ゼロトラストネットワークアクセス(ZTNA)の導入前にそもそも考えるべきこと
ゼロトラストネットワークアクセス(ZTNA)の前にゼロトラストとは何だったのか
ゼロトラストは情報セキュリティを考える上での1つの概念であり、2010年に米国の調査会社であるForrester Research社によって提唱されました。
日本においてゼロトラストセキュリティは2020年、コロナ禍でリモートワークが強く推進されたのに伴ってバズワード化しており、すでに一般化している概念となるため、簡単に定義の確認をしたいと思います。
境界型防御である「信頼せよ、されど検証せよ (Trust, but verify)」ではなく、ゼロトラストは文字通り「決して信頼せず、常に検証せよ(Verify and NeverTrust)」というアーキテクチャ(設計概念)です。
ゼロトラストが世の中に大きく普及したのはオーロラ作戦です。国家関与とされるサイバー攻撃集団が数十にも及ぶ米国の主要企業に攻撃を仕掛けました。
その中でもGoogleが被害に遭い、特定の国家を非難したことはあまりにも有名です。その後2014年にGoogleはBeyondCorpというゼロトラストアーキテクチャを採用したセキュリティフレームワークを発表し、これによってゼロトラストセキュリティは大きな注目を浴び始めました。
そして、2020年にNIST(National Institute of Standards and Technology:米国立標準技術研究所)が発行するレポートである「SP 800-207 Zero Trust Architecture」によって具体的なガイドラインが策定され基礎知識や実装への道のりをより具体化して理解できるようになってきました。
しかし、あくまでもガイドラインは設計指針であり、どのような製品を買えば良いということではなく、目指すべき姿を示しています。
まず理解するべきなのは、ゼロトラストは商品ではないということです。
そして、ゼロトラストを参考にするのであれば、現状では完璧なゼロトラストを実現する製品はないこと、現実として部分的に何をしていくかを検討することが必要です。
最終的なゼロトラストの目標を目指し、自分たちには今何が足りないのかを考え、既存の製品では何ができず、新しい製品ではどこまで何ができるのか理解して、製品選定もしくはシステムの改修を行っていく必要があります。
ゼロトラストネットワークアクセス(ZTNA)とは
ZTNA(Zero Trust Network Access)はGartnerが提唱している、アプリケーション(ゼロトラストとしてはリソース)へアクセスする際に、ID、コンテキスト、ポリシーを確認し、特定のネットワークしかアクセスさせない手法を実現することができる製品またはサービスを指します。
ZTNAはVPNの代替として導入されることが多く、セキュリティの向上を目的としているケースが多くあります。
SP 800-207ではリソースにアクセスする際に、ポリシー実施ポイント(PEP)、ポリシー決定ポイント(PDP)により、ユーザーが必要最低限の企業リソースにアクセスすることができる構成をゼロトラストアクセスとして記載されています。
画像:NIST SP800-207 Zero Trust Architecture (引用元:https://csrc.nist.gov/pubs/sp/800/207/final)
この構成を実現するために導入される製品がゼロトラストネットワークアクセス(ZTNA)になるのですが、ZTNAでは構成が少し変わります。
画像:ZTNAの基本アーキテクチャ
リソースへのアクセスを行うためにコネクターが配置されます。
このコネクターは内から外への通信経路を確立するため、外部からの攻撃に合うことがありません。
端末からのアクセスはL3通信を実現できるトンネルモードとエージェントを必要としないプロキシモードを提供します。
ユーザーのディレクトリ情報をIdPから取得し、認証時にはMFAも組み合わせる事が多いです。
本構成により、適切なユーザーが必要最低限のリソースのみにアクセスすることができるようになり、ゼロトラストアクセスを実現することができるようになります。
ゼロトラストネットワークアクセス(ZTNA)を自分たちで構築する
あくまでもゼロトラストは概念であるという考え方を理解しておけば、自分たちでシステムに必要なセキュリティ要件を構築することも可能です。
例えば、Nginx Plusの機能を利用して、リバースプロキシへの接続時にSAML認証を付与する構成もゼロトラストアクセスとして実装することもできます。
画像:Nginx Plusを利用したゼロトラストアクセス構成例
リソースへの通信暗号化:HTTPS
接続時の認証:IdP、MFA
認証の条件:コンディショナルアクセス(IdP)
接続先の制限:ロールベースアクセス(IdP)
トンネル機能はありませんが、必要最低限の構成と投資額でリソースへのアクセス権限を最小化することができます。
このようにあくまでもゼロトラストは概念であることを念頭に置き、自分たちのシステムへのアクセスはどのようにして保護したいのかをまず考えていくことがゼロトラストの最初のステップです。
実際にはさらに詳細な内容を落とし込む必要がありますが、システムの公開構成を文書化し、必要な情報を整理していくことが重要です。
システムをインターネットに公開し、HTTPSにて接続させることで通信経路を暗号化します。
公開するシステムはマイクロサービス化し、システム単位で公開します。
外部から内部への通信でロードバランサーなどを経由する際には、サーバーへのアクセス経路を絞りマイクロセグメンテーションを行います。
Active Directoryをユーザーの情報元として、適切な組織、部署のロールを付与し、その情報はIdPと連携します。
システムとIdPはSAML連携を行うことで認証情報のやり取りを実現します。
システム側はリバースプロキシを前段に設置し、SAML SPとして動作させます。
IdPではロールベースアクセスを導入し、必要なサービスのみの認証を許可するようにします。
