はじめに
背景と目的
政府情報システムにおけるサイバーセキュリティは、閣議決定された「デジタル社会の実現に向けた重点計画[^1]」(以下、「重点計画」という。)において、利便性の向上と両立させることとしている。また、重点計画の「包括的データ戦略」では、新たな価値を創出する社会を実現するための方向性が示されている。そのために「サイバーセキュリティ戦略[^2]」では、不確実性が絶えず変容し、かつ増大するサイバー空間の「自由、公正かつ安全」を確保し、さらに確保すべき価値の不変性に繋げるために、自らも常に変化を重ねていく必要があると示している。
今後、政府情報システムにおいては、標準の策定や共通機能の整備が進むと、重点計画の「国の情報システムを整備する際に留意すべき事項」の共通基盤の活用で言及されているように、クラウド・バイ・デフォルト原則に従い、クラウドサービスの利用を原則とした業務環境が目指されている。またテレワークの推進によりこの流れはより強化され、イントラネット外の業務環境を前提としたサイバーセキュリティ対策を実施する必要がある。
このような業務環境の変化により増大する脅威や攻撃経路は、従来の対策を凌駕し、深刻な被害をもたらす。イントラネット内での業務に加え、インターネット上での業務が標準になった場合でも、サイバー攻撃からリソースを保護しなければならない。近年の高度化したサイバー攻撃を完全に予防・防御することは、従来の考え方と対策だけでは困難になってきた。そのため、セキュリティインシデントの検知と対応、そして政府情報システムの復旧が重要になってきている。イントラネット内に限定されない業務環境におけるサイバーセキュリティを確保するために、従来のネットワーク防御を中心にした境界型セキュリティから考え方を大幅に拡張することが求められている。
そのため、この拡張の実態であり、境界型セキュリティを拡張した考え方である「ゼロトラストアーキテクチャ」を適用するための基本的な方針および留意事項を示す。各府省の政府情報システムのセキュリティ対策を検討する際には当該方針および留意事項を参照することを推奨する。
適用対象
本文書は、政府情報システムを適用対象として想定している。なお、本文書はゼロトラストアーキテクチャへの理解を深める参考文書であり、適用の遵守を求めるものではない。
位置づけ
本文書は、標準ガイドライン群の一つとして位置づけられる。
用語
本文書において使用する用語は、表1-1及び本文書に別段の定めがある場合を除くほか、標準ガイドライン群用語集の例による。その他専門的な用語については、民間の用語定義を参照されたい。
| 用語 | 意味 |
|---|---|
| 境界型セキュリティ[^3] | 従来のセキュリティの基本的な考え方であり、境界で内側と外側を遮断して外部からの攻撃や内部からの情報流出の防止を試みる。境界型セキュリティは「信頼 できないもの」が内部に入り込まない、また内部には「信頼できるもの」のみが存在することが前提となる。セキュアなネットワークの構築が中心となる。 |
| アクセス制御ポリシー | ユーザ属性情報、OSやパッチバージョンなどのデバイス属性情報といった情報から、アクセスが許可される条件を満たすかどうかを評価するルール。複数のポリシーを組み合わせて評価することも可能。 |
| アクセス制御の施行 | 何らかの機構が、一定のルールやポリシーに従って評価されたアクセス可否の結果を実際のアクセスに対して施行すること。 |
| ゼロトラスト | 境界の内部が侵害されることも想定したうえで、情報システムおよびサービスの要求ごとに適切かつ必要最小の権限でのアクセス制御を行う際に、不確実性を最小限に抑えるように設計された概念。 |
| ゼロトラストアーキテクチャ | ゼロトラストアーキテクチャは、ゼロトラストの概念を利用し、クラウド活用や働き方の多様化に対応しながら、政府情報システムのセキュリティリスクを最小化するための論理的構造的な考え方。 |
| 常時リスク診断情報 | 各関係組織のシステムにおけるサイバーセキュリティリスクについて常時かつ継続的に状況を把握し、必要に応じて各組織と連携してリスク低減活動を実施するための、情報収集した情報。政府情報システムにおいてはCRSA(Continuous Risk Scoring and Action)により収集された情報が該当する。 |
| 耐タンパー性を有するモジュール | 暗号化・復号・署名生成のための鍵をはじめとする秘密情報や秘密情報の処理メカニズムを外部から不当に観測・改変することや秘密情報を処理するメカニズムを不当に改変することが極めて困難であるように意図して作られたハードウェアやソフトウェアのモジュール[^4]。 |
表 1‑1 用語の定義
ゼロトラストアーキテクチャとは
ゼロトラストアーキテクチャの概要
ゼロトラストアーキテクチャは、クラウド活用や働き方の多様化で増大する脅威に適合するために、政府情報システムの内部における攻撃者の自由な行動を阻害しようとするセキュリティ対策の考え方である。具体的には、特定の業務フロー内で、あるリソースから別のリソースへのアクセスが最小権限の原則を満たすよう、業務フローを取り巻く環境の情報を活用し、事前に定められたアクセス制御のルールによって評価され、その結果に従うアクセス制御が施行されるといった一連の手続きを踏む考え方である。この考え方は政府情報システムの導入や運用といった特定のフェーズだけに限定されるものではなく、中長期的な政府情報システムに係るライフサイクル全体にわたって適用されるものである。したがってゼロトラストアーキテクチャは特定の実装やソリューションを指すものではない。図 1‑1は、ゼロトラストアーキテクチャの概念図である。
