ゼロトラスト時代のセキュリティ対策:NIST SP800-207で学ぶ

ゼロトラスト時代のセキュリティ対策:NIST SP800-207で学ぶ

セキュリティを知りたい

先生、「NIST SP800-207」って、何だか難しそうでよくわからないんです。簡単に説明してもらえますか?

セキュリティ研究家

「NIST SP800-207」は、簡単に言うと、コンピューターのセキュリティをすごく強化するためのガイドラインなんだ。アメリカが作ったもので、世界中で参考にされているんだよ。

セキュリティを知りたい

セキュリティを強化するためのガイドラインは他にもあるんですか?

セキュリティ研究家

たくさんあるけど、「NIST SP800-207」は特に「ゼロトラスト」って考え方が重要なんだ。これは、昔のように会社の中だけ安全と思わずに、常に誰も信用せず、しっかり確認してから接続するって考え方だよ。

NIST SP800-207とは。

セキュリティ対策を強化するための知識として、『NIST SP800-207』について説明します。NISTとは、アメリカ国立標準技術研究所のことで、SP800シリーズは、NISTが発行しているコンピューターセキュリティに関するガイドラインです。アメリカの政府機関がセキュリティ対策を行う際に役立てることを前提にまとめられており、必要な機器やシステムを調達する際の要件として、SP800シリーズが基準として明記されることがあります。

NIST SP800-207は、正式にはNIST Special Publication 800-171 Revision1といい、ゼロトラスト・アーキテクチャと呼ばれるセキュリティ対策の考え方について書かれており、2020年8月に正式なものが公開されました。この文書では、ゼロトラストの基本的な考え方や、ゼロトラスト・アーキテクチャを構築するための要素、導入するときの例、具体的な使用例、考えられる脅威、従来のセキュリティ対策からの移行方法などがまとめられており、ゼロトラスト・アーキテクチャについて深く理解できる内容となっています。

さらに、付録では、ゼロトラスト・アーキテクチャに移行するために、従来の境界型のネットワーク構成にゼロトラスト・アーキテクチャを導入する手順や、リスク評価の際に考慮すべき点、解決策を選ぶ際に必要な視点などが解説されています。

なお、NIST SP800シリーズの一部は、IPA(情報処理推進機構)のウェブサイトで日本語に翻訳されたものが公開されており、SP800-207も2020年12月に翻訳版が公開されています。

従来の境界防御の限界

従来の境界防御の限界

– 従来の境界防御の限界

インターネットの普及は、私たちの生活を大きく変えました。企業活動においても、その影響力は計り知れません。しかし、それと同時に、ネットワークの複雑化という新たな課題も浮上してきました。

従来のセキュリティ対策は、社内ネットワークと外部ネットワークを明確に区別し、その境界にファイアウォールなどの防御壁を築くことで、外部からの侵入を防ぐことを主眼としてきました。しかし、この方法は、社内からの攻撃や、一度侵入を許してしまうと内部で被害が拡大してしまうリスクに対応できません。

例えば、悪意のある第三者が、従業員の不注意を突いたフィッシング詐欺などで認証情報を盗み出し、社内ネットワークに侵入するケースが挙げられます。また、近年では、標的型攻撃のように、特定の組織を狙い、時間をかけて入念な準備を行う巧妙な攻撃も増加しています。このような攻撃に対して、従来の境界防御だけでは、万全な対策を講くことは難しいと言わざるを得ません。

さらに、クラウドサービスの利用やモバイルデバイスの普及など、企業ネットワークの範囲は、従来のように明確に線引きすることが難しくなってきています。このような状況下では、境界そのものを明確にすることが困難であり、従来型の防御策は、その効果を発揮することが難しくなっていると言えるでしょう。

従来の境界防御の課題 具体的な例
社内からの攻撃に対応できない 従業員の不注意によるフィッシング詐欺など
侵入を許すと被害が拡大するリスク 標的型攻撃のような時間をかけて入念に行われる攻撃
境界そのものを明確にすることが困難 クラウドサービスの利用やモバイルデバイスの普及

ゼロトラスト・アーキテクチャとは

ゼロトラスト・アーキテクチャとは

– ゼロトラスト・アーキテクチャとは

従来のセキュリティ対策では、組織のネットワーク境界を城壁のように固め、外部からの侵入を防ぐことに重点が置かれていました。しかし、クラウドサービスの普及やモバイルワークの増加に伴い、ネットワーク境界は曖昧になり、従来型の防御では限界を迎えています。

