ゼロトラストについて
アクセス制御のABACって知っている?
-デジタル庁のゼロトラストアーキテクチャを読み解く-
技術者ブログ
デジタル庁が中心となってクラウド・バイ・デフォルト原則
皆さんは「クラウド・バイ・デフォルト原則」という言葉を聞いたことはありますか?
クラウド・バイ・デフォルト原則は政府によって打ち出されたクラウドサービス活用に関する大きな方針です。
概要や発表された背景などについて簡単に紹介します。
クラウド・バイ・デフォルト原則が発表されたのは2018年6月頃で、その目的は政府が今後めざす社会に対応できる情報システムを構築するための方針です。従来の政府情報システムでは、組織が保有・運用するサーバー上に構築されるオンプレミス型が主流でした。オンプレミス型のシステムはクラウド型と比べてコスト面や調達の柔軟性に劣ります。そこで、政府情報システムを強化するために発表された方針が、”クラウド・バイ・デフォルト原則”です。(※”クラウド・バイ・デフォルト”の司令塔として、2021年9月にはデジタル庁が発足されたのは皆さんご存じのとおりです。)
“クラウド・バイ・デフォルト原則“には、クラウドサービスの利用検討を行う際のプロセスや、情報セキュリティに関する内容が含まれています。そのため、民間企業でクラウド化を進める際にも、クラウド・バイ・デフォルト原則の考え方は有用とも言われています。
このように政府もクラウドを使うことが前提になってきている現在において、
一般企業もあらゆる業務にクラウドを活用していくことは当然のことかなと感じています。
デジタル社会推進標準ガイドライン
こうした原則のもと、2023年3月にはデジタル庁から「デジタル社会推進標準ガイドライン」が公開されました。
『デジタル社会推進標準ガイドライン』はこちらから
デジタル社会を実現するためには、「共通ルール」の下で関係者が協働し、価値を生み出すことが重要で、このサイトには共通ルールや参考ドキュメントが多数まとめられています。以下にいくつかご紹介していきます。
クラウド・バイ・デフォルト原則でクラウドを使う5つのメリット
デジタル社会推進標準ガイドラインDS-310
政府情報システムにおけるクラウドサービスの利用に係る基本方針
2022 年(令和4年)12 月 28 日 デジタル社会推進会議幹事会決定
デジタル社会推進標準ガイドラインDS-310
『政府情報システムにおける クラウドサービスの適切な利用に 係る基本方針』
DS-310は政府の情報システムについてのガイドラインですが、資料内で示されている「クラウドの5つメリット」は、一般企業におけるクラウド活用にも合致する内容です。あらためてクラウド活用すると何が良くなっていくのかが理解できる内容です。
➀効率性の向上
リソースの共有によるコスト低減と導入期間の短縮は、クラウドサービスのもっともよく知られたメリットです。
➁セキュリティ水準の向上
クラウド事業者同士による激しい競争環境では、新しい技術を積極的に採用する必要があり、
また規模の経済から情報セキュリティレベルの効率的な向上が期待できます。
➂技術革新対応力の向上
クラウド事業者は、AIやビッグデータ、IoTなどの新しい機能を随時提供しています。
クラウドの採用により、最新技術の検討や活用が容易に行えます。
➃柔軟性の向上
リソースの追加や変更などが容易な点もクラウドのメリットの1つと言えます。短期間だけ運用するシステムや、
利用する機能の組み合わせを変更することで、業務の変更にも柔軟に対応できます。
➄可用性の向上
ミッションクリティカルなシステムで24時間365日の可動が求められるシステムを実現するために、従来では大きなコストが必要でした。しかし、クラウドであれば過剰な投資を抑えながらの実現が可能。また、大規模災害への対応も可能です。
ゼロトラスト対策とアクセス制御に関する文書
デジタル庁ではさらに、クラウドを安全に使うためのゼロトラスト対策とアクセス制御についての技術文書も公開しています。クラウドを継続して利用していく為には適切な管理や安全なシステム運用を目指していく必要があります。一方で「オンプレとは違って、全体のシステム設計をどう考えていけば分からない?」という、システム担当者にも、具体的な内容に踏み込んだ文書を公開しています。
デジタル社会推進実践ガイドブックDS 212
『ゼロトラストアーキテクチャ適用 方針における属性ベースアクセス制御に関する技術レポート』
2023 令和5年3月31日
デジタル庁
〔キーワード〕
アクセス制御、ゼロトラストアーキテクチャ
文書内では、
”クラウド・バイ・デフォルト原則”に従ってクラウド利用を推進していくためにはサイバーセキュリティを新しい環境に適応させる「ゼロトラストアーキテクチャ」の考え方を組み込むことが重要で、ゼロトラストアーキテクチャは、業務プロセスに必要な各リソース間のアクセスを、様々な情報から制御することを核としている。
とあります。
アクシオも提唱している、ゼロトラスト対策のためのID管理にも共通しているアーキテクチャです。
アクセス制御のABACって知っている?
