ゼロトラストネットワーク ―境界防御の限界を超えるためのセキュアなシステム設計 まとめ

概要

本書は原著が2017年に公開され、日本語翻訳版は2019年に出版されました。著者らは2014年ごろから本の内容にあたるゼロトラストネットワークという考え方についてカンファレンス等で提唱する活動を始めています。

近年システムのネットワークをNATや個別のサブネットワークで区切り、安全な領域とそうでない領域を分けてセキュリティの構築を考えることの限界が指摘されてきました。リクエスト元が安全（だと思っている）ネットワークからという理由だけでリクエストを信頼してしまうことには大きな課題が生まれます。また、スノーデン事件が指摘したことの一つにたとえデータセンター内のネットワークであってもそこは盗聴されている可能性を考慮すべきということがありました。これらの問題意識に対して本書はリクエスト元のネットワークを拠り所にした信頼はすべて捨て去り、すべてのリクエストに対して認証と認可を実行し、まるで内部ネットワークであったとしてもインターネットから直接リクエストされているかのようなセキュリティを敷くことを提唱しています。

境界モデルとその限界

元来システムのネットワークを設計する際に、インターネットに直接公開している部分にNATを使い、インターネット向けと内部向けでネットワークを分けることが行われています。さらに内部ネットワークに一度入ったあとのネットワーク内部のリクエストに対しては、大した認証や認可は実施せずにリクエストを許可することが往々にしてあります。例えばある社内システムにはVPNが必須で特定のネットワークからだけしかリクエストできないとします。ただし、その社内システム自体には適切なアクセス制限が施されず、VPNからのリクエストであることをベースにリクエストを許可してしまう運用がなされたりします。

ゼロトラストネットワークの考え方

ゼロトラストネットワークでは信頼の拠り所をリクエスト元のネットワークに置くことを一切認めず、すべてリクエストに対して認証と認可を行い誰かがどんなデバイスで何にアクセスしようとしているのかを検証すべきしています。

ゼロトラストネットワークを実現するめには

ゼロトラストネットワークを実現するめには信頼の起点としてシステムの運用者を前提とします。そのうえでシステムの運用者がデプロイしたシステムが同様に信頼できるという考え方をします。

システム内のエンティティとしてユーザー、デバイス、アプリケーションを考えます。

システムの利用者としてのユーザーはすべての利用者に対して識別と認証を行い、ユーザーが利用するデバイスはX.509証明書のような公開鍵暗号に基づく証明書を用います。またシステム内のエンティティとしてのアプリケーションに対してもクレデンシャルを発行します。

これらの構成要素に対してポリシーを設定し、ユーザーを事前に認証した後ユーザー・アプリケーション・デバイスの組み合わせに対してすべてのリクエスト認可をすることを説いています。

ケーススタディ

具体的なケーススタディとしてシステム監視モニタリングツールのPagerDutyとGoogleのBeyond Coprの例が紹介されています。