第6回すだちくん勉強会に参加した。
その時のメモのようなもの。シンジ氏と(スズキ)ケンゴ氏でインターネットウィークでやる内容とだいたい同じらしい。
ゼロトラストの事実
・バズっているが、一人歩きしている。
・ゼロトラストは売り物ではないため、ゼロトラストを売っている会社は全部嘘。
・Googleでも実装に4年間かかっている。
UnTrustゾーンとTrustゾーン
・ネットワーク主体のセキュリティはDMZでネットワークをUnTrustゾーンとTrustゾーンを分割する。
・2000年くらいからTrustゾーンにあったシステムが続々SaaS化することでUnTrustゾーンに。(カレンダーやメールなど)
またAWSの登場によってサービス環境でさえSaaSになったことで、UnTrustとTrustの境界があいまいになってきた。
・Trustゾーンからの攻撃に対して、どう対処するか?がゼロトラストの本質。
エンティティで接続可否を判断する
・UnTrustゾーンとTrustゾーンがあいまいになったため、エンドポイントセキュリティの大切さが問われることに。
・エンドポイントが接続するときにエンティティ(属性や情報)をもとに接続してよいか判断する。
・エンティティの種類:デバイス・ユーザ・アプリケーション・ネットワーク
信用度スコアによって動的に権限を変更する
・昔から情シスだから管理者権限、部長だから偉い権限と属性をもとに権限を割り振っていた。
しかし時の流れによって、人は変わり、属性が変わっていく。属性変更に運用が追いつかないこともある。
・信用度スコアを決めて、動的に権限を付与する
Azureにもユーザリスクという項目があり、アラート数やデバイスで判定など可能。
・信用度スコアを決めるかのコントロールブレーンの書き換えを攻撃者は狙ってくることになる。
トラストの解釈
・トラストには2つの解釈がある
・検証して信用する
・検証できないけど信頼する
例えばブラウザ埋め込みのルート証明書やTrustネットワーク。これは信頼するしかないためトラストアンカーになる。
ゼロトラストを構築する上で、何をトラストアンカーにするか明確化しなければならない。
アイデンティテ(ID)
・NIST SP800-63? などで定義されている。
・ISO 24760では、性別、年齢、身長などの情報(属性)が集まってできたのがID。複数の属性を組み合わせて判断する。
・アイデンティテアシュライアンス:どれくらい本人っぽいのか。
・攻撃が巧妙になってきており、細かく認証する必要がある。
ゼロトラストで守れないものは何か?
・何が守れないか把握することが大切。
・国レベルでの攻撃は防げない。
・区役所など物理的に守っている場所はゼロトラストに向いていない。
プライベートCAのほうがセキュア?
・物理的な制約を受けないほうがセキュア。
・例えば認証局が中国に買われた。となるとルート証明書がトラストアンカーではなくなることがある。
そういった問題があるのでプライベートCAのほうがセキュアという考え方もある。
・接続するたびに証明書交換するなど、運用を回していくことが大切。
そのためにはプログラマビリティを重視し、手動運用をなくすことが大切。
Windows Server にRDPする時点でダメと考えるべき。
現実的な実装例
・NISTでは既存の環境とゼロトラストを複合するアーキテクチャ(ハイブリッドゼロトラストアーキテクチャ)も存在する。
・BeyondCorp
高度に分散されたモバイルワーカーが毎日使用しているクライアントとサーバー間のやりとりにゼロネットワークアーキテクチャをもたらすことに焦点を当てている。
⇒ログなどの実例がでてきておらず、本当にゼロトラストという疑問は残るらしい。
・PagerDuty
サーバ間通信は毎回IPSecを確立して、通信する。サーバ間およびクラウド間の相互作用に焦点を当てている。
ツール
・Intune・Jamf
エンティティを管理するツール。Jamfの利点はエンティティを拡張可能。
カスタム属性を作ることで、Chromeのエクステンション数などを指定できるため、組織に合わせた設定可能。
・ゼロタッチデプロイメント
Windowsについてサインインした後に環境が動的に作成される。
パソコンが壊れたときに、マザーを変えると違うPCとして認識される。
AutoPilotは国内では非現実的。ダイワボウだけお願いできたらしい。
・DEPはIntuneと比較して楽。
・EDR
Trust Inference – Microsoft Defender ATP
デバイスで発生したアラートとその後の対応状況からリスク値を算出できる。お高いけれどもオススメの商品。
欠点としてユーザへの通知が弱い。ゼロトラストの考え方でなぜ止めたかをユーザにわかりやすく伝える必要がある。
・ネットワーク機器
SDP:ゼロトラストモデルを用いたネットワークセキュリティへの多層アプローチの一部。
検証してみたが今までの機器を取り替えるレベルのメリットはなかったとのこと。
・ゼロトラストを掲げたL2もあるが、それはただのL2であることが多い。
・動的なポリシーに対して、ネットワークを動的に変更できることが真のゼロトラストを適用したNW機器。
しかし規格が決められていないため、存在しない。
・Azure センチネル。まだ8割くらいの精度。CloudTrailが読める。
・Windows Hello
顔認証後、その結果をTPMで暗号化してネットに送って、権限を決めるプロセスになっており、よくできている、らしい。
証明書、VPN、暗号化
・ゼロトラストは認可にポイントを置いており、VPNには否定的。バックドア扱いされている(PagerDutyもVPNだが。。)。
・Windows 10 にオートVPNという機能がある。定義されていないIPアドレスだった場合は、自動的にVPN接続する。
エッジコンピューティングのジレンマ
・今後普及していくが、TPMなどの処理に耐えうるか
ゼロトラストはどんな攻撃を受けるのか?
・信頼度を徐々に高くしていき、最後に攻撃する。(信頼度が高い人が急に攻撃する場合もあり)
・トラストエンジンに少しずつおかしな値を与えていき、モデルを狂わせる。
ゼロトラストを規格化しようとする流れがあるかどうか?
・MS中心に集まってはいるが、今のところはまだない。
また信用度スコアについて各企業はブラックボックスにしたいため規格化はまだ先になりそう。
・標準化されていないため、自分たちの解釈で決めていくしかない。
まとめ
・ゼロトラスト製品などは存在せず、創造性をもって、自分たちでゼロトラストアーキテクチャを構築する必要がある(やりたい人は)!