このような背景から生まれたのがゼロトラスト・アーキテクチャです。この新しいセキュリティモデルは、「決して信用せず、常に検証する」という原則に基づいています。つまり、社内ネットワークに接続しているデバイスやユーザーであっても、常にアクセス制御と認証を厳格に行うことで、セキュリティレベルを向上させようという考え方です。

具体的には、ユーザーやデバイス、アプリケーション、データなどの要素を全て洗い出し、それぞれに対して適切なアクセス権限を設定します。そして、アクセス要求が発生するたびに、その都度認証を行い、アクセス権限の確認を行います。このプロセスを自動化し、リアルタイムで制御することで、不正アクセスを未然に防ぐことができます。

ゼロトラスト・アーキテクチャ導入の指針となるのが、米国国立標準技術研究所(NIST)が発行する「NIST SP800-207」です。この文書では、ゼロトラスト・アーキテクチャの概念や構成要素、導入シナリオなどが詳しく解説されており、ゼロトラスト導入を検討する組織にとって必読の資料と言えるでしょう。

項目 内容
従来型セキュリティの課題 クラウドサービスの普及やモバイルワークの増加により、ネットワーク境界が曖昧になり、従来の境界防御が困難に。
ゼロトラスト・アーキテクチャとは 「決して信用せず、常に検証する」を原則とした新しいセキュリティモデル。社内ネットワークに接続しているデバイス/ユーザーであっても、常にアクセス制御と認証を厳格に行う。
具体的な対策 – ユーザー/デバイス/アプリケーション/データなどを洗い出し、それぞれに適切なアクセス権限を設定
– アクセス要求ごとに認証を行い、アクセス権限を確認
– プロセスを自動化しリアルタイムで制御
導入指針 NIST(米国国立標準技術研究所)発行の「NIST SP800-207」

NIST SP800-207の内容

NIST SP800-207の内容

– NIST SP800-207の内容

NIST SP800-207は、従来の境界防御型セキュリティ対策の限界を踏まえ、ゼロトラストという新しいセキュリティの概念に基づいた、より強固なセキュリティ対策を実現するための指針を示したものです。

この指針の中核となるのは、以下の7つの原則です。

1. -あらゆるリソースへのアクセスを検証・承認する-
システムやアプリケーション、データへのアクセスは、ユーザーやデバイスの種類を問わず、常に信頼性を検証し、許可されたアクセスのみを承認します。決して無条件に信頼してはいけません。

2. -最小権限の原則を徹底する-
ユーザーアカウントに対して、業務に必要な最小限の権限のみを付与します。これは、アカウントの有効期間全体を通して適用する必要があります。これにより、万が一、不正アクセスが発生した場合でも、被害を最小限に抑えられます。

3. -データへのアクセスを監視・分析する-
データへのアクセスは常に監視し、アクセス状況を記録、分析します。これにより、異常なアクセスや行動を迅速に検出し、適切な対応をとることができます。

4. -全てのデータを機密情報として扱う-
すべてのデータは機密情報になり得ると考え、適切なセキュリティ対策を講じる必要があります。 データの暗号化やアクセス制御など、機密性に応じた保護対策を実施します。

5. -多層防御の仕組みを構築する-
単一のセキュリティ対策に頼るのではなく、複数のセキュリティ対策を組み合わせることで、より強固な防御体制を構築します。

6. -セキュリティ体制を継続的に改善する-
脅威は常に進化するため、セキュリティ対策も継続的に見直し、改善していく必要があります。定期的な脆弱性診断やセキュリティ監査などを実施し、最新の情報に基づいた対策を講じることが重要です。

7. -インシデント対応計画を策定・訓練する-
万が一、セキュリティインシデントが発生した場合に備え、適切な対応手順を定めた計画を策定しておくことが重要です。また、計画に基づいた訓練を定期的に実施することで、対応力の向上を図ります。

