Learn Zero Trust from Zero

Transcript

1. 2020 Shintaro Okamura @okash1n 2020/5/19 ゼロトラストをゼロから学ぶ 岡村 慎太郎 @okash1n

2. 2020 Shintaro Okamura @okash1n 岡村 慎太郎 / @okash1n Shintaro Okamura

3. 2020 Shintaro Okamura @okash1n 岡村 慎太郎 / @okash1n • 31歳（1989年3月19日生まれ）

   • 香川大学医学部医学科中退 • SESでインフラエンジニアとしてキャリア をスタート • SaaS企業のエンジニア（情シス） • toCサービスのエンジニア（SRE） • SaaS企業で経営企画（Now）

4. 2020 Shintaro Okamura @okash1n • 最近は「ハゲ」「ヒゲ」「スーツ」 • Zoom背景芸人 ◦ 最近グリーンスクリーン買った

5. 2020 Shintaro Okamura @okash1n 今日話すこと • そもそもセキュリティって？ • 従来の情報セキュリティの考え方 •

   ゼロトラストの概念と経緯 今日は主に経済活動を行う企業におけるセキュリティについて話します

6. 2020 Shintaro Okamura @okash1n 話さないこと • ゼロトラストの実装方法 ◦ 個々のサービスでの実装方法など

7. 2020 Shintaro Okamura @okash1n セキュリティとは？ protection of a person, building,

   organization, or country against threats such as crime or attacks by foreign countries: ❖ 情報セキュリティの文脈では守る対象は「情報」 SECURITY | meaning in the Cambridge English Dictionary https://dictionary.cambridge.org/dictionary/english/security

8. 2020 Shintaro Okamura @okash1n 情報といってもたくさんある ・顧客情報 ・個人情報 ・ソースコード

9. 2020 Shintaro Okamura @okash1n 全部守るのか？いや実際無理でしょ。 ・顧客情報 ・個人情報 ・ソースコード

10. 2020 Shintaro Okamura @okash1n どれを守ったらいいんだろう？ ・顧客情報 ・個人情報 ・ソースコード

11. 2020 Shintaro Okamura @okash1n 「何を守るか」は大きく2パターン 1. 法令やガイドライン・契約によるもの ◦ 基本的には「守る」以外の選択肢は無い 2.

    情報の保持者（主に企業や団体）の判断によるもの ◦ ものによっては「守らない」という選択肢もある

12. 2020 Shintaro Okamura @okash1n 「何を守るか」は大きく2パターン 1. 法令やガイドライン・契約によるもの ◦ 基本的には「守る」以外の選択肢は無い 2.

    情報の保持者（主に企業や団体）の判断によるもの ◦ ものによっては「守らない」という選択肢もある

13. 2020 Shintaro Okamura @okash1n 行政処分や社会的な死が待っている • 罰金 • 業務停止 •

    信用の失墜 ◦ ブランド力低下 ◦ 不買 これらの先には「倒産」が待っているかもしれない

14. 2020 Shintaro Okamura @okash1n サイバーセキュリティ .com https://cybersecurity-jp.com/news/27296

15. 2020 Shintaro Okamura @okash1n ITmedia ビジネスオンライン https://www.itmedia.co.jp/business/articles/1912/04/news159.html 問題となっていたのはリクルートキャリアの「リクナビDMPフォロー」というサービス。同社は 2018年度に対象企業に応募した学生のリクナビ上の行動履歴などを分析。アルゴリズムを作 成して19年度の学生の行動履歴と照合することで内定辞退率を予測していたが、学生に十分

    な説明をすることなく企業に提供していたとして、19年8月にサービスを廃止。同月には個人 情報保護委員会から、9月には厚生労働省から指導を受けている。個人情報保護委員会から は、今回2度目の勧告を受けた。 リクナビDMPフォローを利用していた企業のうち、トヨタ自動車、京セラ、YKK、三菱商事など 11社は、同サービスの利用目的について適切に通知・公表するよう指導を受けた。デンソー やレオパレス21など残り24社はこれに加え、個人データを第三者に提供する場合や個人デー タの取り扱いを委託する場合の対応についても指導を受けている。

16. 2020 Shintaro Okamura @okash1n 「何を守るか」は大きく2パターン 1. 法令やガイドライン・契約によるもの ◦ 基本的には「守る」以外の選択肢は無い 2.

    情報の保持者（主に企業や団体）の判断によるもの ◦ ものによっては「守らない」という選択肢もある

17. 2020 Shintaro Okamura @okash1n 情報の重要性は企業・業態によって異なる C社 B社 A社 パワポの資料 顧客のデータ全て

    製作物

18. 2020 Shintaro Okamura @okash1n 「守り方」は様々な要素から総合的に判断する • 情報の重要性 • 時代や環境 •

    漏洩する可能性（脅威度） • 実現可能性 • etc...

