[IT Leaders Tech Strategy LIVE ゼロトラストへのシフトを急げ!]

セキュリティのみに注力するなかれ〜利便性を犠牲にしないゼロトラスト導入法とは

2021年9月7日(火)

従来からの境界型防御が機能しにくくなる中で、新たなセキュリティの考え方である「ゼロトラスト」が注目を集めている。ただし、ゼロトラストはその仕組みからユーザーの利便性が低下する懸念もある。Splunk Services Japanのスペシャライゼーション・グループでセキュリティ・スペシャリストを務める矢崎誠二氏は、2021年7月28日にオンライン開催された『企業ネットワーク/セキュリティの新原則「ゼロトラスト」へのシフトを急げ!』(主催:インプレス IT Leaders)のセッションで、利便性を犠牲にしないゼロトラスト導入アプローチを教示した。

ゼロトラストでセキュリティは高められる反面で

 従来からのいわゆる「境界型防御」に代わるセキュリティの考え方として、「ゼロトラスト」がにわかに注目を集めている。クラウド利用やリモートワークの急速な広がりを背景に、社内外の境界で外部からの攻撃を防御することが年々、困難さを増す中、「ユーザーやデバイスを信頼しない」ことを基本に、社内アプリやデータへの全アクセスをポリシーベースで認証する新たなアプローチにより、より強固なセキュリティを実現できるとの期待が背景にある。

 ただし、ゼロトラストには課題も指摘されている。ユーザーの利便性が犠牲になりかねないことだ。

 ゼロトラストの実施形態はさまざまだが、たとえばポリシーエンジンで社員のリスクスコアを評価している場合、アクセス先がポリシーのホワイトリストから外れていれば、たとえ操作に悪意がなくても社員のリスクスコアが上昇する。

 ここで考慮すべきなのが、社員は通常業務として社内外の多様なアプリやシステムへのアクセスが求められることだ。そのため、知らぬ間に許可されていない通信を行い、結果、スコアが閾値を超えてしまうことで、社内システムやデータが利用できなくなる問題が実際に生じている。

 Splunk Services Japanのスペシャライゼーション・グループでセキュリティ・スペシャリストを務める矢崎誠二氏は、「ゼロトラストの“肝”は、従業員が社内リソースにアクセスする必要性の評価と、接続に足る信頼を備えていると判断するための条件設定にあります。両者の間に整合性が取れていなければアクセスに各種の不具合が生じ、従来より生産性が低下する事態も招きかねないのです」と警鐘を鳴らす。

Splunk Services Japan合同会社 スペシャライゼーション・グループ セキュリティ・スペシャリスト 矢崎 誠二氏

アクセスを網羅的に計測する仕組みの作り方

 では、どうすれば適切な判断が可能になるのか。ゼロトラストを提唱した調査会社の米フォレスター・リサーチは、構成要素として以下の7項目を提示している。

1. データ
2. ネットワーク
3. ピープル
4. ワークロードとアプリ
5. デバイス
6. 可視性と分析
7. SOAR(Security Orchestration,Automation and Response)

 「このうち、1〜5はデータを収集し分析する対象です。そして、システム全体を俯瞰して整合性の取れた判断を行うには、分析基盤である6、7により、“誰/何”が“どこ”に“どうやって”アクセスするかを網羅的に計測する仕組み作りが鍵を握ります」(矢崎氏)。

 その支援で業界を牽引するのが、あらゆる社内の構成要素からデータを収集し分析する基盤製品「Splunk」を中核に、分析主導型SIEMである「Splunk Enterprise Security」、タスクの自動化などによりセキュリティオペレーションの最適化を図るSOAR製品「Splunk SOAR (旧:Phantom)」の3層構造のソリューションを提供するSplunk Security Suiteだ。

Splunk Securityポートフォリオ
拡大画像表示

 矢崎氏によると、ゼロトラストの実装は、
①既存環境を踏まえたポリシーエンジンの「対象領域の決定」
②リスク範囲を定義するためのデータ領域を含めた、コントロールプレーンとエンフォーサ間の「ポリシー設計」
③テスト環境や移行環境、本番環境で問題やリスクの発生を確認しながらの「ゼロトラストの実現」

の3つのステップを柱に進められるという。

ゼロトラスト実装までのアプローチは3つのステップで進められる
拡大画像表示

 このうち①では、Splunkのエコシステムで提供される数千以上のアプリとアドオンが、オンプレとクラウド双方の5つの分析対象から、エージェントの利用の有無を問わないデータ収集を通じて、環境内に存在するコンポーネントと、ゼロトラストで保護する領域を把握し、ポリシーエンジンの連動範囲を見極める。

 「データの収集抜けがあるとセキュリティに穴が生じてしまいます。その点、Splunkでは、エージェント利用時にはロードバランシングや帯域制御、エージェントレスの場合には標準TCP/UDPや固有APIにより、あらゆる環境に対応したシステムに負荷をかけないデータの収集と転送を実現しています」(矢崎氏)。

