連載
» 2021年10月21日 05時00分 公開

ゼロトラストの本質、ネットワークセキュリティ――ZTNAやSASEとの違いとは働き方改革時代の「ゼロトラスト」セキュリティ(15)

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストにおけるネットワークセキュリティについて解説する。

[仲上竜太,株式会社ラック]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 ゼロトラストの考え方が、ネットワークの境界で守りを固める境界防御型セキュリティの限界から生み出されたという“いきさつ”は、現在では広く知られるようになりました。

 「サイバー攻撃の脅威は国境を越えてインターネットからやって来る」「犯人は内部には存在しない」といった前提は、多くの実例によって覆されました。不正の多くはネットワーク内部で発生し、正規のアカウントによって引き起こされています。

 原則であり、コンセプトでもある「ゼロトラスト」は、これまでのセキュリティコンセプトのように層を重ねて壁を固めるタイプの対策ではなく、情報システム全体の変革を伴うセキュリティモデルです。「これを入れればゼロトラスト」といったターンキーソリューションの存在しないゼロトラストについて、本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、企業や組織ごとに異なる「どこから取り組むべきか」について、ゼロトラストを構成する要素を解説しています。今回は、ネットワークセキュリティについてです。

ゼロトラストの本質=ネットワークセキュリティ

 ゼロトラストを検討する上で最も効果が期待されるのがテレワークなどの利用者が分散した状況における安全な情報システムの利用です。

 「ZTNA」(ゼロトラストネットワークアクセス)など、ゼロトラストの一部のコンセプトをソリューションとして位置付けたものや、SD-WAN(Software Defined WAN)やSWG(Secure Web Gateway)、CASB(Cloud Access Security Broker)、ZTNAなどを統合し拡張を続けるSASE(Secure Access Service Edge)など、ネットワークセキュリティの仮想化による新たなソリューションがゼロトラスト関連ネットワークセキュリティソリューションとして注目さています。

 ゼロトラストは原則でありコンセプトでもあるセキュリティモデルですが、信頼の源泉はネットワークに依存したアーキテクチャへの問題意識から生み出された「ゼロトラストネットワーク」が元となっています。

 内部ネットワークに所属しているユーザーやコンピュータを無条件に信頼し、アクセスを許可する設計は、前述した内部ネットワークで発生する不正の根源的な原因となっていました。10年以上前に考案されたゼロトラストネットワークでは、重要な資産を持ったコンピュータを細かいセグメントに分割し、それぞれのネットワークへのアクセスの細かな認証により、不正な意図を持ったユーザーによる資産へのアクセスを制限します。

 この考え方は物理的なネットワークでは実現困難な発想でしたが、仮想化技術の発展により現実的なものとなりました。

 コンピュータリソースやネットワークの仮想化技術は、現在ではクラウドサービスや企業や組織のインフラとして当たり前のように活用が進んでいます。

 仮想化技術の進歩やクラウドサービスの発展、さまざまなセキュリティソリューションの連携により、ゼロトラストネットワークのコンセプトを元にした、ゼロトラストアーキテクチャが現実的なものとなったのが2019年以降のゼロトラストの注目につながったと考えられます。

マイクロセグメンテーションと水密区画

 「マイクロセグメンテーション」とは、ネットワークの区画を細かい単位で区切り、許可された利用者や端末のみが接続できるようにしたネットワーク設計です。セグメントを越えてアクセスする際は認証を必要とし、1つのネットワークが侵害されたとしても他のネットワークへの横展開、ラテラルムーブメントが阻害されるので被害範囲を限定できるメリットがあります。

 区画を細かく区切ってダメージをコントロールする考え方は、大型船舶における「水密区画」と似ています。水密区画とは、船体を仕切り壁や甲板などで細かな区画を設けた構造で、一部の区画が破損や攻撃で浸水した際でも、別の区画に水が浸入しないようにして船全体の浮力を保つ設計のことです。

 このような考え方は、従来の境界防御で採用されている多層防御の考え方と共通します。

 多層防御では、ネットワークをアクセス許可する層によって分割し、それぞれに境界を設置してアクセスを制御しています。

 マイクロセグメンテーションは、ソフトウェアによるネットワーク構成を可能にしたSDN(Software Defined Network)の機能を持ったネットワーク機器によってネットワーク構成を柔軟にすることができます。

 ゼロトラストにおけるネットワークセキュリティの考え方はこのマイクロセグメンテーションが基本となり、セグメントへのアクセスに対しての認証を制御します。

ZTNA(ゼロトラストネットワークアクセス)

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。