IdPでの認証時にはデバイスの健全性を確認するようにします。
信頼できるセッション時間は極力短くします。
外部公開ではログインページへの脆弱性攻撃などを受ける可能性があるため、WAFを検討します。
あくまでも考える一例ですが、セキュリティベンダーのF5が公開しているホワイトペーパー「ゼロ トラスト セキュリティ:ゼロ トラストが重要な理由(そして単なるアクセスにとどまらない理由)」でも「Why (なぜ)から始めるべき」だと訴えています。これはあくまでも考え方の一例ですが、ZTNAも自分たちで作っていくもので、外部の人が作るものではありません。
ディレクトリ情報の精査、適切なリソースへの最小限のアクセス権限は何かなど、ZTNAを導入する前にやるべきことがあるのを理解しておく必要があります。
ZTNAを導入したとしても、すべてのリソースがすべての人にアクセス可能という設計はできてしまいます。
製品はあくまでも目的を達成するための道具であり、製品を購入しただけではゼロトラストは実現されません。
「Why(なぜ)」ゼロトラストを実装しなければならないのかを理解した上で製品を利用することで、本来目指すべきゼロトラストへの実装を行うことができます。
Akamai Enterprise Application Access(EAA)とは
Akamaiでは、ゼロトラストネットワークアクセス(ZTNA)の製品として、Enterprise Application Access(EAA)を提供しています。
これは、ZTNA と IAP(Identity Aware Proxy) の機能を備えた製品となります。
特に、システムの改修ができないレガシーな構成に対してEAAを導入することで、インターネット経由でゼロトラストアクセスを実現します。
EAAの特徴としては、IAP方式でサービスを提供しますが、クライアントにエージェントをインストールするものと、エージェントレスのどちらとも利用することができます。
認証はどちらとも同じとなっており、ユーザーとアクセスする先のシステムを適切な権限のみに絞ることができます。
また、外部IdPとの接続もできますが、EAAはIdPとMFA機能も提供しています。
ZTNAを導入したいが取引先や協力会社にも提供したい場合など、外部IdPを利用した際にライセンス費が高騰してしまうケースなどに費用を抑えられる機能です。
システムへの通信はConnectorを設置することで実現しますが、内部から外部へTLSを接続するため外部からの通信許可を行う必要がありません。これにより、外部からの脆弱性攻撃を回避することができます。
EAA はより低コストでゼロトラストアクセスを実現できる製品です。
ゼロトラストネットワークアクセス(ZTNA)も万能ではない
ZTNAのメリットや機能を紹介してきましたが、ZTNAも万能ではなく、弱点もあります。それは、ポリシー実行ポイントはクラウドプラットフォームを経由するという部分です。
VPNの場合には、端末はインターネット経由で直接VPN機器に接続しますが、ZTNAはクラウドを経由することでリソースに接続するまでのホップ数が増えます。
そのため、通信速度、レイテンシーがVPNよりは遅延する可能性があります。
導入する際には、どこのリージョンにPoPがあるのか確認することをおすすめします。
また、ZTNAのほとんどのサービスはバックコネクションの通信が行えません。
これは仕組みとしてリソースから端末への通信接続手段がないためです。
そのため、サーバーからクライアントへの通信を必要とする、FTPのアクティブモードには対応していません。
ZTNAの特徴を理解した上で導入をしていただくことで、機能への期待値のズレも解消していくことができます。
もしゼロトラストへの進め方でお悩みであれば
Akamaiでは、ゼロトラスト化を支援していくための日本独自の取り組みとして、「Zero Trust Maturity Model(ZTMM)アセスメントサービス」を提供を開始しました。
本サービスは、2023年4月にCISA(Cybersecurity and Infrastructure Security Agency)(サイバーセキュリティー・インフラセキュリティー庁)から発表された「ZTMM V2.0」を活用し、ゼロトラスト実践に向けた現状把握を支援することができます。米国ではユーザー企業が直接ZTMMを参照して評価していることもあり、米Akamaiはこうしたサービスを提供していませんが、日本では「英語の原文質問票の理解が難しい部分がある」「適切な日本語訳・意訳版がない」といった事情であまり活用されていない状況がありました。
そこで、「ZTMM V2.0」の質問シートを翻訳/意訳した日本版質問シートを提供し、ユーザー企業が同シートを活用して自身でチェックする「セルフプラン」を利用できるほか、弊社Professional Serviceの支援を受けられる「ライトプラン」「スタンダードプラン」といった有償メニューを提供し、ゼロトラスト化に向けた支援が行えるようになりました。
まとめ
ゼロトラストを目指していく上で、ゼロトラストネットワークアクセス(ZTNA)はごく一部の機能を提供しているにすぎません。
そして、ただ導入するのではなく、どのように導入するかが重要です。
例えば、ZTNAはあくまでもレガシーなシステムに対するセキュリティを強化する手段として利用し、システム改修が許されるならそもそもSAML連携できるWebブラウザ経由でアクセスできるように改修するなどの導入方法を決め、ZTNAを活用していくことが求められます。
もしゼロトラストの推進に迷いがあれば、ぜひ「Zero Trust Maturity Model(ZTMM)アセスメントサービス」もご検討いただき、正しいゼロトラストの道のりを理解していっていただければと思います。
Akamai はCDN、セキュリティ、クラウドサービスを通じ、オンラインライフの力となり守っています。本稿でご紹介したような課題やご相談があれば、お気軽にお問い合わせください。
