ゼロトラストとは

今後のネットワークセキュリティに必要な考え方、「ゼロトラスト」とは?


昨日の記事「リモートアクセス・仮想アプライアンスまとめ」にて、リモートアクセスに関する記事を投稿させていただきました。今回はそれに関連して、ネットワークセキュリティにおいてよく耳にする方も多い、”ゼロトラスト”という新しい考え方について触れさせていただきます。


ゼロトラストの概念

「ゼロトラスト」とは、新しいセキュリティの概念を指します。色々なところで定義がされていますが、特定の製品やカテゴリを指す言葉ではありません。そこはご注意を!
その概念ですが、「ゼロトラスト」という名の通り、「信じるものはなにもない」ということです。なんか、とても悲しい響きですね(泣)。
でも、とても大切な考え方なのです。以下に従来のセキュリティと対比しながら解説をいたします。

これまでのセキュリティの考え方

「オフィスで仕事をする」「オンプレデータセンターに社内リソースがある」ことを前提とし、その間をキャリアが提供する閉域網で閉ざされたイントラネットワークを敷くことで、社内⇔社外で物理的な境界を引き、「社内は安全、社外は危ない」ということセキュリティは考えられていました。これを「境界防御」といいます。
前回のBlogでご紹介した「SSL-VPN」も、自宅PCと社内の間に仮想的な専用ネットワークを構築し”境界内”としてみなすことで、自宅から社内リソースへアクセスすることを可能としていました。

境界防御の問題点とは?

では、この境界防御の問題点はなんでしょうか。一つは、時代の流れによって「オフィスとオンプレデータセンターの前提」がなくなったことが挙げられます。

社内システムがAWSに移行され、メールはOffice365を使い、Slackでコミュニケーションを取り、働き方改革で様々な環境で仕事をするようになりました。コロナウイルスの影響もあり、半ば強制的に自宅から仕事をするようになったことをきっかけとし、その流れは一般化されていくことが予想されます。また悪意のある攻撃の巧妙化により、セキュリティリスクも以前とは比べられないほど高まっております。

すなわち、これまで新しいサービスや仕組みを入れるたびに、境界に穴をあけ、運用を厳密化することで保っていたセキュリティレベルも、もう限界にきていることが一番大きな要因として挙げられます。

ゼロトラストという概念で変わること

では、ゼロトラストという概念が導入されるとこれまでの境界防御とはどう変わってくるのでしょうか。

まず、物理的に構築された境界をソフトウエアベースに切り替えます。クラウドベースといってもよいかもしれませんね。その境界を越え社内リソースにアクセスしてきた人に対し、複数の認証を行い、さらに行動を常に監視することで、怪しいユーザーを炙り出すということです。その対象はネットワークだけでなく、デバイス、アイデンティティ、ワークロード、データ等レイヤーを超えて、統合的に判断をします。

サッカーでいうと・・・

ここで、イメージをつかんでもらいたく、スタジアムにサッカーを観に行く(筆者は清水エスパルスサポーター)ことを例にとって考えてみましょう。
従来の考え方は、一度チケットを係に見せ許可(=認証)をもらえれば、すべてのスタジアム内(=社内リソース)に行き来することができるようになります。チケット確認で境界線を引き、そこで入場(=社内へのアクセス)の許可/不許可を分けるということです。これが従来からある、「境界防御」という考え方です。
一方ゼロトラストでは、一度入場許可が得られたとしても、スタジアム内での行動が監視カメラ、売店、警備員、巡回スタッフなど、様々な立場(=レイヤー)から常に監視がされており、違反した行動が見受けられた場合、退場を命ぜられる。といったイメージです。そのためフーリガンやテロ等を事前に防ぎ、安全な観戦を楽しめることができると言えるでしょう。

ゼロトラストのメリット

ゼロトラストという考え方・仕組みには様々なメリットがあります。ここではユーザーとIT管理者に分けて考えたいと思います。

■ユーザー側のメリット

1, 場所やデバイスから解放される
2, クラウドネイティブなため、イベント等の大量アクセス時も快適なUXが実現される

■IT管理者側のメリット

1, 様々なレイヤーでの多層防御により社内のセキュリティレベル向上
2, 従来のアプライアンスの管理や運用から解放される
3, 内部不正を防ぐことができる

まとめ

以上から、コロナをきっかけとしてゼロトラストという概念でのセキュリティが企業一般化していくことが予想されます。さらにその波は、ネットワークとの統合の動きも見られており、企業のITインフラ全体を巻き込んだ形に発展していきそうです。“クラウドファースト”ではなく、“クラウドネイティブ”として社内のIT環境を構築しなければならない時代がもうすぐそこまで来ているのです。
次回のBlogでは具体的なテクノロジー概要および検討においてのポイント、そしてクララオンライン取り組みについて、お話しできればと思います。


あわせて読みたい