ページの先頭です

ページ内を移動するためのリンク
本文へ (c)

ここから本文です。

自治体ネットワーク強靭化の考察 「三層の対策」の次を考える(その1)

ライター:阿部 豊彦
経歴:エンタープライズ系インフラの提案、設計、構築や、SDN提案、
工場IoTネットワークやセキュリティのコンサルなどを担当。
ファシリティ、インフラ、セキュリティなどボーダーレスです。
昨年末から文教フィールドへ参入。

目次

はじめに

年末のクリスマス日付で公開された政策決定に関する2つの図書

  ・デジタル・ガバメント実行計画 (令和21225日 閣議決定 | 政府CIOポータル)

  ・自治体DX推進計画概要 (令和21225日 | 総務省)

これらはデジタル・ガバメント実現のための計画書です。この中に、「自治体強靭化」に関する記載があり、その中のキーワードから「にわかに盛り上がるゼロトラスト」「三層の対策で設けられた分割の見直し」2つのテーマについてゆるいトークとなります。

今話題のアプリならぬ「ClubNOS」の世界へようこそ。

「にわかに盛り上がるゼロトラスト」前編

ゼロトラスト(ゼロトラ)は、その意味合いとおり、「なにも信用しないぞ、と言っているセキュリティシステム」という考え方です。正確には、ゼロトラストネットワークアクセス(ZTNAといい、あくまでネットワークへのアクセスに関するセキュリティです。セキュリティ全体を網羅して、置き換わるものではありません。この考え方は、10年以上も前に提唱されています。

NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳

簡単にいうと、インターネット【外】と、庁内【内】の境界にファイアウオールを設置して庁内を守るモデルはすでに古い。クラウドやテレワーク利用を考えればわかるとおり、データやアプリが【外】にあったり、職員が【外】にいたりするケースが増えていく状態では、内も外も関係なくなった状態に既にあるわけです。その接続しようとする利用者が本当に正しい職員かどうか?厳重に確認してからつながせる「性悪説」にもとづく考え方です。

限定的にとらえれば、認証系のセキュリティのことです。認証と言っても職員(利用者)を「IDとパスワード」で認証するだけではなく、職員の持ち物や生体情報、使っている端末、接続方法、接続時間帯など総合的に判断しましょうとしています。厳格に慎重に。

対象は、アクセス主体となる庁内の職員、端末、テレワークやリモートの職員、端末となります。

NIST SP800シリーズとは、科学技術分野における計測と標準に関して研究する政府機関NIST(National Institute of Standards and Technology:米国国立標準技術研究所)が、SP800としてコンピュータ・セキュリティを扱う特別刊行物として発行されています。認証と認可、動的、監視、測定がゼロトラのキーワードとなっています。

複数の認証要素をつかうことが考えられています。

ゼロトラの中核は、PEPとPDPで構成されます。アクセス要求はまず、PEP(ポリシー実行/適用ポイント)を通り、重要な情報資産へアクセス要求があると、PDP(ポリシー決定ポイント)でアクセスの許可・不許可を決定します。その決定をPEPが実行します。PDPでは、ユーザーID、利用端末の状態、利用環境、セキュリティログ、アクセスポリシー、などから得られる情報を十分に精査して、アクセス要求ごとにアクセスの許可・不許可を決定します。

PEP(Policy Enforcement Point、ポリシー適用ポイント)、PDP(Policy Decision Point、ポリシー決定ポイント)

多要素認証・二要素認証・二段階認証の違いとは

いまさらですが、あらためて。

・二要素認証は、多要素の一部です。認証の段階(回数)については不問です。

・二段階認証は、認証の "段階" 2回行うことです。認証に使う要素種類については不問です。

ですので、二要素認証を二段階で行うことも可能です。複数の認証の要素を使うことが重要なのです。PIN番号で起動して、ID/パスワード入力でログインする。どちらも「知識要素」ですので、どちらかを「生体要素」に変えることで認証セキュリティが上がるという考え方が二要素認証です。

認証と認可と動的

情報資産へアクセスが可能かを「認可」で許可します。これを動的に行います。つまり情報資産へのアクセス制限(アクセス制御)を動的に行うということです。

では、アクセス制限というポリシーを動的に運用する場合、何を判断基準にしてポリシーを変更するのか?

評価したセキュリティリスクにもとづき、セキュリティポリシーを自動的に変更する「動的なアクセス制御の変更」機能が不可欠です。という具合によく書かれていますが、では「評価したセキュリティリスク」とは?

それは、上記表にある、確認された職員や端末の状況によって総合的に判断されます。庁内からか、テレワークか? パスワードは3回以内か? 機体は登録機か? 許可されないアプリの利用はあるか? 接続時間は決められた時間帯か? セキュリティアラームが上がっていないか? などなど・・・・・総合的にそのアクセスのセキュリティリスクを評価します。

常に確認する

いったん認証認可した信頼も不変のものではありません複数のセキュリティリスク状況を常に検査し、変更がないかを継続的にモニタリングします。なんらかの変化が生じた場合は、セキュリティリスクの変化に応じたアクセス制限に動的に変更します。認証認可の確認を再度やり直すことまでも考慮されています(何も信じない!)

結果として、同じ職員(同じID)であってもセキュリティリスク状況に応じて、アクセスできる情報資産が制限されるということです。もちろんその職員には事前に、どのような場合にどのくらいのアクセス制限があるか周知しておく必要があります。

ここまで来て、うすうす気づかれたと思いますが、これはセキュリティ概念であって、具体的な施策がありません。この考え方をどこまで取り込んでいけるか? 将来を見据えてスムーズに移行できるか? がポイントとなります。

「自治体ネットワーク強靭化の考察 「三層の対策」の次を考える」(その2)に続く

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

RECOMMEND