社内のネットワーク環境は安全という考え方を捨て、すべてを信頼しないことをコンセプトとする、「ゼロトラスト」。現時点では「これを導入すればゼロトラスト化は終わり!」という製品はなく、ゼロトラスト化の道のりは長いものです。一方で、これがなければ始まらない!」と言える製品は存在します。それが、IDaaS製品です。
今回は、ゼロトラスト化に向けて何から始めたらいいか分からない、IDaaS製品は導入済みだが使いこなせていない、そんな方に向けて、IDaaS導入によるゼロトラスト化の進め方を解説します。
なぜIDaaS導入がゼロトラストの第一歩なのか
まずは、本記事で導入をすすめているIDaaSとは何を指すか、なぜゼロトラスト化の第一歩がIDaaS導入なのかについて、説明します。
IDaaSとは
IDaaSは、「Identify as a Service」の略であり、IDの管理をクラウドで行えるようにするサービスです。IDaaSに分類される製品は、管理しているIDやパスワードなどの認証情報を用いて、アクセス制御やシングルサインオン(SSO)の機能も提供しています。
ゼロトラスト化の推進にあたり、真っ先に導入すべき製品は、こうしたアクセス制御やSSO機能なども備えたIDaaS製品となります。
ゼロトラスト化におけるIDaaSの重要性
ゼロトラストアーキテクチャのガイドラインであるNIST 800-207に記載がある通り、ゼロトラスト化にあたり最初におさえるべきポイントは、「アクセスを必要とする者にリソースを制限し、業務遂行に必要な最低限の権限を付与すること」です。いわゆる最小権限の原則の徹底ですね。
この徹底したアクセス制御に欠かせないのがIDaaSです。図1の通り、ゼロトラストにもとづいたアクセス制御では、ポリシー決定ポイント(PDP)とポリシー実施ポイント(PEP)が要となります。PDPとPEPは、簡単に言うとアクセス制御をつかさどる門番であり、認証と認可を行うコンポーネントです。
この門番が、最小権限の原則を徹底するために、アクセス元は信頼できる身元であり信頼できる状態にあるか(認証)、信頼度を考慮したうえでリソースへのアクセスを許可できるか(認可)を継続的に評価します。この門番の役割を果たす製品が、IDaaSです。
ゼロトラスト化に必要なIDaaSの機能は?
続いて、IDaaS製品が備える主要機能と、それらがどのようにゼロトラスト化に貢献するのかについてみていきましょう。
① ID管理機能
ID管理機能は、アカウント作成や削除、アカウントに紐付くユーザ情報などを一元管理する機能です。本機能で管理するID情報をもとに、会社で守るべき情報資産にアクセスしてくる主体を識別し、細やかなアクセス制御を実現することができます。
注意点として、定期的にID情報の棚卸しを実施しましょう。認証・認可を正しい情報にもとづいて実施するために、異動や退職などをタイムリーにIDaaSへ反映することは必須です。
② シングルサイオン(SSO)
SSOは、1度の認証で、連携している複数のシステムやアプリケーションにもログインできるようにする機能です。
ゼロトラストにおけるアクセス管理では、ポリシー決定ポイント(PDP)とポリシー実施ポイント(PEP)を担うIDaaS製品が、すべてのアクセスを継続的に制御する必要があります。そのため、各システムやアプリケーションごとにIDやパスワードを作成し、バラバラにアクセス制御を実施する管理は望ましくありません。
近年のIDaaS製品は、クラウド上のアプリケーションだけでなく、オンプレミス環境やIaaS上にある社内アプリに対してもSSOの機能を提供できます。可能な限りIDaaS製品と各システムを連携させ、SSOによってアクセスさせる環境を構築するとよいでしょう。
注意点として、SSOの実装はIDaaSでの認証が強化されていることが大前提です。そのため、IDaaSでは必ず多要素認証やクライアント証明書認証などを有効にしましょう。
③ アクセス制御機能