システムに負荷をかけないデータ転送を実現
拡大画像表示

あらゆるデータに対応するゼロトラストの監視基盤

 次の②は、「ゼロトラストの中核」(矢崎氏)だ。実施内容は、①で収集されたデータに基づく、「デバイス認証」や、CMDB(Configuration Management Database、構成管理データベース)などの「インベントリ」、ローカル/リモートで継続的に測定される「信用」、端末の「ソフトウェア」、位置情報や通信パターンなどの「履歴」といった5つの対象に付随する条件を組み合わせた、接続を安全と判断するためのポリシー策定だ。

 作業支援のためにSplunkでは、各種ログからリアルタイムで脅威を自動検出するSplunk Enterprise Securityによる認証情報やアクセス元の位置などの可視化、スキャナーによる脆弱性の自動確認の仕組みを豊富に用意。それらを可視化のするためのダッシュボードも併せて提供する。

 「地理的に離れた場所から、短時間での同一端末などの疑わしい接続を察知し、可視化することで、迅速かつ能動的な監視を支援します。また、ゼロトラスト実装後にゼロトラストのポリシー、ポリシーエンジンとの整合性、どのリスクにヒットしているのか、CIAの観点からセキュリティと利便性の問題が生じていないのか、業務への無駄な負荷がかかっていないのかなど、時刻の観点から明示化させることもできます」(矢崎氏)。

ゼロトラストの中核となるポリシー設計
拡大画像表示

 最後の③はセキュリティオペレーションの最適化・充実化である。いくらデータが潤沢に収集されていても、適切なポリシーが適用されていたとしても、どのようにイベントを検出していくのか、どのようにフローを廻して組織として脅威に対応していくSOARの存在は欠かせない。チームとして活用するするセキュリティ・システムは潤滑油として機能すること、出入り口が見えにくくなるゼロトラスト環境において人の行動振る舞いを分析することも重要になってくる。

機械学習エンジンで異常な振る舞いを手間なく抽出

 Splunk Security Suiteはここでも力を発揮する。ユーザの行動振る舞いを把握するために、業界唯一のマルティエンティティかつ二段階機械学習を実装したSplunkUBAを提供している。教師なし機械学習をベースとした異常検知技術により、ユーザーや各種デバイスの特権乱用といった従来とは異なる振る舞いや、データ流出の兆候などをリアルタイムに把握。それらと各種イベント間の関係性の可視化による最適な対応策の迅速な通知を通じて、動的かつ多段階の攻撃への調査や対応作業の合理化を支援する。

 「サイバー攻撃が巧妙さを増すことで、被害検出に平均3カ月を要するまでになっています。各種分析の結果が自動的に記録され、チームとして自動共有されるSplunkは、問題の兆候を分類し、対応までの短期化に確実に寄与します」(矢崎氏)。

Splunk SOARとリスクベースにより業務を最適化

 加えて、Splunk SOAR(旧:Phantom)による運用自動化を通じて人手頼りの反復的なタスクが排されることで、価値の高い活動への人員の振り分けとともに、最新パッチの自動適用などを通じたセキュリティポリシーの遵守徹底も可能となる。その導入効果は90%のTier1工数削減が可能だと言う。

 一方で、Splunkは利便性に優れることも見逃せない。リスクベースのセキュリティ対策では脅威の可能性が検出される都度、アラートが発せられるが、その中には脅威に無関係なものも多く、そのことが作業を煩雑化させる一因になっている。

 「Splunkでは、コンテキスト(文脈)の観点でそれらをスコアリングし、累計で脅威だと判断された時点で初めて通知。ワンクリックでの全リスクイベントの確認による効率的な対応を可能にしています」(矢崎氏)。

 ゼロトラストへの移行が緒に就いてきた中、多様なデータの収集から高度な活用、運用自動化まで包括的に支援するSplukの存在感は、セキュリティとユーザービリティの両立に向け今後、さらに増すことになりそうだ。


●お問い合わせ先

Splunk Services Japan合同会社

URL: https://www.splunk.com/ja_jp

バックナンバー
IT Leaders Tech Strategy LIVE ゼロトラストへのシフトを急げ!一覧へ
関連記事

Special

-PR-

セキュリティのみに注力するなかれ〜利便性を犠牲にしないゼロトラスト導入法とは従来からの境界型防御が機能しにくくなる中で、新たなセキュリティの考え方である「ゼロトラスト」が注目を集めている。ただし、ゼロトラストはその仕組みからユーザーの利便性が低下する懸念もある。Splunk Services Japanのスペシャライゼーション・グループでセキュリティ・スペシャリストを務める矢崎誠二氏は、2021年7月28日にオンライン開催された『企業ネットワーク/セキュリティの新原則「ゼロトラスト」へのシフトを急げ!』(主催:インプレス IT Leaders)のセッションで、利便性を犠牲にしないゼロトラスト導入アプローチを教示した。

PAGE TOP