これらの原則を基に、組織はゼロトラストアーキテクチャを実現し、より強固なセキュリティ体制を構築することができます。

NIST SP800-207 ゼロトラストの7原則 内容
1. あらゆるリソースへのアクセスを検証・承認する システムやアプリケーション、データへのアクセスは、ユーザーやデバイスの種類を問わず、常に信頼性を検証し、許可されたアクセスのみを承認します。決して無条件に信頼してはいけません。
2. 最小権限の原則を徹底する ユーザーアカウントに対して、業務に必要な最小限の権限のみを付与します。これは、アカウントの有効期間全体を通して適用する必要があります。これにより、万が一、不正アクセスが発生した場合でも、被害を最小限に抑えられます。
3. データへのアクセスを監視・分析する データへのアクセスは常に監視し、アクセス状況を記録、分析します。これにより、異常なアクセスや行動を迅速に検出し、適切な対応をとることができます。
4. 全てのデータを機密情報として扱う すべてのデータは機密情報になり得ると考え、適切なセキュリティ対策を講じる必要があります。データの暗号化やアクセス制御など、機密性に応じた保護対策を実施します。
5. 多層防御の仕組みを構築する 単一のセキュリティ対策に頼るのではなく、複数のセキュリティ対策を組み合わせることで、より強固な防御体制を構築します。
6. セキュリティ体制を継続的に改善する 脅威は常に進化するため、セキュリティ対策も継続的に見直し、改善していく必要があります。定期的な脆弱性診断やセキュリティ監査などを実施し、最新の情報に基づいた対策を講じることが重要です。
7. インシデント対応計画を策定・訓練する 万が一、セキュリティインシデントが発生した場合に備え、適切な対応手順を定めた計画を策定しておくことが重要です。また、計画に基づいた訓練を定期的に実施することで、対応力の向上を図ります。

ゼロトラスト導入のメリット

ゼロトラスト導入のメリット

– ゼロトラスト導入のメリット近年、企業において、情報漏えいや不正アクセスといったセキュリティ上の脅威への対策がますます重要となっています。従来型の境界防御では、もはや十分な安全性を確保することが難しくなってきており、新たなセキュリティ対策の考え方が求められています。そこで注目されているのが、「ゼロトラスト」という考え方です。この章では、ゼロトラストを導入することで、企業にもたらされるメリットについて詳しく解説していきます。ゼロトラストとは、「何も信頼せず、すべてを検証する」というセキュリティ対策の考え方です。従来型の境界防御では、社内ネットワークと社外ネットワークの境界にファイアウォールなどのセキュリティ対策を集中させていましたが、ゼロトラストでは、社内ネットワークに接続するすべての端末やユーザーに対して、アクセス制御や認証を行います。ゼロトラストを導入することで、具体的には以下のようなメリットが期待できます。* -セキュリティ侵害のリスク軽減- ゼロトラストでは、すべてのアクセスに対して認証と認可を行うため、不正アクセスのリスクを大幅に減らすことができます。たとえ攻撃者が社内ネットワークに侵入できたとしても、アクセス権限がない限り、重要な情報にはアクセスできません。* -データ保護の強化- ゼロトラストでは、データへのアクセスを厳格に管理するため、情報漏えいのリスクを低減することができます。アクセス権限は必要最低限に設定され、アクセスログも取得されるため、万が一情報漏えいが発生した場合でも、迅速な原因究明と対策が可能です。* -コンプライアンスへの対応強化- 個人情報保護法やGDPRなど、企業が遵守すべき法令や規制はますます厳格化しています。ゼロトラストは、データへのアクセス制御を強化することで、これらの法令や規制への対応を強化することができます。* -IT運用管理の効率化- ゼロトラストでは、アクセス制御を一元管理できるため、IT運用管理の効率化を図ることができます。また、クラウドサービスの利用拡大に伴い、社外からのアクセスが増加していますが、ゼロトラストでは、場所を問わずセキュアなアクセス環境を提供することができるため、テレワークなどの柔軟な働き方にも対応しやすくなります。このように、ゼロトラストを導入することで、企業はセキュリティリスクを低減し、安全なIT環境を実現することができます。

メリット 説明
セキュリティ侵害のリスク軽減 すべてのアクセスに対して認証と認可を行うため、不正アクセスのリスクを大幅に減らすことができます。たとえ攻撃者が社内ネットワークに侵入できたとしても、アクセス権限がない限り、重要な情報にはアクセスできません。
データ保護の強化 データへのアクセスを厳格に管理するため、情報漏えいのリスクを低減することができます。アクセス権限は必要最低限に設定され、アクセスログも取得されるため、万が一情報漏えいが発生した場合でも、迅速な原因究明と対策が可能です。
コンプライアンスへの対応強化 個人情報保護法やGDPRなど、企業が遵守すべき法令や規制はますます厳格化しています。ゼロトラストは、データへのアクセス制御を強化することで、これらの法令や規制への対応を強化することができます。
IT運用管理の効率化 アクセス制御を一元管理できるため、IT運用管理の効率化を図ることができます。また、クラウドサービスの利用拡大に伴い、社外からのアクセスが増加していますが、ゼロトラストでは、場所を問わずセキュアなアクセス環境を提供することができるため、テレワークなどの柔軟な働き方にも対応しやすくなります。

ゼロトラスト導入の検討ポイント

ゼロトラスト導入の検討ポイント

– ゼロトラスト導入の検討ポイント

近年、企業の機密情報や個人情報が狙われる事件が後を絶ちません。こうした脅威から貴重な情報を守るため、従来型の境界防御に加えて、新たなセキュリティ対策としてゼロトラスト・アーキテクチャが注目されています。

