ゼロトラスト・セキュリティとその屋台骨を担うSplunk

ゼロトラストというセキュリティの概念(モデル)

ゼロトラストとは、ネットワークセキュリティの概念と脅威モデルのことです。具体的には、内部ネットワークの侵害などのように、セキュリティ境界線に関わるアイデンティティ、システム、またはサービスが自動的に信頼されるべきであるとは想定せず、代わりに、意図のあるすべてのアクセスを許可する前に検証するという考え方です。 このため、ゼロトラストは各セキュリティ・ベンダーの定義は独自にされており、それぞれに個性はありますが、認証を強調すること、ネットワークなどの分離、そしてそれらの監視と分析、この３つの事柄が必須要素と言えます。

ゼロトラストについては反応が様々であり、あるユーザは「何年前の話をしているのだろうか？」「VPNの性善説は昔からそれほど高くない」など、疑問を投げかけてくるユーザがいることもまた事実です。今更ではありますが、大きな理解としてデータにアクセスしようとするユーザ、デバイス、ネットワーク、そしてアプリケーションすべてをしっかり視野に入れて把握する、など、ゼロトラストは以前から言われていることで何も新しい話ではないかもしれません。確かに大局的にはそうと言えます。

普段から業務でゼロトラスト に携わるユーザからは疑問の声がある一方、経営者の目線ではゼロトラストは非常に分かりやすい新しいネットワークセキュリティモデルとして認識されています。社内も社外も専用デバイスも、何もかも信頼せず、アクセスしてくる都度正当性を尋ねます。「あなたが誰で」「どこにいて」「何をしようとしているのか」を毎回確認する、ということは簡潔で理解を得られやすいでしょう。金融機関の窓口に例えると、正当性を毎回確認することは、当たり前かもしれないことですが、ITの世界では可用性が失われると感じ、認証毎に毎時確認することは、なんと煩雑な業務に陥るのだろうかと思われがちです。ですが、ゼロトラストに基づきコントロールプレーンにあるポリシーエンジンを利用してそれが動的かつ高速に承認できるとすれば、顧客や企業データを守るためにはコストを除き、実装に踏み切らない理由は見つかりません。

また、リモートワークが当たり前になることでクラウドの利用も増加し、ゼロトラストはますます注目を集めています。セキュリティ問題がなくならないどころか増え続けるのが今日のセキュリティ、と言えるなかで、救世主のように見られがちな部分もまたあるでしょう。

このゼロトラストには５つの領域とそれらを監視する２つの対策が存在します。それは「ゼロトラスト」というワードの生みの親であるForester社が示すとおりであり、Splunkの役割は全体に及んでいます。ゼロトラストの重要性はますます高まっています。その役割は以下の図に示します。

Splunkを使ってゼロトラストセキュリティを実践する

ゼロトラスト全体像の実現に目を向けた場合、行うべき個々の領域への対策、そして全体的なステップ論があります。ゼロトラストの５つの領域のうち、まずはデバイスについて紹介します。

デバイスの信頼について

デバイスの信頼性を確認する、つまりデバイスを信頼するには以下の５つのステップが必要です。その該当ソリューションをマッピングすると以下のようになります。

1. デバイス認証 ・・・認証ProxyやTPM,クライアント証明証等
2. インベントリとの突合 ・・・社内のアセット管理DBとの突合,OTP等
3. 信用のアップデート ・・・脆弱性スキャナによるチェック等
4. 導入SWの状況を把握 ・・・ホワイトリストSWとの突合
5. 信用を署名する ・・・場所、アクセス履歴等を確認する

これらのデータをSIEMに取り込み、デバイスの状況を把握するわけですが、まずは“キッチンのまな板”の上にはデータが必要になります。ここでいうデータは、認証Proxy、アセットDBによる参照情報、脆弱性スキャナの結果、ホワイトリストSWとその突合一覧、そして過去のデバイスのアクセス履歴です。“調理する“対象であるこれらのデータがあればデバイスの正当性を示す相関は以外に簡単に実現できます。

