Webinar解説「ゼロトラスト実現のポスチャー考察&デシリアライゼーション対策の最適解」

安田 良明 解説:
ISC2認定主任講師/株式会社ラック 安田 良明 氏
CISSP, SSSP

Webinar開催日:2019年10月2日
スピーカー1: 金子 春信, CISSP, シニア・プロダクト・マーケティング・マネージャー; Akamai Technologies.
スピーカー2: アジェイ・ミスラ, エンタープライズ・セキュリティーアーキテクト; Akamai Technologies.

Webinar視聴のご視聴はこちら

みなさん、こんにちは。ISC2認定講師の安田 良明です。2019年も残すところ1か月となり、年末年始の余暇を楽しむ素敵な計画を立てている方が多いと思いますが、僕は初めての経験となる、他企業のビジネスとIT環境を短期間で自社に吸収し、スムーズにデリバリを開始するという「組織のプロセス」に関する業務を行っているため、年末年始もたくさんガバナンスとITの勉強ができて、次回以降のCBKトレーニングの実務経験ネタが増えるラッキーな環境に置かれています。

そんな中、第12回目に配信されたISC2日本語Webinarのアーカイブ視聴を行いました。第12回目のWebinarでは、第8回、第9回に解説いただいた「ID認識型プロキシ」についての考え方の復習、「ゼロトラスト」環境を実現するための全体像の解説、さらに「ID認識型プロキシ」を深く掘り下げた運用の仕組みが解説されており、以前までに学習したID認識型プロキシのアーキテクチャ概要、認証・認可の仕組み、可用性の実現方式に加えて、現実的な運用の仕組みについて理解することができました。

また、ゼロトラストに向かうための前提条件として、既存の業務とITをマネジメントしながら、VPN、社内Wi-Fiやイーサネットの信頼前提のインフラを断ち切ることは必要ですが、当然のことながら、構築したゼロトラストの環境を運用し続けることも必要になってきます。どんなに、ゼロトラストの環境をシンプルに実装できたとしても、運用期間中に業務、IT環境、脅威や脆弱性が変化していくため、ゼロトラスト導入後の運用の仕組みを予め設計し、導入時開始時から現実的に運用できる体制を整えておく必要があります。今回のWebinarでは、「ポスチャー(体制)」がキーワードとなっており、僕自身、「ポスチャー(体制)」の考え方を理解することで、ゼロトラストのアプローチで要求される、ポリシーが動的に変化する環境に対し、無理なく運用環境を実装することができることを学ぶことができました。

今回は、2019年10月2日に行われた 「Akamai Technologies 」様のWebinar「ゼロトラスト実現のポスチャー考察&デシリアライゼーション対策の最適解」の中で解説されている「ゼロトラスト実現のポスチャー考察」について、「セキュリティの運用」のCISSP的な考え方にリンクさせながら解説を行ってみたいと思います。CISSPの8ドメインでは、特に「セキュリティの運用」で紹介されている数々のCBK(共通知識分野)を実践することで、セキュリティ実務者が組織の運用環境を維持する際に直面する基本概念、資産の保護、インシデント管理と対応等の環境が手に入れられるようになります。

特に、「セキュリティの運用」においては、リソースのセキュアなプロビジョニング(知る必要性、最小権限、変更管理等)や組織が業務活動を行う際に使用する情報資産の保護や運用中に発生するイベントの検知、対応、復旧を行うセキュリティ管理策を実践することが共通知識として要求されておりますので、セキュリティ実務者が、具体的・現実的に運用するために必要な環境を実装するための知識について解説したいと思います。

はじめに、「セキュリティの運用」を実践する際に重要な共通知識を理解しておく必要がありますので、第7回、第8回、第9回のWebinarを視聴していない方は、是非、視聴していただきたいと思います。第7回目のWebinarを視聴することで、「資産セキュリティ」の共通知識として取り扱うデータガバナンスの考え方を学ぶことができます。また、第8回、第9回のWebinarを視聴することで、「アイデンティティとアクセスマネジメント」の共通知識として取り扱う「識別、認証、認可」の考え方を学ぶことができます。実は、これらの共通知識は、「セキュリティの運用」を適切に行う前提として理解しておく必要があります。それは、組織が業務活動を行う上で必要となる情報資産(有形資産・無形資産)は、すべてライフサイクルフェーズが生じ、生成から廃棄の一連の状態を常に把握し続け、組織が期待する状態を保ち続けているかどうか、判断する必要があります。また、ライフサイクルは情報資産に限らず、アイデンティティも対象となるため、ユーザーの知る必要性や最小権限についても、仕事の内容やジョブローテーションにより役割が変化した場合は、適切なプロビジョニングを行い、「識別、認証、認可」の再割り当てを行い、不要な場合はデプロビジョニングを行う必要があります。実際に業務やITの現場では、一度実装した業務内容やIT環境をそのまま使い続けるということは稀であり、何かしら運用期間中に環境の変化が生じることが必然となります。そのため、CISSP は、「セキュリティの運用」のドメインにおいて、変化する組織の運用環境を適切に維持し続ける運用業務の実装をセキュリティ実務者が活動できる仕組みづくりを行う必要があります。

