ページの本文へ

Hitachi

セキュリティ

今必要とされるゼロトラスト・セキュリティ<前編>
スペシャル対談
日本マイクロソフト株式会社
河野 省二
株式会社 日立製作所
村山 厚

今必要とされる
ゼロトラスト・セキュリティ<前編>

ネットワーク、デバイスへの攻撃は日々新しいものが生まれ続け、インターネット上のあらゆるアプリケーションは安全ではない可能性が指摘されて久しくなります。アメリカで2010年に発祥した「ゼロトラスト」は、時代とともに変化する脅威への新しい対抗措置として生まれたものです。クラウド環境からPC、モバイルデバイスなどの「エンドポイント」まで、多層防御によるセキュリティ力を高めるものとして、今、多方面から注目されています。サプライチェーンからコンプライアンスまで、さまざまなセキュリティ要請に応えることが期待されるゼロトラストについて、日本マイクロソフト株式会社 技術統括室 チーフセキュリティオフィサーの河野省二氏、株式会社 日立製作所 情報セキュリティリスク統括本部 情報セキュリティ戦略企画本部長の村山厚に聞きました。

共通解としてのゼロトラスト

― ゼロトラストやクラウドベースでのITアーキテクチャーなどが盛んに語られていますが、今何が起きているのでしょうか。

河野 私がマイクロソフトに入社した2017年頃から、マイクロソフトはセキュリティの考え方の一つとして「ゼロトラスト」を掲げていました。最近、ゼロトラストが注目されている理由の一つに、みなさんの悩みの共通解がゼロトラストという考え方に詰まっているのだと思います。長い間、ファイアウォールを利用した境界型セキュリティの限界が言われてきたにもかかわらず、これといった現実解がなく、乗り換えられなかったのです。しかし、クラウド利用が一般的になってきたことで、脱却できるのではないかということが見えてきたのではないでしょうか。

村山 背景は複雑に絡みあっている気がします。標的型攻撃で、一度内部に侵入されると横当たりされて被害が拡大するのが当たり前になってきています。境界型で構築してきた社内ネットワークでもゼロトラストの発想は必要でしたが、高度化した標的型攻撃で改めて必要だと分かったんですよね。クラウドシフトの潮流だけでなく、このような脅威の振り返りも含めて、ゼロトラストが叫ばれてきているのだと思っています。
境界防御の概念が、クラウドになった瞬間に狭いエリア、つまりエンドポイントとシステムのような、今までの面で守るという発想がなくなるので、これをどう守るのか?というところでゼロトラストが求められてきているんだと思います。昔からゼロトラストの発想は必要だったんだけど、「境界で守っているから安全」という拠り所みたいなものがあった。それが日立の場合は、2017年のWannaCry事件をきっかけに境界防御だけでは防ぎ切れないことが如実に分かってしまったんですよね。

日本マイクロソフト 技術統括室 チーフセキュリティオフィサー 河野 省二氏
日本マイクロソフト株式会社
技術統括室
チーフセキュリティオフィサー
かわ しょう

1998年より、セキュリティガバナンスコンサルタントとして企業の経営層向けのアドバイザリを行いつつ、数多くの政府向けセキュリティガイドラインを策定する。2017年12月より現職。情報セキュリティのISOを策定するJTC1 SC27およびSC40委員会、FISC安全対策委員、FISC安全対策監査委員など標準策定委員活動を継続。(ISC)2としてグローバルなセキュリティ資格CISSPの国内主席講師として人材育成等も行っている。

株式会社日立製作所 情報セキュリティリスク統括本部 情報セキュリティ戦略企画本部 本部長 村山 厚氏
株式会社 日立製作所
情報セキュリティリスク統括本部
情報セキュリティ戦略企画本部 本部長
むらやま あつし

2001年より、日立グループにおけるITセキュリティの実装及び日立グループCSIRTであるHitachi Incident Response Teamでサイバーセキュリティインシデント対応業務を担当。その後、情報セキュリティ全般の戦略・マネジメント業務やサイバーセキュリティ対策、監視業務を担当し、2017年10月に情報セキュリティリスク統括本部サイバーセキュリティ技術本部長に就任。現在は同統括本部情報セキュリティ戦略企画本部長として、情報セキュリティ戦略及びサイバーセキュリティ技術の統括業務に従事。

河野 マイクロソフトの場合、ゼロトラストを実現するというよりは、そもそもITによるコーポレートガバナンスを実現しようという考え方がありました。さまざまな取り組みを行っている中で、実現してきたソリューションがあとから「ゼロトラスト」と呼ばれるようになったと感じています。米国NIST(National Institute of Standards and Technology)*1が発行しているSP800-207の中でも、政府のこれまでの課題や取り組みもゼロトラストと呼ぶことができるのではないかと記載されているのと同様です。