ユーザ認証の流れ概念図

社内であろうが社外であろうが、デバイスに関しても、モバイルでもPCでも、ユーザのアクセス起点に縛りはありません。それはゼロトラストのポリシーに依存します。会社配布のPCもあればBYODもあるため、それがなんであってもそれらを正しく認証する、そしてそのバリデーションを可視化しなければ、ゼロトラストの効果は薄れます。このため、流れは順不同でもいいですが、

1. アクセスProxyを利用して正規なデバイスかどうかを確認
2. そのアドレスがCMDBと突合して持ち主が誰であるかを紐付ける
3. スキャナーの情報で脆弱性の有無を確認する
4. 企業の配布端末であれば、端末内に導入されているソフトウェアのホワイトリスト結果を確認し、不正なプログラムがあるかないかを判定
5. 最後にアクセス履歴をみて、いつもと同じような地域からのアクセスかどうかを確認

というのが、デバイスの正当性を示す流れになります。

ユーザの信頼について

デバイスについては上記で確認がとれました。次にユーザです。ユーザの信頼はデバイスの信頼と一緒にされがちです。もしX.509証明書を利用してパスワードよりも強固なクレデンシャルを利用したとして、インターネットカフェでデバイスをロックせずに、席を離れた場合はどうなるのでしょうか。その人物が証明書の人物であると証明できるでしょうか。これはできません。つまり、ゼロトラストでは、ユーザの識別はデバイスとは別々に行う必要があります。ディレクトリによりアイデンティティの管理、証明書、SSO、OTPなどの認証を利用すべきとされています。これらの認証データをSplunkで分析することは、Splunkの数々のコンテンツアップデートにより最も実績のあるエリアと言えます。

アプリケーションの信頼について

ここではいくつかの話がありますが、一つはアプリケーションの信用とは何かを考えます。プログラム通りにアプリは動作したとしても、それが正しく保護されているのかという話になります。はたして動作する基盤環境、実行されるコードが正しいのだろうか。

SNSでよく問題になるように、グローバル社会においてデータがどこにあり、どの環境で実行されているのかは我々の知る限りではありません。そうなると、アプリケーションを利用したり、そのデータの取り扱いや、アプリケーション自体の正当性に不安が生じてしまうでしょう。

またサプライチェーンリスクのテーマもあげられると言えます。コードを書いた人物は特定できるのか、コードが実行するプログラムは信頼できるのか、その実行環境は監視できるのでしょうか。また、DevSecOpsという概念もあります。これはアプリケーション開発ライフサイクルの全体を俯瞰して、DevOps内にセキュリティを組み込む概念です。CI/CDを利用してソフトウェアの問題を見つけ、リビジョンアップ時にも、脆弱性やセキュリティホールについての言及を後手後手にすることはユーザの信頼を裏切ることに成りかねません。

このためソースコードからWebアプリケーションの静的な脆弱性を診断したり、テスト環境/本番環境におけるWebアプリケーションの脆弱性を動的に診断する手法を通して、アプリケーションの信頼を行っていくことも可能になります。これらのデータを一元的に管理することで、DevSecOps全体を視野にいれたセキュリティ・オペレーションとして、Splunkをゼロトラストの起点として始めることもできるでしょう。

ネットワークの信頼について

主にネットワークがエンドツーエンドで暗号化されること、鍵交換やフィルタリング、利用プロトコルがネットワークの信頼についての項目になります。ネットワークはそれ自身のセキュアデザインが実装されていることでゼロトラストの多くの要件を満たすことができます。それに加え、セキュリティ・オペレーションの際における不正アクセスをネットワークレベルで監視することも謳われています。IDS/IPSやWAF、Detonation、そしてNDRを利用することで、シグネチャベース、振舞ベース、ホワイトリスト、ブラックリスト、加えて機械学習を利用した脅威の検知（認証・認可を強固にすることでゼロトラストにはセキュリティ境界がなくてもアクセスできるという概念）、これらの境界セキュリティの対策が軽減されるわけではありません。むしろ強める傾向にあるかもしれません。