ゼロトラストとは、『何も信用せず、常に検証する』という原則に基づいたセキュリティ対策です。従来型の境界防御では、社内ネットワークに接続している機器やユーザーを信用していましたが、ゼロトラストでは、社内外、場所を問わず、すべてのアクセスに対して認証と認可を要求します。

ゼロトラスト・アーキテクチャを導入する際には、既存のIT環境やセキュリティ対策を大きく変える可能性があるため、以下のポイントを検討する必要があります。

-1. 現状分析-
まずは、現状における自社のIT環境やセキュリティ対策を把握することが重要です。具体的には、どのような情報資産があり、どのような経路でアクセスされているのか、現状のセキュリティ対策でどのようなリスクが考えられるのかなどを洗い出す必要があります。この現状分析を基に、ゼロトラスト導入の必要性や課題を明確化します。

-2. ロードマップ作成-
ゼロトラスト導入は、一足飛びに実現できるものではありません。現状のシステムや運用の変更が必要になる場合もあるため、段階的に導入していく計画を立てることが重要です。優先順位を決め、まずは重要な情報資産から対策していくなど、自社にとって最適なロードマップを作成しましょう。

-3. ツール選定-
ゼロトラストを実現するためには、さまざまなセキュリティ製品やサービスを組み合わせて利用する必要があります。多要素認証、アクセス制御、ログ分析など、様々な機能を持つツールが存在するため、自社の要件に合った製品を選定することが重要です。

-4. 運用体制の整備-
ゼロトラスト・アーキテクチャは、導入して終わりではありません。導入後も、適切に運用していくための体制やルールを整備する必要があります。例えば、アクセス権限の見直しやログの監視など、継続的な運用が必要です。また、いざというときに備え、インシデント対応の計画を立てておくことも重要です。

検討ポイント 詳細
現状分析 – 既存のIT環境、セキュリティ対策の把握
– 情報資産の洗い出し、アクセス経路の確認
– 現状のリスク分析
– ゼロトラスト導入の必要性、課題の明確化
ロードマップ作成 – ゼロトラスト導入の段階的な計画
– 優先順位に基づいた導入対象の決定
– 最適なロードマップの作成
ツール選定 – 多要素認証、アクセス制御、ログ分析など、機能要件に合致した製品の選定
運用体制の整備 – 導入後の運用ルール、体制の整備
– アクセス権限の見直し、ログ監視などの継続的な運用
– インシデント対応計画の策定

まとめ

まとめ

昨今、企業活動において情報システムは欠かせないものとなり、多くの機密情報がネットワーク上を流れるようになりました。それと同時に、サイバー攻撃の手口はますます巧妙化しており、従来型の境界防御だけでは、組織の安全を完全に守ることは困難になっています。
このような状況下において、注目されているのがゼロトラスト・アーキテクチャです。
従来型のセキュリティ対策では、組織のネットワーク内部は安全であると仮定し、外部からの侵入を防ぐことに重点を置いていました。しかし、ゼロトラスト・アーキテクチャでは、ネットワークの内外を問わず、全てのアクセスを信頼しないという原則に基づいてセキュリティ対策を行います。
具体的には、アクセスするユーザーやデバイスの認証を厳格化すること、アクセス権限を必要最小限に制限すること、ログを取得して常に監視体制を強化することなどが挙げられます。
ゼロトラスト・アーキテクチャを実現するためのフレームワークとして、米国国立標準技術研究所(NIST)が発行しているNIST SP800-207は重要な指針となります。この文書では、ゼロトラストの概念、原則、アーキテクチャ、導入に関するガイダンスなどが詳しく解説されています。
さらに、独立行政法人 情報処理推進機構(IPA)のウェブサイトでは、NIST SP800-207の日本語訳版が公開されており、内容をより深く理解することができます。
ゼロトラスト・アーキテクチャは、決して容易に実現できるものではありませんが、今日の複雑化する脅威から組織を守るためには、必要不可欠な考え方と言えるでしょう。

項目 内容
従来型のセキュリティ対策 – 組織のネットワーク内部は安全と仮定
– 外部からの侵入を防ぐことに重点
ゼロトラスト・アーキテクチャ – ネットワークの内外を問わず、全てのアクセスを信頼しない
– アクセスするユーザーやデバイスの認証を厳格化
– アクセス権限を必要最小限に制限
– ログを取得して常に監視体制を強化
関連情報 – ゼロトラスト・アーキテクチャ実現のためのフレームワーク:NIST SP800-207
– NIST SP800-207 日本語訳版:IPAウェブサイト
タイトルとURLをコピーしました