5回にわたり（月一回寄稿）、業界のバズワードにもなっている”ゼロトラスト“をこの分野の第一人者、株式会社ラックの仲上 竜太氏に解説してもらう”変化するコンピューティング環境とゼロトラスト“シリーズ。第4回目の今回は「日本政府が取り組む、セキュリティのゼロトラスト化」をお届けします。

コンピューティング環境の急速な変化は、日本政府の情報システムの取り組みにも大きな影響をもたらしています。従来、政府情報システムでは、取り扱う情報の機密の観点から、パブリッククラウドサービスなどの利用が制限されてきました。しかし、昨今のクラウドサービスの充実による、コスト優位性や新たな技術への対応速度向上、セキュリティ水準の向上、柔軟性や可用性の向上を受け、2017年に閣議決定された「世界最先端ＩＴ国家創造宣言・官民データ活用推進基本計画」や「デジタル・ガバメント推進方針」では、政府情報システムを整備する際に、クラウドサービスの利用を第一候補とするクラウド・バイ・デフォルトの原則が示され、その後クラウドの利用の検討が様々な場面で積極的な進められています。

2018年に各府省情報化統括官（CIO）連絡会議が公表した「政府情報システムにおけるクラウドサービスの利用に係る基本法方針」で提示されたクラウド・バイ・デフォルトの原則は、システム構築の際の選択肢として、SaaS（Software as a Service：ウェブによるアプリケーションサービス）を最も高い優先順位で検討し、次にIaaS（Infrastructure as a Service：仮想化インフラサービス。OSから下をサービスとして提供）／PaaS（Platform as a Service：仮想化プラットフォームサービス。ミドルウェアまでをサービスとして提供）を検討し、これらのクラウドサービスが適用できない場合にのみオンプレミスを採用するといった具体的な利用検討方針です。これらの考え方をもとに、政府統一基盤の準備や、各省庁におけるデジタル・ガバメントに実現に向けた取組が進められています。

しかし、クラウドサービスは従来の物理ネットワークの信頼に依存した境界型セキュリティでは十分な保護が行えません。米国政府が「NIST SP800-207 Zero Trust Architecture：ゼロトラスト・アーキテクチャー」によって、境界型防御におけるセキュリティ課題を解消し、クラウド時代に対応したセキュリティモデルとしてゼロトラストへの移行を推奨したのと同様に、日本政府においても、これらのクラウド・バイ・デフォルトの原則に基づいた、セキュリティ対策としてのゼロトラストに言及した文書が政府CIO補佐官によるディスカッションペーパーとして公表されています。

2020年6月に発表された「政府情報システムにおけるゼロトラスト適用に向けた考え方」は、クラウド・バイ・デフォルトによるパブリッククラウドの利用や働き方改革、APIによるシステムの官民連携などを実現するためには従来の境界型セキュリティだけでは困難であるとして、ゼロトラストの考え方を紹介し、取り組みを推奨する文書として公開されました。

2020年4月に実施された緊急事態宣言を始めとした、新型コロナウイルス感染の有効な対策としてほぼ強制的に実施されたテレワークでは、多くの企業や組織で急遽テレワーク環境を準備せざるを得ない状況が発生し、一部の企業ではVPN渋滞と呼ばれる混乱が生じました。これらの期間で準備されたネットワークは脆弱な設定が行われたケースや、充分セキュリティ対策が行われていない状況も生じており、現在もなお、激化するサイバー攻撃の端緒として狙われています。

この「政府情報システムにおけるゼロトラスト適用に向けた考え方」は、ゼロトラストに取り組む際の考え方が整理されており、民間においても十分活用できるフレームワークとなっています。本書は大きく以下の３つの章で構成されています。

• 境界型セキュリティとゼロトラスト
• 政府情報システムにおけるゼロトラストの適用
• 具体的な取り組み

「境界型セキュリティとゼロトラスト」では、ゼロトラストの仕組みと特性を従来の境界型セキュリティと比較し、境界型が持つ問題点や課題についてゼロトラストによってどのように解決されるかが示されています。境界型セキュリティでは、内部と外部の厳格な遮断が困難であること、USBメモリーなどの持ち込みによるマルウェア感染が生じること、セキュリティを高めるためにネットワークを切り離した環境に生じるセキュリティリスクなどに着目。さらにクラウドの活用が前提となるデジタル・ガバメントによる官民連携に対応していない点などを指摘し、ゼロトラストによるセキュリティ対策の有効性について紹介しています。

「政府情報システムにおけるゼロトラストの適用」では、政府情報システムに対してゼロトラストを適用するプロセスを、５つの取り組みに分解して紹介しています。

1. パブリッククラウド利用可能システムと利用不可システムの分離
2. システムのクラウド化徹底とネットワークセキュリティ依存の最小化
3. エンドポイント・セキュリティの強化
4. セキュリティ対策のクラウド化
5. 認証と認可の動的管理の一元化

この「政府情報システムにおけるゼロトラスト適用に向けた考え方」は、政府が運用する情報システムにおけるゼロトラストをどのように適用していくかについて考えられた文書ですが、その取り組みの方向性は、企業や組織における情報システムの在り方やゼロトラストの取り入れ方にも応用が可能なものです。特にエンドポイント・セキュリティの強化など、現在の境界型セキュリティの環境でも有用な方針も記載されており、企業や組織でゼロトラストに取り組むにあたって、どこからどのように手を付けるべきかの参考になる文書となっています。

今後ますます整備の進むデジタル・ガバメントによる官民連携では、企業側にもセキュリティ対策の遵守が要求されるものと考えられます。その際に、日本政府の考えるゼロトラストの姿を理解し、実装を検討しておくことは、将来に向けて重要な取り組みであると言えます。

Author : 

株式会社ラック

セキュリティプロフェッショナルサービス統括部デジタルペンテストサービス部長

兼サイバー・グリッド・ジャパン シニアリサーチャー

仲上 竜太氏