それでは、金子様のwebinarで紹介されている、「ゼロトラスト実現のセキュリティポスチャ考察」について、解説をしていきたいと思います。まず、「セキュリティポスチャ」という用語を理解する必要がありますが、金子様の解説では、英語の直訳だと、「ポスチャ」は、「体制や姿勢」という表現が一般的であり、webinarでは、体制ということで用語の定義を行っております。僕の理解として、一番しっくりきたのは、webinarの中で、金子様が、「Security posture assessment」の活動として、いわゆる一般的な検疫システムなどにおいては、「監視、把握、検証」を行う際、この「ポスチャ」という用語がでてきますよと解説されておりました。日本では殆ど使用されない用語になりますが、なんらかの活動や運用に必要な体制全般を指していると理解しておけばよいことがわかりました。

僕は「把握」という言葉で「ポスチャ」を捉えることで、現場の状況をセキュリティ実務者が把握し、それをCISOに報告、CISOが把握し、経営陣に報告することで、現場の情報セキュリティの最新状況を経営陣が把握することができるため、動的なリスクに対応ができることが理解できました。余談ですが、CISSP CBKオフィシャルトレーニングで使用するスチューデントガイドの表紙に「security posture」というキーワードが使用されておりますし、日本でも認知度が高くなってきている「cyber security framework」の解説をしている CBK の原文においても、「cyber security posture」として、用語は使われておりますので、グローバルスタンダードとしては、珍しい用語ではありませんので、この機会に用語の定義を覚えてしまいましょう。

Webinar解説に戻りますが、金子様の解説の中で、ゼロトラストアプローチとして、「すべてのデバイス、ユーザー、ネットワークフローに対して認証と許可を行う」ことが必要と解説があり、実現するための1つの手段としてクラウド型の「ID認識型プロキシ」を採用することで、ユーザーがログオン要求を行ったデバイスに対して、企業アプリケーションに接続する前に「デバイスポスチャ」を実行することが可能になるため、例えば、デバイスのOSが必要とするパッチが完全に適用されているか、エンドポイントの設定が正しくかつ最新の状態か、感染したWebサイトにアクセス試行しようとしたか、モバイルデバイスのセキュリティ機能が有効になっているか等を把握することが可能となります。さらに、デバイスポスチャで把握した状態に応じ、組織があらかじめ設定したデバイスのリスク評価レベルに対応したセキュリティポリシーが自動的にデバイスに適用されるため、ハイリスクのデバイスについては、自動的にアクセス自体を遮断することができるようになります。

「デバイスポスチャ」の考え方は、CISSPの「セキュリティの運用」の中で、ライフサイクル期間中に変化する資産状況やパッチ適用状況について、運用期間中においても適切な対応を行わなければならないと共通知識で定義されておりますが、業務やITの使用に関するポリシーとは異なり、資産管理等で要求されるポリシーは、動的に頻繁に更新されることが多いため、例えば、パッチの適用状況がすべてのデバイスに対して完全に最新の状態になっているかどうかを把握する運用を具体的、現実的に実現することは容易ではありません。そのため、「デバイスポスチャ」のような仕組みを、CISSPはセキュリティ実務者が現場でセキュリティの運用を実現できるように実装する必要があります。また、akamaiさんの仕組みの場合、デバイスダッシュボードやデバイスインベントリとレポート機能が存在するため、対応状況の可視化やCSVによるデータエクスポートが行えるところは、実務者やCISOが現況把握しやすく、報告書の作成が容易になります。

「デバイスポスチャ」のようなデバイスのリスク対応については、組織内に検疫ネットワークを構築することで、イントラネット環境に接続した状態で、パッチの適用等が行われる仕組みが普及していますが、ゼロトラストのような VPN接続ではない環境で、ユーザーのデバイスを何のデバイス検証もせず、クラウド上の組織のアプリケーションやインターネット上のWebサイトに接続させている場合、もし、ユーザーのデバイス環境に不備があった場合、Webサイト閲覧中にデバイスのマルウェア感染リスクが高まり、マルウェア感染しているデバイスから要求されたクレデンシャルを認証、認可してしまうことで、マルウェア感染しているデバイスを組織のアプリケーションに接続してしまうリスクが発生する可能性が考えられます。

CISSPの共通知識では、「セキュリティの運用」の中で、運用中に発生するインシデントをどのように検出することができるか理解しておく共通知識が存在します。もし、VPN接続環境で、ユーザーデバイスがマルウェアに感染していた場合、VPN接続環境においては、いったんVPN接続により信頼された組織ネットワークに接続されてしまい、その後、組織内のセキュリティデバイスがマルウェア感染デバイスを検知するかもしれませんが、このような状況では、攻撃者にとって、少しでも攻撃可能な時間を与えてしまう可能性があるため、次なる攻撃に必要となる組織内の情報を偵察され、次なる攻撃リスクが生じる可能性が考えられます。CISSPの考え方としては、セキュリティの運用環境を設計する際、どのような環境で何を検知するかを理解しておかないと、インシデントを検知した時点で、すでに攻撃者に有利な情報を奪われていることもあるということがあることを理解しておく必要があるため、組織の運用環境がどのような境界設計になっているかを理解し、どの境界でどのような識別、認証、認可が行われているかを把握していることが要求されます。

