2020年の春、コロナ禍の始まりとともに「ゼロトラスト」がバズワードとなり、注目を集めた。それから2年たった2022年の今、ゼロトラストとそれに関連する企業のネットワークはどう変わったのか。現状と今後について述べたい。
2020年当時、コロナ禍でテレワークが増える中、VPN装置のセキュリティパッチの不備を突いたセキュリティインシデントが多発し、「従来の境界防御型のセキュリティ対策ではだめだ。これからはゼロトラストだ。ネットワークは閉域網である必要はなくインターネットにしてしまえばよい」などと声高に叫ばれた。閉域型のネットワークサービスで大きな利益を上げている通信事業者さえ、「近い将来はインターネットだけになる」と語っていた。
あれから2年。ゼロトラストという言葉をIT関係のニュースで見ることが少なくなったと感じる。ゼロトラストはどうなっているのだろう。
本論に入る前にゼロトラストという言葉を復習しておきたい。ゼロトラストの定義としてよく参照されるのは米商務省のNIST(National Institute of Standards and Technology)の定義だ。かなり内容が多いのだが、要点は次の3つだ。
(1)アクセスリクエストの場所にかかわらず、セキュリティ要件を満たすか、同じ条件で認証する
たとえ企業ネットワークの内部にあるデバイスからのアクセスであっても、自動的には信頼しない。外部からのアクセスと同じ条件で認証する。
(2)企業リソース(データやアプリケーション)へのアクセス権はセッション単位で付与する
VPNのように一度認証されて社内ネットワークに接続されたからといって、どのようなリソースにも無制限にはアクセスさせない。あるアプリケーションで認証、認可されても、別のアプリケーションにアクセスするときはあらためて認証、認可する。
(3)リソースへのアクセスはクライアントのアイデンティティー情報だけでなく、行動属性や環境属性などコンテクストに基づいて決定する
IPA(情報処理推進機構)が2022年1月に発表した「情報セキュリティ10大脅威 2022」によると、組織が被害を受けた脅威として「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」「サプライチェーンの弱点を悪用した攻撃」「テレワーク等のニューノーマルな働き方を狙った攻撃」が上位に入っている。
これらの脅威について主な侵入経路が3つある。図1に挙げた「VPN」「メール」「Web」だ。ゼロトラストはこれら3つの中では主にVPNの弱点への対策といえる。逆にいえば、ゼロトラストはセキュリティ対策として万能なわけではなく、数あるセキュリティ対策の一つということだ。
Copyright © ITmedia, Inc. All Rights Reserved.