender for Endpoint (旧ATP) VMware Vmware Carbon Black Cloud MDM/MAMの主な製品 VMware VMware Workspace ONE Google Googleエンドポイント管理 Microsoft Microsoft Intune Citrix Citrix XenMobile 通信キャ リア 通信キャリアのMDM/MAM

8 ゼロトラストネットワークの構成要素 全ての行動の監視と分析 ⑤Security Information Event Management(SIEM) システムのログを一元管理・分析 ※EDR.IAM.CASBと連携 Security Operation Center(SOC)やシステム管理者へ通報 ⑥Cloud Access Security Broker(CASB) ※SWG,SIEMと連携 SaaSなどの自社のコントロールにないアプリの利用状況を監視・分析 ⑦Secure Web Gateway(SWG) ※CASB,IAPと連携 ユーザーによるインターネット利用を監視・制御 SIEMの主な製品 Google Chronicle Security Analytics Platform Splunk Splunk Enterprise Security Microsoft Azure Sentinel CASBの主な製品 Cisco Cisco Cloudlock Microsoft Microsoft Cloud App Security McAfee MVISION Cloud SWGの主な製品 Cisco Cisco Umbrella Zscaler Zscaler Internet Access

8 ゼロトラストネットワークの構成要素 Secure Access Service Edge(SASE) SASEは新しいコンセプトであり、厳密に何をもってSASEと称するかは提 供ベンダーごとに異なる SASEに含まれる機能の代表的なもの CASB、SWG、WAF、SD-WAN、CDN、ZTNA、SDP・・・など

ゼロトラスト実装について 9 ゼロトラストの概念や原則などはまとまっているが、 実現方法は多様であり、正解は１つではない。 様々な要素を組み合わせて対応しなければならいないため 段階的に時間をかけて導入するのが現実的 ID基盤整備 (IAM) デバイス保護 (MDM/MAM,EDR) 脱VPN (IAP導入でVPNなしで社 外から利用可) SaaS利用の監視・分析 (CASB) 全てのアプリ監視・分析 (SIEM)

ゼロトラスト実装について 9 実装するためのサービス選定の課題 ・オンプレADいるからなんとか有効利用したい ・コロナでタブレット買ったからリモートワークで使える？ ・オンプレで認証頑張りたい Active Directoryフェデレーションサービス(ADFS) Webアプリケーションプロキシ Azure AD Connectのセット運用きつい ・全部MSでそろえたい、全部Googleでできる？ ・結局SIerのかついでる製品or実績ある製品の組み合わせ 活用できそうな事例・情報みんな共有して幸せに なりたい

事例に学ぶ 10 NTTコミュニケーションズ 課題 https://xtech.nikkei.com/atcl/nxt/column/18/01418/092400006/ シンクライアント端末の使い勝手が悪い 施策 EDR・BitLocker・Windows Hello導入 暗号化を施した「FAT端末」採用 情報漏洩の基準変更が背景に 2017/05 個人情報保護法改正に伴う情報漏洩の扱いに関する指針が変更 高度な暗号化が施されている場合は端末を紛失しても外部に漏洩していな いとみなされるようになった！

まとめ 11 ゼロトラ完全に理解したふわっと概念理解 コロナだし、みんな快適なテレワークしたい！ 高いお金払っていろんなセキュリティ製品 導入している企業は多いと思うので ゼロトラストの概念を意識してデータアクセス・ ネットワークを刷新すればもう少し日本人働きや すくなると思う 今後： 手を動かして実装してみる