19. 2020 Shintaro Okamura @okash1n ゼロトラストとは？ Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft

20. 2020 Shintaro Okamura @okash1n ゼロトラストとは？ Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ 情報セキュリティにおける「考え方」を表す用語 ➢ Not「製品」or「特定の技術」 ➢ 「守り方」のお話 NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft

21. 2020 Shintaro Okamura @okash1n ゼロトラストとは？ Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ 情報セキュリティにおける「考え方」を表す用語 ➢ Not「製品」or「特定の技術」 ➢ 「守り方」のお話 NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft

22. 2020 Shintaro Okamura @okash1n 話をわかりやすくするために、従来のモデルをまず説明します Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ 先に断っておきますが、これらが「悪い」「もう使ってはいけない」というわ けではありません。 NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft

23. 2020 Shintaro Okamura @okash1n Perimeter：境界モデル

24. 2020 Shintaro Okamura @okash1n ネットワーク境界を区切ることで情報を守る考え方 • 人事情報 • 顧客情報 •

    etc...

25. 2020 Shintaro Okamura @okash1n 境界モデルを実現する方法 • ファイアウォール • DMZ •

    IPアドレス制限 • VPN • VDI • etc...

26. 2020 Shintaro Okamura @okash1n 恐らく9割以上の企業はこのタイプ • 人事情報 • 顧客情報 •

    etc...

27. 2020 Shintaro Okamura @okash1n 恐らく9割以上の企業はこのタイプでは？ • 人事情報 • 顧客情報 •

    etc... WFH VPN VPC

28. 2020 Shintaro Okamura @okash1n 繰り返しますが、このモデルは何も悪くありません • 人事情報 • 顧客情報 •

    etc... WFH VPN VPC

29. 2020 Shintaro Okamura @okash1n 様々な媒体（PC・DC・クラ ウド）の上に保存されてい る「情報」 繰り返しますが、このモデルは何も悪くありません WFH VPN

30. 2020 Shintaro Okamura @okash1n では何故ゼロトラストが生まれたのか？ Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ 情報セキュリティにおける「考え方」を表す用語 ➢ Not「製品」or「特定の技術」 ➢ 「守り方」のお話 NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft

31. 2020 Shintaro Okamura @okash1n では何故ゼロトラストが生まれたのか？ • 情報の重要性 • 時代や環境 •

    漏洩する可能性（脅威度） • 実現可能性 • etc...

32. 2020 Shintaro Okamura @okash1n 時代や環境の変化

33. 2020 Shintaro Okamura @okash1n そして

34. 2020 Shintaro Okamura @okash1n そして 新型コロナウイルス

35. 2020 Shintaro Okamura @okash1n 時代や環境の変化 • SaaS, IaaS, スマホの登場 ◦

    ロケーションに依存していてはビジネスにおける競争に勝つことが出 来ない時代になってきた ◦ ロケーションから解き放たれると「境界」の線引きが困難になる

36. 2020 Shintaro Okamura @okash1n では何故ゼロトラストが生まれたのか？ Zero trust (ZT) is the

    term for an evolving set of cybersecurity paradigms that move network defenses from static, network-based perimeters to focus on users, assets, and resources. ❖ ネットワークの境界における防御から、ユーザーやデバイスなど情報を取 り扱う主体ベースで防御を考える必要が出てきた NIST Zero Trust Architecture (2nd Draft) https://csrc.nist.gov/publications/detail/sp/800-207/draft

37. 2020 Shintaro Okamura @okash1n Perimeter：境界モデル • 人事情報 • 顧客情報 •

    etc... ここにいる人は大丈夫！！

38. 2020 Shintaro Okamura @okash1n 主体ベース（境界がミクロになったという見方もできる）

39. 2020 Shintaro Okamura @okash1n 時間が経つと信頼性も変わる

40. 2020 Shintaro Okamura @okash1n 脅威の質や量も変わってきた • 標的型攻撃 ◦ 三菱重工 ◦

    Emotet • 関係者の犯行 ◦ ベネッセ ◦ ブロードリンク

41. 2020 Shintaro Okamura @okash1n 境界を狭めた上で、定期的に信頼性を見直す必要がある

42. 2020 Shintaro Okamura @okash1n 境界を狭めた上で、定期的に信頼性を見直す必要がある What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/

43. 2020 Shintaro Okamura @okash1n 境界を狭めた上で、定期的に信頼性を見直す必要がある What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ 全く信頼 しない訳 ではない

44. 2020 Shintaro Okamura @okash1n 境界を狭めた上で、定期的に信頼性を見直す必要がある What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ Dataに アクセス させて 大丈夫？