これらのセキュリティソリィーションに加え、ネットワーク上のローデータをキャプチャしたSplunk StreamやNetFlowを利用しての可視化や振舞分析を推奨します。なぜなら、ネットワークデータは攻撃者も足跡を決して消すことができず、データとしてのエビデンス、担保になるからです。

各領域におけるセキュリティ侵害の検出について

冒頭に示した質問の通り、ゼロトラストは既存の考え方を体系化したとも言える部分があることは確かです。実際にゼロトラスト導入後、システムは強固になりますが、各領域におけるセキュリティ侵害が少なくなっても、誰かがゼロになることを保証してくれる訳ではありません。

ゼロトラスト導入後もセキュリティ監視、検知及び調査が行われる上で、セキュリティ侵害の兆候や決定的事実をログから判断できることは大きなメリットをもたらします。これらはSplunk Security Essentialsを起点に参照可能であり、200を超えるゼロトラスト関連サーチが既に実装済みです。

SOAR

SOARについては言うまでもありませんが、Splunk PhantomによりOODAループを実現するためユーザ独自のゼロトラストの相関ルールを作ることもできます。また上述のSecurity Essentialsから活用できる各領域のSplunk Enterprise Securityからのサーチの結果をPhantomに渡し、OSINTやユーザ環境内にあるセキュリティ、インフラ等の各アプリケーションとの連動が可能です。対応できるアプリケーションも300を超え、サンプルで利用可能なPlaybookも60以上存在します。

これらを利用することで、Tier1ワークの90%をオフロードし、問題のイベント管理、ケース管理、アナリスト間の調査時におけるコラボレーションをEnterprise Securityと共同して支援します。そうすることでセキュリティ・オペレーションを劇的に改善できると考えています。

ゼロトラストセキュリティまとめ

ゼロトラストにおけるSplunkがSIEMとしての役割について述べてきましたが、OODAループを含めゼロトラストセキュリティ全体を担うためのSplunk役割は以下の様になります。

• クラウド、オンプレを問わないゼロトラスト全体のデータレポジトリ
• 各領域において発生するセキュリティ違反、侵害等を検出する
• 不正なユーザによる認証違反等のリアルタイムレポート及びダッシュボードを提供する
• 各領域にまたがるデータを結合し相関性を確認する
• 発生した問題の分析基盤を担い、イベント管理、ケース管理を行う
• 問題発生後のアナリストによる対応の自動化とオーケストレーション

ゼロトラストは、各領域ですでにユーザ環境の中で利用されているものが多数あります。それらの利活用を行い、不足している部分を補うことによって全体を拡充していくことで推進されていくでしょう。ポリシーエンジンを中心に据えて要件を定義するユーザもいれば、まずは5つの領域と2つの対策、7項目を個々に実現していくことから始めるユーザも存在します。リアルタイム性かつ詳細なユーザとデバイス、セキュリティコントロールを認証の段階で実現する場合、ポリシーエンジンは必須になるでしょう。

一方、ポリシーエンジンはなくても既存のリソース（データ）をうまく連携させ、ゼロトラストフレームワークに基づく認証・認可の相関性を分析した結果を利用することでゼロトラストの概念を実現することもできるかもしれません。各セキュリティ要件についてレポートまたはダッシュボードを作成することで、その結果をリアルタイムで参照することができるでしょう。意外にも簡単に現実性のあるゼロトラストを目の当たりにすることができると考えています。Splunkは別のシステム、他のデータが後から追加されても、柔軟にデータを取り扱い取り込み、問題を見つけ、自動化につなげることができます。New Normalの時代においてすぐにでも検討しているユーザの期待に寄与できれば幸いです。

関連情報

• Zero Trust時代、境界防御の「先の姿」とは？
• Splunk Add-On for OT Securityのご紹介