さらに、ラップトップやモバイルデバイスは、持ち運びをしている間、組織内の検疫ネットワークによるセキュリティポリシーの検証が行われないリスクが生じるため、ゼロトラスト環境を構築する組織は、日々脆弱性が発見されるリスクが高まっている情勢を理解し、デバイスポスチャを採用することで、時間とともにリスクが高まる状況に応じたセキュリティ管理策が適用できる運用環境を実装していく必要があります。

また、ゼロトラストにおいては、複数の信頼できないネットワークからの接続要求に対応する必要があるため、静的条件(組織のIPアドレスや従業員自宅のIPアドレス等の信頼された位置情報等)による認証を行うだけではなく、動的条件によるコンテキスト認証を行うことで、認証の精度を高める必要があります。そのため、アイデンティティを検証するためにできるだけ多くの属性を紐付けることで、セキュリティポスチャの粒度を高める仕組み作りが必要なります。例えば、位置情報やログオンの時間帯を把握することで、日本国内からアクセスしていたユーザーが、急に別の国のIPアドレスからアクセスすることや、就業時間以外のアクセス試行が行われた場合は異常ということを検証することができるようになります。このような考え方は、CISSPにおいて、設計と実装については「アイデンティティとアクセスマネジメント」の共通知識として取り扱われておりますが、運用については、「セキュリティの運用」の中で共通知識として取り扱われております。

最後に、僕が、webinarで感じた、ゼロトラストアプローチについて、みなさんと状況を共有したいと思います。ゼロトラストアプローチが普及するにつれ、VPN接続に代表する信頼されたネットワーク接続環境からのアクセスというだけで、信頼性を判断してはならないという考えが普及してきました。そのため、アクセス制御をネットワーク境界に加えて、アイデンティティ境界で実装する組織が増えてきました。このような考え方は、Beyond Coopに始まる、Googleさんの思想やakamaiさんたちのような組織による普及活動が継続的に行われていることが功を奏していますが、依然として、セキュリティ実務者自身の育成やセキュリティ運用環境の整備が後回しにされているのが現状です。

ゼロトラストの構築現場も例外ではないと思いますが、今まで見てきたオンプレミス環境、クラウド環境において、システム実装が適切に行われていたとしても、リスクが動的に変化する状況に柔軟に対応する仕組みと人が存在しない現場が多いと体感してきました。これから、日本においても、Cloud first strategy により、情報システム環境はどんどん自動化することが期待されており、人による決定的なオペレーション介入は低減されると思いますが、何かあったときには、自動決定ではなく、人の判断に基づくオペレーションが必要となりますし、普段から組織の環境を把握する仕組みを支えているのは、まぎれもない現場の実務者になります。

サーバー技術者、ネットワーク技術者、アプリケーション技術者等現場の様々な実務者にとっても、情報セキュリティの知識が体系的に必要な時代になっています。今回のwebinarで、「セキュリティポスチャ」というキーワードを僕自身、改めて見つめなおす機会になりましたので、どのような「セキュリティポスチャ」が最適なのか、知識や技術に加えて、人材についても、今一度考えていきたいと思います。

いかがでしたでしょうか。今回は、「Akamai Technologies 」様のWebinar「ゼロトラスト実現のポスチャー考察&デシリアライゼーション対策の最適解」の中で紹介されていた「ゼロトラスト実現のポスチャー考察」をCISSPの共通知識分野に紐付けて考えてみました。Webinarでは、デシリアライゼーション対策の最適解として、バイナリデータに対する人間のコード可読性に関する脆弱性をデモも交えて詳細な解説が行われております。是非、Webinarを視聴してみてください。なお、以前にもWebinar内で詳細資料をご紹介いただきましたが、さらに充実したゼロトラストへのロードマップの構築方法に関するコンテンツが公開されていますので、文末に※1としてWebサイト記載しておきます。次回の webinarは、2019年12月4日(水) 午後5:00~ 「ID認識型プロキシ(IAP)のユースケース&クライアントサイドアタックの防御戦略」となります。

最後に、ISC2が提供するWebinarは、ISC2メンバーまたはそれ以外の方、どなたでも視聴することができますので、是非、みなさんの組織で有効活用していただきたいと思います。Webinarはオンライン視聴だけではなく、Webinarの講演資料やスポンサー様が公開しているホワイトペーパー等をオフラインで確認することもできますので、お時間があるときにWebinarのトピックをISC2 CBK(共通知識分野)に紐付けて読み解いていくことが可能です。また、ISC2メンバーでない方は、Webinarを通じて、グローバルスタンダードにおけるCBK(共通知識分野)に触れていただければと思います。さらに、興味がわきましたら、CISSPチャレンジセミナー、SSCP 1Day セミナー、(ISC)² Nightにお越しいただけると嬉しいです。

※1 ゼロトラスト・セキュリティ(akamai社Webサイト)