Webinar解説「IDを使用して組織の内と外を防御する」

安田 良明 解説:
ISC2認定主任講師/株式会社ラック 安田 良明 氏
CISSP, SSSP

Webinar開催日:2019年3月20日
スピーカー1:中西 一博, プロダクト・マーケティング・マネージャー, Akamai Technologies.
スピーカー2:金子 春信, CISSP, シニア・プロダクト・マーケティング・マネージャー, Akamai Technologies.

Webinar視聴のご視聴はこちら

初めまして、²認定講師の安田 良明です。²が日本語のWebinarを始めて8回目になりましたが、みなさんはどれくらい日本語のWebinarを視聴していますか。僕自身、3月20日に行われた Akamai様のWebinar視聴が2回目になります。僕が継続してWebinarを視聴するようになったモチベーションは、昨年、シマンテック様が提供された「クラウドを使いこなせるか?CASBが解決できる課題とクラウドシフトのリアル」を視聴したのがきっかけです。そのWebinarでは、CISSP的な考え方とリンクする内容が非常に多く紹介されており、改めてCASBを使用することで、組織の業務やIT環境をクラウド上にシンプルに実装することが可能であり、CISSPのドメインの1つである「アイデンティティとアクセスの管理」で紹介されている数々のCBKによる考え方をIT実装できることを再認識する有意義な時間になりました。

²が提供するWebinarは、²メンバーまたはそれ以外の方、どなたでも視聴することができますので、是非、みなさんの組織で有効活用していただきたいと思います。ただ、なかなかWebinarを視聴するのが業務都合上、難しい方もいらっしゃる(僕は面倒なだけでしたが…)と思いますので、Webinarのトピックを² CBK(共通知識分野)に紐付けて解説を行うことで、少しでもみなさんにWebinarの面白さを伝えられればと思います。今回は、3月20日に行われた Akamai様のWebinar「IDを使用して組織の内と外を防御する」の中で紹介されていた、ゼロトラスト・ネットワークを設計する際に利用できるオプション「Identity Aware Proxy(IAP:ID認識型プロキシ)」とCISSPの共通知識分野を紐付けて考えてみます。

Webinarで紹介されていた「Identity Aware Proxy(IAP)」の考え方は、Googleが2014年に公開した「BeyondCorp※1」のリサーチペーパーでご存じの方も多いと思います。「BeyondCorp」の取り組みは、「Google の全従業員が VPN を使用せずに信頼できないネットワークを介して問題なく働けるようにすることを目指す」ことをモチベーションとしていると知られており、その実装の裏付けとなっているのが、Googleの「CLOUD IDENTITY-AWARE PROXY」であり、「社内であろうがインターネットであろうが、クライアントからのアクセスについては、すべて中継処理を行い(プロキシで集約し中継を行う)、シングルサインオン環境と連携して、利用者の権限を確認し、その情報を社内アプリケーションに提供することで、適切なアクセスコントロールが実現されています。この「CLOUD IDENTITY-AWARE PROXY」のような考え方は、CISSPの共通知識分野(CBK: Common Body of Knowledge)としては、「アイデンティティとアクセスの管理のドメインで取り扱われており、「いかなる環境においても、識別、認証、認可により、適切なユーザーがシステムにアクセスし、リソースが適切に使用されることを保証しなければならない」として定義されています。そのため、CISSPは、さまざまな識別要素に対してのプロビジョニングを行い、認証、認可、およびすべてのリソースの使用状況を把握、保証するためのアカウンタビリティと監査環境を含め、IT実装する必要があります。ただ、このIT実装というところが一筋縄ではいかないわけで、考え方を具体的かつ現実的にどのような仕組みとしてIT実装するのかのアイディアを創出しないといけないわけですが、Akamai金子様が解説されていた、ゼロトラストネットワークアーキテクチャベースのEAA(Enterprise Application Access)を導入することで、IAPの環境をIT実装できるようになります。EAAの要素技術については、Webinarを通じて、様々な CISSP のCBKが採用されていることが確認できます。EAAは、「すべてのインバウンド・ファイアウォール・ポートを閉じ、許可されたユーザーとデバイスのみがネットワーク全体ではなく必要な社内アプリケーションにアクセスできるようにする独自のクラウドアーキテクチャ」が採用されているため、「信頼できないすべてのアクセスを排除」、「リファレンスモニターの実装(IAPでは、すべてのトラフィックの検証と記録ができる)」「知る必要性の原則」や「最小権限の原則」等を実現できるようになります。詳細の仕組みについては、Webinarでご確認ください。

なお、このEAAは、ゼロトラストソリューションとして、単体で完成しているという捉え方もできますが、Akamai金子様は、あくまでもゼロトラストソリューションのオプションの1つであるということを解説しています。この考え方はCISSP的な発想であり、例えば、ゼロトラストソリューションのオプションとして、マイクロセグメンテーションによるネットワーク境界の最小化、ソフトウェア定義境界(Software Defined Perimeter)によるコントローラー上の認証・認可の集中処理という方法でもゼロトラストのIT実装が実現可能です。CISSPとしては、IAPを含め、これらの技術は、メリット、デメリットが機能上、実装上、運用上それぞれあることを理解し、各組織の業務やIT環境に応じて、継承可能な多層防御の仕組みをどのように実装するかを考える必要があります。例えば、主要なサーバーセグメントやID認証、認可が採用できない産業システムについては、マイクロセグメンテーションを採用し、クラウドベースのSaaS、IaaSが存在、またはこれから移行する場合は、IAPベースの環境を採用することで適切な保護環境を手に入れることが可能となります。もちろん、ハイブリットでもよいということです。

いかがでしたでしょうか。今回は、Akamai様のWebinar「IDを使用して組織の内と外を防御する」の中で紹介されていた、「Identity Aware Proxy(IAP:ID認識型プロキシ)」をCISSPの共通知識分野に紐付けて考えてみました。Webinarでは、もう1つのトピック「Credential Stuffing」についても解説されていますので、是非、Webinarを視聴してみてください。

※1 December 2014
BeyondCorp: A New Approach to Enterprise Security
by Rory Ward, Betsy Beyer, Google
https://ai.google/research/pubs/pub43231