村山 今のお話を聞いていると、言葉が後付けでついてきた感じなんですね。だからマイクロソフトさんの言うゼロトラストって、今やらなければいけないことにぴったりとはまる。ゼロトラストって、魑魅魍魎(ちみもうりょう)というか、捉えどころがないというか、発言する人によって意味や考え方が違うので、聞く側は「ゼロトラストって何??」ってモヤモヤ感があるんです。しかし、ゼロトラストを取り入れる側が整理しないといけないのだと、河野さんのお話を聞いて改めて思いました。

IDやアカウントは、権限の付与に課題

― ガバナンス強化とゼロトラストの関連で、日本政府の取り組みについてお話しいただけますか。

河野 政府もゼロトラストに興味を持って取り組んでいることが、政府CIOポータルのディスカッションペーパーなどを見ていただけると分かりますよね。一般企業と同様に、中央政府も自治体もネットワークセキュリティが中心になっています。一般企業と異なるのは、最近多くなってきた国家スポンサー型攻撃などによって、さらに深刻な状況になっている点です。新旧さまざまなシステムが混在し、それも多くの事業者が関わって開発、運用・保守を行っていることから、どうしてもガバナンスの構築が難しくなっていることが考えられます。サイバーセキュリティの最近の課題である識別という点では、全体を把握しにくくなっているのではないかと考えられます。

村山 今の河野さんのお話は、日立の中でも同じことが言えると思って聞いていました。日立グループのすべての職場や製造現場、開発現場まですべてを把握するのは本当に難しい。

河野 日立さんはIDを統一したいとご苦労されているとお聞きしましたが、これは日立さんだけではなく、一般企業も同じかもしれません。人が異動するたびにアカウントを作り直したり、取引先のためのアカウントを作成したり、IDは増える一方でその管理が難しくなっていることがあるかもしれません。1人が複数のアカウントを持っていると、説明責任(アカウンタビリティ)という点でも、最近注目されているユーザーの振る舞い管理という点でも、管理が複雑になってしまいます。

村山 認証の中でも権限の与え方が難しいんですよね。職位だったり、職種だったり、いろいろな見方があるので、適切に権限を付与するのが難しい。日本では当たり前の「兼務」の問題もあります。帽子を被り分ける権限の与え方も視野に入れて、認証基盤を整備することも、ゼロトラストの一つとして考えないといけません。

河野 例えば納入したシステムに対して事業者が管理者権限を与えられている場合、事業者に一つのアカウントしか与えられなかったとします。この場合、管理者アカウントを共有する可能性が出てきます。これではログを見ても誰が作業していたか分からず、説明責任を果たすことが困難になります。これはアカウント管理の世界では絶対にやってはいけないことだと思います。ゼロトラスト環境ではアカウントの信頼性を検証することで、これらの課題を構造的に払拭できるのではないかと考えています。
先ほどご案内したNIST SP800-207においても、同様のことが記載されています。米国政府がゼロトラストアーキテクチャーを採用する背景として、例えばDISA(Defense Information Systems Agency)*2やDOD(Department of Defense)*3では、すべてのトランザクションのトラストをとりたいということがあったようです。ジェリコ・フォーラム*4でもポリシーが一つというのは限界があると考えて、動的なポリシー制御によるセキュリティ対策の必要性について提唱されています。

資産管理されたゼロトラスト環境は、コンプライアンスに対応しやすい

― GDPR(General Data Protection Regulation)*5など個人情報を取り巻く法規制が強化されています。この法規制強化とゼロトラストの関係性をどうお考えですか?

河野 マイクロソフトは、GDPRに比較的スムーズに対応できたのではないかと思います。私たちはデータガバナンスの一環として、データがどこにあり、それを誰がどのように利用したのかを把握できる環境を構築してきたためです。以前はファイルをフォルダー単位で管理していたかと思いますが、現在はファイル単位でデータが管理できるようになっています。具体的には、ファイルにラベルやタグを付けて管理しています。「社外秘」などのラベルを多数作ってしまうと管理が複雑になりますし、運用も大変です。ファイルにはさまざまな属性があり、それを一つのラベルで表すことは難しいからです。
そこで、GDPRに限らず、さまざまな法律などに対応するために、ファイルにタグ付けすることで管理を容易にしています。また、いくら社員に徹底したとしても抜け漏れが出てしまうおそれがあります。それを支援する意味でも、これらの分類のタグ付けを自動で行うような仕組みもあります。ファイルの内容に応じて、自動分類します。ゼロトラスト環境では、データの検証も動的に実施されます。ファイルに付与されたタグを基に検証することで、それぞれの法律への対応も可能になっています。

法律などを考慮したタグ機能を実装しているMicrosoft 365

村山 そうですね。今までは、ITで一つひとつのデータを仕分ける仕掛けがなくて、データ管理を個々のデータではなく、どうしても器で守っていたと思います。それが、ようやく単体のデータそのものを管理できる技術が出てきた。河野さんが言われたことは重要なポイントで、データにタグ付けができていれば、自ずとこのデータはどこに置いてはいけないなどの管理はできるし、その扱いもちゃんとできるようになるので、非常に大事な点ですね。それができた上で、器でどう守るのか?を考えることができるんです。
マイクロソフトさんは、ここが最初からできているのが凄いですね。新しい法律ができるたびに、それに対応するためのルールを一から考え直していたら途方に暮れますが、今のようにタグ付けができると、新しい法律ができれば、そのタグの付け直しや、一つ増やすことで対応できますものね。