45. 2020 Shintaro Okamura @okash1n 判定は可能な限り多数の要素から総合的に判断 What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ Dataに アクセス させて 大丈夫？

46. 2020 Shintaro Okamura @okash1n 判定は可能な限り多数の要素から総合的に判断 What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ • ID/Password合ってる？ • このIDにはアクセス権ある？ • このIDを使ってるのは本当に ID 保持者？

47. 2020 Shintaro Okamura @okash1n 判定は可能な限り多数の要素から総合的に判断 What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ • 信頼できるデバイス？ • ウイルスに侵されていない？ • OSのバージョンは？

48. 2020 Shintaro Okamura @okash1n 判定は可能な限り多数の要素から総合的に判断 What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/ • どこからアクセスしてる？ • 通信は暗号化されてる？

49. 2020 Shintaro Okamura @okash1n これらの総合点で判断する Implementing a Zero Trust security

    model at Microsoft https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft

50. 2020 Shintaro Okamura @okash1n つまりゼロトラストとは 情報にアクセスする主体が、アクセスしようとしている情報に対してアクセス権 があるかどうかを、様々な方法で常に検証することで情報を保護する考え方

51. 2020 Shintaro Okamura @okash1n でもこんなの自前で作るのはかなりキツい Implementing a Zero Trust security

    model at Microsoft https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft

52. 2020 Shintaro Okamura @okash1n 巨人達の肩にある程度乗っていく • Microsoft 365 • GSuite

    Enterprise • Akamai EAA • etc...

53. 2020 Shintaro Okamura @okash1n 巨人達の肩にある程度乗っていく What is the Zero Trust

    Model for Cybersecurity, Really? | LogRhythm https://logrhythm.com/blog/what-is-the-zero-trust-model-for-cybersecurity/

54. 2020 Shintaro Okamura @okash1n サービス作る側は？（SaaSサービスなど） Implementing a Zero Trust security

    model at Microsoft https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft

55. 2020 Shintaro Okamura @okash1n サービスのユーザー管理にこんな機能持たせるのはきつい Implementing a Zero Trust security

    model at Microsoft https://www.microsoft.com/en-us/itshowcase/implementing-a-zero-trust-security-model-at-microsoft

56. 2020 Shintaro Okamura @okash1n 導入企業側に選択肢を与えてあげる 例えば • SAMLでのSSOを強制出来る機能をつけてあげる ◦ ゼロトラストな方向に向かおうとする企業向け

    • IP制限やプロキシ経由での利用を可能にする機能 ◦ 境界型、もしくは境界型からの移行中の企業向け

57. 2020 Shintaro Okamura @okash1n どうやって勉強したらいい？ • 弊著と言いたいところだが

58. 2020 Shintaro Okamura @okash1n どうやって勉強したらいい？ • @ken5scal さん翻訳の本家をオススメします

59. 2020 Shintaro Okamura @okash1n どうやって勉強したらいい？ • @ken5scal さん翻訳の本家をオススメします

60. 2020 Shintaro Okamura @okash1n どうやって勉強したらいい？ • Google Beyondcorp ◦ https://cloud.google.com/beyondcorp?hl=ja

    • MicrosoftのZeroTrustに関するドキュメント ◦ https://www.microsoft.com/ja-jp/security/business/zero-trust • NIST SP 800-207（まだドラフト） ◦ https://csrc.nist.gov/publications/detail/sp/800-207/draft

61. 2020 Shintaro Okamura @okash1n 今日のまとめ 1 • どんな情報をどのレベルで守るのかまず定めましょう ◦ 法規制に触れる部分は法に則る

    ◦ それ以外は自分たちのビジネスにおける重要性と危険性から決める

62. 2020 Shintaro Okamura @okash1n 今日のまとめ 2 • 境界型防御やVPN等が悪いわけではない • 変化するビジネスシーンや脅威の中で、守りたい（守るべき）情報を守りな

    がら、円滑にビジネスを行う為に、防御の境界をユーザーやデバイスレベ ルまで狭める必要が出てきただけ • Zero Trust（何も信頼しない）のではなく常に様々な要素から信頼を見直し 続ける仕組みが必要

63. 2020 Shintaro Okamura @okash1n 今日のまとめ 3 • 自前で作り込むのは厳しいので、海外でも実績のある巨人達のソリュー ション（AzureAD, GSuite,

    Ping, Okta)などに乗っかりましょう（私は Microsoftのソリューションが今の所オススメ） • SaaSなどのサービスを作る側はSAML認証の強制やプロビジョニングの 仕組みなど、巨人達のソリューションとの連携機能をつけてあげましょう

64. 2020 Shintaro Okamura @okash1n ご清聴ありがとうございました！