🛡️

Zero Trust

🤔 この用語について

📝
自分の中でZero Trustという考え方や情報が古くなっていたので、簡単にZero Trustとはを書き出しました。詳しくはどこかで記事化

概念

概念としては簡単で、特定の何かを信頼して盲目的に許可を与えないこと。

VPNを信頼して許可していた時代があった

もう少し具体を書くと、一昔前(出社が当たり前で社内ネットワークとかもあった時代)は、PCの持ち出しは原則不可でした。申請をしたら持ち出せるみたいな世界。

基本社内ネットワークに置かれた情報には、社内ネットワーク外からの経路は遮断しているのでアクセスできない。このままでは持ち出ししたPCで業務ができない。

こういったケースへの対応として、

を用いて社内ネットワークにアクセスできるようにしていました。

つまり、「VPNにアクセスできるのは、会社で許可した端末で、さらに言えば持ち出し申請した人本人のハズだから社内ネットワークにアクセスしても問題ないはずだ」というのが、特定の何かを信頼していた状態

VPNの何がだめだったのか

ではなぜ、特定の何かを信頼(

)するのは危険という話になるのかも書きます。

以下は全て可能性の話です。

  • 本当にPCを利用している人は本人かVPNの先ではわからない
    • 盗難、同居人、PCへの侵入して操作権を奪われる
    • 踏み台やマルウェアにより社内情報へのアクセスを許してしまう
  • 本当に利用しているPCが会社端末かわからない。
    • VPNクライアントをいい感じに奪われたなど

などなど

そもそも社内ネットワーク無いんだけど?

最近のスタートアップでは、そもそも全てクラウドで、社内にネットワークを構築していないケースも多いと思います。オフィスで仕事するために回線引いてるくらいで

その場合の多くは、Google WorkspaceやAzure ADなどでのSSOや、ID/PASS/MFAなどで各種SaaSにアクセスしていると思います。最近ではChrome Password Managerや1Passwordなどパスワードマネージャも便利なのでID/PASSを忘れる事や、パスワードを使い回す事も無くなったと思います。

便利ですね。

これも同じ事が言えます。Google WorkspaceへのログインにはID/PASSが必要です。1passwordやその他でもID/PASSが必要になるかもしれません。つまり「Google WorkspaceからのSSO / 1passwordで管理されたID/PASSだから問題ないはずだ」というのが、特定の何かを信頼していた状態

ID/PASSやSSOだけだと何がだめなのか

  • ID/PASS(特にPASS)はたくさんのSaaSで変更する事は手間なので、同じにしちゃうかもしれません
  • ID/PASSを使いまわしている場合、何かしらのサイトから漏洩があると、侵入を許してしまうかもしれません。
  • ID/PASSはフィッシングサイトで盗まれるかもしれません
  • 知識情報(ID/PASS)だけでは、上記の問題が起きるので、所持情報(スマホなどを利用したMFA)を使うことでいくらかはマシになります。がID/PASS/自分のスマホがあればどこからでもアクセスが可能なので、ネットカフェや友人のPCからアクセスしてしまって、セッションを消し忘れてしまい、次使う人が使ってしまうかもしれません

まだまだありますが、細かい事は詳しいサイトにおまかせします。

つまりID/PASSだけではリスクが高いので、知的情報が仮に漏洩しても、所有情報で守れる状態にはなってますが、それだけでは安全なPCからアクセスしている事は保証ができない問題が残っています。

簡単にまとめると

  1. アカウント
    1. 例えばGoogle SSOなど本当に会社が発行したアカウントがアクセスしてきているか
  2. エンドポイント
    1. 本当に会社が許可したPCやスマホからアクセスしてきているか
    2. 本当に会社が認める対策がされているか
  3. ネットワーク
    1. 会社が許可した経路からアクセスしてきているか
    2. VPNとか、もしかしたら個人のグローバルIPとかかもしれませんね

この他には監視だったりACLだったり、アカウント追加削除周りを自動化だったりという話もあります。詳しくは以下

コロナ初期はまだまだソリューションも、実績などもすくなったので選択肢が少なかったり情報が少なかったりしていましたが、今ではGoogle Workspace, Okta, Azure, Cloudflareなどがソリューションを展開してくれているので、あとは自社で何をどうまもりたいか、どこまでコストを掛けるかで考えていく感じになりますね。

ここに書く

📁 関連づいたドキュメント

About Me
December 13, 2020
MF KESSAIがWork From Homeでも生産性と安全性を向上させる為に考えてきたゼロトラストについて一部紹介