経済産業省は2020年7月から2021年3月までゼロトラストネットワーク(ゼロトラスト)の概念を取り入れた業務システムの実証実験を実施し、2021年5月にその報告書をGitHub▼で公開した▼(図1)。報告書には概要だけではなく、導入したサービスの具体名や選定理由、運用のポイントなども詳しく書かれている。ゼロトラストの導入を検討している企業は参考にしてほしい。
CASBやSIEMも導入
ゼロトラストとは、接続元のネットワークや機器を問わず常にアクセスを精査し、適切に認証・認可をするセキュリティーモデルのこと。従来の境界防御に代わるモデルとして注目されている。
実証実験は、デジタル関連のプロジェクト推進などを担う商務情報政策局情報プロジェクト室(以下、情報プロジェクト室)が中心となって実施した。構想やシステム構築には、情報システム部門向けコンサルティングのクラウドネイティブが協力した。
システムの中心となるのは、IDaaS▼のAzure Active Directory(Azure AD)を使った認証基盤だ(図2)。Azure ADで利用者を認証した後、SaaS▼にシングルサインオン(SSO▼)させる。
今回の実証実験では、セキュリティー対策に特に力を入れた。例えば、SaaSの利用状況を可視化するCASB▼や様々なログを収集・分析するSIEM▼、端末を保護するためのEDR▼を導入している。
認証基盤の中心となるIDaaSなどはシステム構成において必要不可欠だが、CASBやSIEMなどは「なければ動かない」というものではない。コストなどの面から民間でも未導入の企業は多い。それらを取り入れ知見を得ようとする点に、セキュリティーに重きを置く姿勢がうかがえる。
SaaS事業者も解読不能
これらに加えて、実証実験ではBYOK▼も取り入れた。BYOKとはクラウド事業者が用意した鍵ではなく利用組織独自の鍵を使ってデータを暗号化する、いわばクラウドに自前の暗号鍵を持ち込むための仕組みだ。こちらも民間企業を含め実用化できている組織は少ない。実証実験とはいえ、とりわけ挑戦的な取り組みといえる。
具体的には、米アマゾン・ウェブ・サービスの暗号化鍵管理サービス「AWS Key Management Service(AWS KMS)」に格納した暗号鍵を使うことで、SaaSに保管したデータの中身をSaaS事業者でさえ確認できないようにした。
2021年3月にはLINEアプリ利用者の個人情報がLINEの中国関連会社から閲覧できた問題をきっかけとし、クラウド事業者によるデータの適切な取り扱いについて社会的な議論が起きた。BYOKをシステムに組み込めれば、クラウドサービスへの懸念に対する1つの解決策となり得る。