アクセス制御機能は、あらゆるリソース(アプリやフォルダなど)に対して、アクセス可能なユーザを制限し、許可したユーザのみアクセスできるように制御する機能です。
本機能が、ゼロトラスト化の要となります。極端ですが、すべてのユーザに対して、すべてのシステムに管理者権限を付与するポリシーを設定していたら、IDaaS製品を導入した意味がありません。最小権限の原則を意識して、ユーザの属性やアクセス元のIPアドレスなどに応じて、業務上必要なシステムにのみアクセスを許可するポリシーを設計してください。
IDaaS導入後に実施すること
最後は、CISAのゼロトラスト成熟度モデルにもとづいて、IDaaS導入後に具体的に何を実施すべきか説明します。
CISAのゼロトラスト成熟度モデルとは
CISA(Cybersecurity and Infrastructure Security Agency)のゼロトラスト成熟度モデルは、ゼロトラストアーキテクチャ構築のロードマップを示したモデルです。「データ」「アイデンティティー」「デバイス」「ネットワーク」「ワークロード」の5つの柱について、各成熟度レベルで対応すべき事項が整理されています。
IDaaS製品の活用という観点では、「アイデンティティー」の柱を参考にして、対応すべきことを整理しましょう。
なお、ゼロトラスト成熟度モデルの原本は、以下リンクをご参照ください。
CISA’s Zero Trust Maturity Model
https://www.cisa.gov/resources-tools/resources/zero-trust-maturity-model
IDaaS活用のファーストステップ
本記事は、ゼロトラスト化の第一歩をテーマとしているため、ゼロトラスト成熟度モデルのうち、「初期」にあたる対応事項に焦点をあてて説明します。
IDaaS導入後、真っ先にやるべきことは、以下4点です。
- パスワードによるMFAの導入
- 自己管理型およびホスト型アイデンティティ・ストアの導入
- マニュアルによるアイデンティティのリスクアセスメントの実施
- 自動レビューでアクセス権が失効する仕組みの実装
1. パスワードによるMFAの導入
本項目は、多要素認証(MFA)の有効化を指します。社員だけでなく、業務委託社員やゲストユーザに対してもMFAを適用しましょう。
2. 自己管理型およびホスト型アイデンティティ・ストアの導入
本項目は、オンプレミスおよびクラウドでのID管理の実施を指します。オンプレミス環境にID管理システムを構築済みの場合、クラウドへの完全移行はコストや業務影響を踏まえると難しいですよね。そのため、まずはオンプレミスとクラウドを連携してID管理を実施する、ハイブリッド環境を目指しましょう。
3. マニュアルによるアイデンティティのリスクアセスメントの実施
本項目は、事前に設定したポリシーなどにもとづいた、アカウントのリスク評価の実施を指します。ゼロトラスト環境では、アクセス元が社内か社外かに関わらず、すべてのアクセスについてユーザのリスクを評価した上で、アクセスを許可します。
まずは、最低限のリスクがあるアクセスを排除するために、アクセス元のIPアドレスやユーザの属性情報、端末情報などを用いてアクセス元とアクセス先を制限するポリシーを設計し、実装しましょう。
4. 自動レビューでアクセス権が失効する仕組みの実装
本項目は、アクセス権の付与時には条件を設けて、条件に適合しなくなった場合は自動的にアクセス権を失効させる仕組みの導入を指します。
異動や退職に応じてアクセス権をタイムリーに付け替えることはもちろん、管理者権限をもつ特権アカウントについては可能な限り利用期限を設け、期限が切れ次第権限を剥奪する運用を目指しましょう。
まとめ
ゼロトラスト化の実現にあたり、IDを一元管理し、細やかに認証・認可を制御できるIDaaS製品の導入は欠かせません。
IDaaS製品導入後は、ID管理機能だけでなく、MFA、SSO、ポリシーでのリスク評価、アクセス権のレビューといった複数機能を活用し、ゼロトラストへの移行を進めていきましょう。