図 1‑1 ゼロトラストアーキテクチャ概念図
デジタル化された業務プロセスにおいては、特定のリソースがアクセス元として、別のリソース(アクセス先)にアクセスする。表 1‑2では、従業員(人)がデバイスを用いてアプリケーションに保存されたデータにアクセスする業務プロセスと、主体がサーバであり複数のアプリケーションを介して特定のリソースにアクセスする業務プロセスをとりあげている。これらのアクセス内で、どのようなリソースが存在しうるかを簡易的に一覧化している。
リソース間の関係性は業務プロセス内で変化し、あるアクセスではアクセス先だったリソースが、別のアクセスではアクセス元になりうる。例えば、リソースAのアクセス先であったリソースBは、リソースYとの関係性ではアクセス元となる。そして、それぞれのアクセスにおいて、リソースの状態やアクセス時の文脈に応じたアクセス制御が適用される。
| 主体 | リソースA | リソースB | リソースX | リソースZ |
|---|---|---|---|---|
| 人 | デバイス | ネットワーク | アプリケーションX | アプリケーションX内のデータ |
| サーバ | アプリケーションA | アプリケーションB | アプリケーションC | アプリケーションCの機能 |
表 1‑2 リソース例
具体例
概念図をより詳細に説明するにあたって、「従業員が貸与された端末を使いファイルを参照する」業務フローを図 1‑2に示す。
まず、従業員や端末といった物理的な主体がある。そしてデジタル上で表すリソースとして、ディレクトリサービス上のユーザオブジェクトやデバイスオブジェクトがあるとする。従業員や端末がそれらオブジェクトに認証を要求するとディレクトリサービスが課すアクセス制御ポリシーに評価され、認証されたのちに、必要最小限の権限がトークンやチケットという形で付与される(アクセス①)。
端末とファイルサービス間では、ネットワーク上のファイアウォールが送信元IPアドレスや宛先ポート番号からアクセスを評価し、セッションを成立させる(アクセス②)。その後、ユーザオブジェクトがサービス内のファイルにアクセスする際は、ファイルやフォルダあるいはディレクトリ上のアクセス制御ポリシーがユーザオブジェクトあるいはデバイスオブジェクトに発行されたトークンを評価し、問題がなければファイルへの参照権限のみが付与される(アクセス③)。
境界型セキュリティとの関係
境界型セキュリティとは、境界で内側と外側を遮断して外部からの攻撃や内部からの情報流出の防止を試みる考え方であり、ネットワークを用いた実装が基本となる。境界型セキュリティは「信頼できないもの」が内部に入り込まない、また内部には「信頼できるもの」のみが存在することが前提となるが、標的型攻撃や内部犯行などの事例から本手法は限界があると言われ、ゼロトラストアーキテクチャとの比較対象とされることが多い。
しかし、本来、ゼロトラストアーキテクチャは境界型セキュリティとネットワークベースのセキュリティ対策を否定するものではない。図 1‑3のように、パケットの送信元アドレスおよび宛先アドレスをオブジェクトと考え、特定のポートのみを許可するポリシーを適用していると考えれば、むしろゼロトラストアーキテクチャの考え方を正しく実現しているといえる。
図 1‑3 境界型セキュリティ概念図
一方、クラウド・バイ・デフォルト原則によって、今後インターネット上のクラウドサービス等の利活用が拡大すると見込まれ、オンプレミス環境とは異なる脅威や攻撃経路があると考えられる。そういった脅威に対し、ネットワークベースの境界型セキュリティだけではサイバーセキュリティ上の備えとしては不十分となる恐れがある。図 1‑3の業務プロセスをクラウド上で行い、その際にアクセス制御をネットワーク境界だけで行う場合、より多くの脅威に晒されるインターネット空間上のリソースAからリソースZまでの一連の業務プロセスにおいて、アクセス制御が施行されるのはリソースAへのアクセス時のみになり、リソースB以降には一切施行されないことになる。異なる業務環境に対して既存のセキュリティ対策を据え置くと、クラウド・バイ・デフォルト原則に期待される効率性の向上、セキュリティ水準の向上、技術革新対応の向上、柔軟性の向上、可用性の向上などのメリットを阻害しかねず、また、管理外のクラウドサービスの利用等といった抜け穴を増やす動機にも繋がる。業務環境の選択肢が増える中で、組織の目的とシステム戦略を踏まえて境界型セキュリティから変容させたものがゼロトラストアーキテクチャとなる。境界型セキュリティからゼロトラストアーキテクチャへの変容により、拡張された点について次に示す。
-
多様な業務環境への適用
- クラウド・バイ・デフォルト原則を前提にした環境であっても、既存のオンプレミスな境界型セキュリティな環境であっても、適用できる考え方になる。
-
複数の異なる情報を使ったアクセス制御
-
リソース間同士のアクセス制御に細分化したことにより、ディレクトリサービスなどのネットワークパケット以外の情報を使ったアクセス制御が可能になる。
-
ネットワークベースの境界型セキュリティを追加のアクセス制御として扱える。
-
-
観測情報の入手の拡大
- 業務フローをリソースごとに区切り、それぞれにアクセス制御を施行するため、詳細かつ広範囲な観測データが入手できるようになる。
-
連携する外部システムの拡大
- 脅威情報やPKIなど外部システムの属性情報と、アクセス制御管理機能が連携し情報の交換を想定している。
-
アクセス制御機能における評価と施行を分離
- アクセス制御におけるポリシーとの評価とアクセスへの施行を分離することで、柔軟な設計が可能となる。