河野 情報分類には、アクセス権を設定するためのものと、情報を整理するためのものがあります。アクセス権の設定のための分類と、整理のための分類を複雑に考えないようにすることが難しいのですが、マイクロソフトもさまざまな取り組みの中で、解決のための糸口を見つけてきたのかなと思います。これもすべての情報を把握できるようになったからだと思っています。
例えば、分類ラベルを「個人情報」としてしまうと、そのファイルに個人情報が含まれていることは分かりますが、アクセス権は分かりません。むしろ個人情報の取り扱い範囲に従って、ラベルを「営業部限り」としておいた方がファイル管理は容易になります。もちろん先ほどご紹介したタグ付け機能を使って、「個人情報」であることは設定しておいた方がよいとは思います。村山さんが実現したいと思っておられることを実現できる技術を、マイクロソフトはご提供していると思っています。ぜひ活用していただければと思います。

情報分類とカテゴリ化

村山 データのラベリングや分類は、本当に昔から悩みの種というか、しっかりやるべきと頭で理解できても、それが実際の管理までやろうとすると、膨大な手間がかかるんです。全部人間がやろうとすると問題になるので、自動化しないといけないですし、あとから分類しようとすると必ず破綻するので、データを生み出すときに分類を必須化するなども必要かと思います。例えば、分類しなければデータを作れないようにするなどですね。さらなる問題として、ラベリングや分類をやろうとしたときに、「面倒くさい」と社員に思わせたら絶対にやらなくなる。そこは簡素化して、例えば、分類するのに3クリックかかるところを、1クリックにするだけで、多分みんなやると思います。そのような社員に寄り添ったインタフェースも大事ですよね。
境界防御で守られてない世界、すなわちここに置いておけば大丈夫ではなくなった今、自ずとデータ一つひとつを守ってゆくという話になると、こういうところから実装することが大事なのではないかと。これが先ほどの権限と同じくゼロトラストを実現するための一つの要素かと思います。データそのもののセキュリティをどうするのかという問題です。

証拠(ログ)によって、正直者が痛い目にあわない世界になってきた

― 内部不正に対しても、タグ付けと情報資産管理によって、適切にコントロールする。従業員にもそういう意識を持たせ、技術で補完することで、内部不正に対応していく、という考え方でしょうか?

河野 内部不正に対しては、さまざまな課題があると考えています。内部不正をセキュリティの課題として捉えている企業も少なくありませんが、実際には人事や法務での対応が中心になってくるのではないかと思います。デリケートな問題なので、不正を行っているかどうかの情報にアクセスできる担当者も限定されなくてはいけません。もちろん、そのデータへのアクセス記録も必要になります。
マイクロソフトでは業務をオンライン化することで、社員のやり取りを記録することが容易になりました。これらの記録をイベントログとして取り扱うことで、セキュリティだけではなく、業務改革のためのデータとして利用したり、自分自身の働き方を見るための指標として活用したりできるようになりました。
そして、内部不正などのコンプライアンスの課題についても、その記録を基に議論できるようになりました。不正らしい行為が検出された場合、その前後のやり取りなども関連づけて検証できるため、本当にそれが不正であったのかどうかを判断したり、不正を行ってしまったかもしれない社員とのコミュニケーションに活用したりできるようになりました。

村山 最初に河野さんが触れられ、ずっと出ているキーワードですが、識別、認証、認可にプラスして、説明責任が今後非常に重要なポイントになるのだと思います。そもそもログがなければ解析すらもできないし、予兆を取ることもできない。説明責任は、これからのゼロトラストの要素として大きなポイントとなり、そしてそれが見える化につながるのかなと思います。

河野 はい。適切な記録を取るためにも、その前提となる「誰が」や「何を」というところの信頼性を確保することが非常に重要だと考えています。

*1
NIST:米国国立標準技術研究所
*2
DISA:アメリカ国防情報システム局
*3
DOD:アメリカ国防総省
*4
ジェリコ・フォーラム(Jericho Forum):「非境界化」を推進するために2000年代前半に設立された、国際的標準化グループ
*5
GDPR:EU一般データ保護規則

Microsoftは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。
その他記載の会社名、製品名などは、それぞれの会社の商標もしくは登録商標です。

日立セキュリティフォーラム 2021 ONLINEのお申し込みはこちら

両氏は、日立セキュリティフォーラム 2021 ONLINEでも講演しますので、ぜひお申し込みください。

日立セキュリティフォーラム2021 ONLINE|ネクストノーマルに向けて進化するセキュリティ|会期:2021年6月15日(火)〜6月30日(水)