ゼロトラストアーキテクチャを採用したシステム構成、SaaSなどのクラウドを中心としたシステム構成が中心になってくる中で、社内の環境をしっかり整理・把握し直さなければいけないという状況と向き合うことがあると思います。もしくは、企業が成長しフェーズが変わってきて、社内のITもちゃんとしないといけないという状況になった場合などもあると思います。
そのような状況において、とはいえ何からやったらいいのか、どういう情報を整理し、把握していかないといかないのか、と手が止まるケースもあります。私の思う、とりあえずやるべき第一歩を説明してみようと思います。ここでは、この把握すべき「情報」を「リソース」と表現して説明します。
7つのリソース
従来のネットワークを軸としてセキュリティを考えていた構成が、いわゆる境界防御と呼ばれた形です。自社やデータセンターなどにサーバやシステムを配置しており、それらと社内LANがつながり、FWの内側、つまり境界の中のイントラネットとして管理されていました。そのため、中に入れるか入れないかが重要な基準になっており、境界線の中は安全、つまり信頼ができる、としてきました。
このような時代に対して、昨今は、システムがIaaSやSaaSといったクラウドのシステムに移行してきたことや、リモートワークで自宅から仕事をしたり、スマートフォンで移動中にどこからでもアクセスできるようになりました。つまり、アクセスする先も、アクセスする元も、アクセスの経路も多種多様になり、考慮する要素がそれぞれに必要になり、「ここから先は安全」といえる範囲がなくなりました。
これがゼロトラストと言われている時代への変化になります。
とはいえ、実際は、これまでの環境とクラウドの環境が混在している非常にカオスな状況も多いと思います。
だからこそ「何からしたらいいのか?」と悩むケース、考える要素が多いのではないかと思います。
この考えないといけない要素をまさにゼロトラストのモデルの中では「リソース」「情報」ととらえてみると分かりやすいのではないかと思います。
では、リソースとはどのようなものがあるか。リソースというと、データとか人の工数や余力などを想像しがちですが、ここでは、おおまかにこの7つが代表的ではないかと考えています。これらをしっかりと整理、把握することから始めることが最初の一歩になると考えられます。
・アカウント・権限・デバイス・データ・アプリケーション・インフラ・ネットワーク
アカウントであればアカウントそのものだけではなく、そのアカウントがリスクがないかやどこから利用されているかということになります。デバイスであれば、所有権だけでなく、OSが古くないか、といったことまで一歩踏み込んで整理していく必要があります。各リソースで把握したい例は以下のようになります。
把握すべきリソースの例
アカウント
アカウントの利用者、共有アカウントの有無、アカウントのリスク、セッションリスク、所属するグループ、利用している場所
権限
システムの特権権限、システムごとやデータ単位の個別のアクセス権
デバイス
会社貸与端末かBYODか、デバイスはリスクがないか、デバイスのOSバージョンは古くないか、暗号化はされているか
データ
企業としての機密情報、個人情報が保存されているシステムはどこか、メールデータの扱い、社内データの保存場所、(残念ながら)社内データが勝手に保存されている場所
アプリケーション
BCP対象の重要システム、自社提供のアプリケーション(管理下)、部門が個別利用しているアプリケーション、個人が個別利用しているアプリケーション(シャドーIT)
インフラ / ネットワーク
オンプレミス or クラウド、データベース、通信の暗号化、接続経路
このように把握すべきリソースは多岐にわたります。なぜこれらを把握することが大切になるかというと、まさにリソースが混在している時代ゆえに、適切な管理が難しい状況にあるからです。
しかし、どこにデータが保存されているかわからない、誰がどのようなアプリを使っているか分からない、そういった環境では、セキュリティ対策は難しくなってしまうため、アナログな手法、ITの活用などを駆使してコツコツとこのあたりの情報を収集し、整理、把握が必要となってしまいます。
リソースの中心はアカウント
7つを整理することだけでも大変なこと。その中でまずはどこから?となると、これらの中でも特に大切になるのはアカウントであり、その認証/認可になると思います。
なぜなら結局、その他のリソースはアカウントに紐づくためです。そのアカウントが持つ権限、そのアカウントの利用者が使うデバイス、そのアカウントがアクセスするデータ、というようにアカウントがリソースの中心となります。
つまり、アカウントを中心にそえて、リソースを整理し適切に管理していくことで、結果として、混在している環境の整理ができるようになってくるのではないでしょうか。
リソース、情報の整理というと、かなり大変です。ただ、まずこのあたりの情報をしっかり把握すること、把握したいリソース、把握しなければいけないリソースの全体像はこのあたりかな?と仮説をたてて、ひとつひとつ把握していくと、次にやるべきことが見えてくるのではないかと思います。
このようにリソースを把握する目的と次のアクションをしっかり理解してひとつひとつ整理することが、環境が変化する中でしっかり見直したい重要なことになるのではないかと思います。
コメント