NSAが「ゼロトラストセキュリティモデル」に関するガイダンスを発表

巷ではゼロトラストがバズっていますね。2021/2/25 NSAよりガイダンスが発表されました。それでは行ってみましょう!

Embracing a Zero Trust Security Model

National Security Agency | Cybersecurity Information

概要

ゼロトラストセキュリティ原則を導入することで、サイバーセキュリティの専門家がエンタープライズネットワークと機密データを保護するためのより良い方法を示しています。NSAはゼロトラストの基本的な理解を提供するために、潜在的な課題とともにその利点について説明し、ネットワーク内にゼロトラストを実装するための推奨事項を示します。

ゼロトラストとは何か?

ゼロトラストは、セキュリティモデル、一連のシステム設計原則、および脅威が従来のネットワーク境界の内側と外側の両方に存在するという認識に基づいた、サイバーセキュリティおよびシステム管理戦略です。ゼロトラストは、ユーザー、デバイス、およびネットワークコンポーネントが、ネットワーク内の場所に基づいて暗黙的に信頼されるべきであるという前提に基づいて繰り返し確認し続けます。つまりゼロトラストは包括的なセキュリティ監視を組み込んでいます。
きめ細かく動的なリスクベースのアクセス制御。
動的な脅威環境内で重要な資産(データ)をリアルタイムで保護することに特に焦点を当てるために、インフラストラクチャのすべての側面でシステムセキュリティを自動化します。このデータ中心のセキュリティモデルにより、最小特権アクセスの概念をすべてのアクセス決定に適用できます。リソースへのアクセスを適切に許可または拒否するには、誰が、何を、いつ、どこで、どのように行うかという確認が重要です。

NSAは、国家安全保障システム(NSS)、国防総省(DoD)ネットワーク、および国防総省(DIB)システムを含む、重要なネットワークに対してゼロトラストセキュリティモデルを検討することを強くお勧めします。これらの原則を特定の環境、特に大企業内に統合することは、複雑になる可能性があります。これらの課題に対処するために、NSAは、ゼロトラスト設計アプローチを編成、ガイド、および簡素化するための追加のガイダンスを開発しています。

ゼロトラストのマインドセット(考え方)を採用する

最新の動的脅威環境に適切に対処するには、次のものが必要です。
・管理された積極的なシステム監視、システム管理、および防御運用機能。
・重要なリソースに対するすべての要求とすべてのネットワークトラフィックが悪意のある可能性があると想定します。
・すべてのデバイスとインフラストラクチャが危険にさらされている可能性があると想定します。
・重要なリソースへのすべてのアクセス承認にはリスクが伴うことを受け入れ、迅速なダメージの評価、制御、および回復操作を実行する準備をします。ゼロトラストの指針となる原則を採用する

ゼロトラストソリューションには、次のような運用機能が必要です。
・決して信頼せず、常に検証する–すべてのユーザー、デバイス、アプリケーション/ワークロード、およびデータフローを信頼できないものとして扱います。動的セキュリティポリシーを使用して、必要最小限の特権をそれぞれに認証し、明示的に承認します。
・攻撃を想定する–攻撃者がすでに環境内に存在していることを前提として、リソースを意識的に運用および防御します。デフォルトで拒否し、すべてのユーザー、デバイス、データフロー、およびアクセス要求を徹底的に精査します。疑わしいアクティビティがないか、すべての構成変更、リソースアクセス、およびネットワークトラフィックをログに記録し、検査し、継続的に監視します。
・明示的に検証する–すべてのリソースへのアクセスは、複数の属性(動的および静的)を使用して一貫性のある安全な方法で実行し、リソースへのコンテキストアクセス決定の信頼レベルを導き出す必要があります。

ゼロトラストソリューションを設計するときは、ゼロトラストの設計概念を活用します。
・ミッションの結果を定義する–重要なデータ/資産/アプリケーション/サービス(DAAS※)を特定する組織固有のミッション要件からゼロトラストアーキテクチャを導き出します。
・徹底的に設計する–まず、重要なDAASの保護に焦点を当てます。次に、それらにアクセスするためにすべてのパスを保護します。
・アクセス制御ポリシーを作成するためにDAASへのアクセスが必要なユーザー/対象を決定する–セキュリティポリシーを作成し、すべての環境(LAN、WAN、エンドポイント、境界、モバイルなど)に一貫して適用します。
・行動する前にすべてのトラフィックを検査してログに記録する–エンドポイントとネットワークからのすべてのレイヤーにわたるすべてのアクティビティの完全な可視性を確立して、疑わしいアクティビティを検出できる分析を可能にします。

※ DaaSとは“Desktop as a Service” の略、DaaSにおいては個人のデスクトップがクラウド上に構築され、ネットワークを通じてそのデスクトップを呼び出して利用することになります。

リモートエクスプロイトと内部脅威

スクリーンショット 2021-02-27 22.45.12

この例では、悪意のあるサイバー攻撃者がインターネットベースのモバイルコード※の悪用を通じてユーザーのデバイスを攻撃しています。またアクターは悪意のある内部承認ユーザーです。
ゼロトラスト以外の一般的なシナリオでは、アクターはユーザーの資格情報を使用し、ネットワークの特権を列挙・昇格し、ネットワーク内をラテラルムーブメント(横方向に移動)して、最終的には膨大なデータを危険にさらします。
一方でゼロトラストネットワークでは、攻撃されたユーザーの資格情報とデバイスは、別の方法で証明されるまで悪意のあるものと見なされ、ネットワークはセグメント化され、特権の列挙とラテラルムーブメント(横方向の移動)の両方の機会が制限されます。悪意のあるアクターはユーザーとデバイスの両方で認証できますが、データへのアクセスは、セキュリティポリシー、ユーザーロール、およびユーザーとデバイスの属性に基づいて制限されます。
成熟したゼロトラスト環境では、データ暗号化とデジタル著作権管理によってアクセスできるデータと、アクセスが許可されている場合でも機密データに対して実行できるアクションを制限することにより、保護を追加している場合があります。さらに、分析機能は、アカウント、デバイス、ネットワークアクティビティ、およびデータアクセスの異常なアクティビティを継続的に監視します。このシナリオではある程度の不正アクセスはありますが、被害は限定的であり、防御システムの不正アクセスを検出する時間が大幅に短縮されます。

※モバイルコードとは、ユーザーが意識することなく、自動的にダウンロードして実行されるプログラムのことである。 モバイルコードの特徴は、ユーザーへの負荷がかからずに容易にバージョンアップが行えることである。 モバイルコードでは、ユーザーの知らない間に悪意のあるプログラムが実行できるため、セキュリティ上の問題がある。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