アクセス制御モデルの4種類
DS-212の技術レポート内ではアクセス制御の4モデルを紹介しています。
➀Discretionary Access Control(DAC)
➁Mandatory Access Control(MAC)
➂Role Based Access Control(RBAC)
➃Attribute Based Access Control(ABAC)
着目すべき制御モデルは➃の属性ベースのアクセスコントロール(ABAC)です。
DS-212では「クラウドを利用するケースにおいても利用者のIDと各システムの利用権限(アクセス制御)を紐づけさせるには、ロールベースのRBACや属性ベースのABACでのコントロール制御方針が大切」といったことが述べられています。
簡単にまとめるとABACでのアクセス制御は次のような優位性があります。
ABAC のメリット
➀「リソースを識別し、特定できる状態にする」
ゼロトラストアーキテクチャが対象と するリソースの対象はユーザーだけでなく、
デバイス、 アプリケーション(サービスも含まれます)つまり管理すべきリソースの量は膨大であることが予想されます。そのため、識別や特定作業の効率化が求められます。 絞り込みも、より複雑になるABACであれば属性とその値(情報)を組み合わせて絞り込みができるので 、識別と特定作業を効率化できます。
➁「主体の身元確認・当人認証を実施する」
身元確認・当人認証は重要な処理で、ABACはその処理の結果を関連する付加情報やメタデータを属性情報に取り込むことで、より強固なアクセス制御を実現できます。
➂「ネットワークを保護する」
業務処理の安全性を確保する場合にも有効。
➃「リソースの状態を確認する」
従来とは異なる環境からのサインインなどの正常である確証を持てない処理に対して、 システム管理者は適切なリスク対応しやすい。
➄「アクセス制御ポリシーで、アクセスを管理する」
影響範囲のコントロールが容易になる。
その他ABACの実装例についてデジタル庁は下記にも詳しい解説書を公開しています。
興味のある方は是非読んでみてください。
■参考. ABACの実装例-Microsoft Azure Active Directory編.pdf
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/a67d3e47/20230411_resources_standard_guidelines_glossary_02.pdf
■参考. ABACの実装例-Amazon Web Services編.pdf https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/6cc40812/20230411_resources_standard_guidelines_glossary_01.pdf
まとめ
属性ベースのアクセス制御=ABACって言葉は耳慣れない言葉ですが、ゼロトラスト対策を実際に設計する上では、重要なアクセス制御の方法論です。ABACはRBACのようにロールのような属性の値を基にする点でも類似していますが、ロール以外の複数種別の属性情報や環境情報を使った複雑なポリシーを定義できる点が最大の特徴と言われています。
アクシオの取り扱い製品であるID管理のクラウドサービスの「Keyspider」や「DALIAS」も組織や役職などの個人のIDに紐づく属性を標準的に管理しています。 クラウドシステムの利用者に、「ゼロトラストアーキテクチャに基づいた適切な権限のポリシーを割り当てたい」と検討中の情シス部門の担当者やシステム管理者の皆さまには是非おすすめのツールです。
クラウドID管理サービス「Keyspider」
https://www.axio.co.jp/products/keyspider/
ID情報基盤DBサービス「DALIAS」
https://www.axio.co.jp/products/dalias/
ゼロトラストアライアンス・ジャパン
https://ztaj.jp/
最後までご覧いただきありがとうございました。