ゼロトラストは、このままではテレワーク対策に矮小化されて終わる:ゼロトラストセキュリティの理想と現実
「ゼロトラスト」が今注目されている理由は、多くの企業・組織がテレワーク対応でVPNに代わる対策を求めるようになったことにある。つまり、テレワーク対策が終われば、ゼロトラストはきれいさっぱり忘れ去られてしまう可能性がある。
「ゼロトラスト」は2010年に生まれた概念だ。それが2020年になって注目されている理由は、多くの企業・組織がテレワーク対応でVPNに代わる対策を求めるようになったことにある。
ゼロトラストの発想は、境界セキュリティからの脱皮が出発点となっている。だが、境界セキュリティの終焉(しゅうえん)は、ゼロトラストが登場するかなり前から語られていた。当時から「デスクトップIPsec」など、社内で個別にセキュアな通信を行う技術は提案されていた。また、ディレクトリによって、社内のITリソースを(プリンタまで含めて)一元的に管理すると共に、統合的できめ細かな認証と権限管理を実現することを目指した仕組みもあった。「検疫VLAN」なども、ネットワークのセグメンテーションを、セキュリティに結び付ける取り組みとして挙げられる。ただし、それぞれの仕組みは複雑で構築や運用が難しく、組み合わせるのも容易ではなかった。
一方、一般的な企業にとって、境界セキュリティの終焉は、理屈としては理解できても、アクションを起こすべき課題にはなかなか転化しなかった。その後境界セキュリティ製品だけでは守り切れないセキュリティ侵害事例が相次ぐようになってくると、「多層防御」などのキーワードの下、これに対応するためのセキュリティ製品が登場し、採用も広がった。
また、クラウドの利用が拡大すると共に、これに対応する製品も広がってきた。一方で、セキュリティ製品自体のサービス化やクラウド化が、サイバーセキュリティ業界における過去数年間での最大のトレンドとして浮上した。
それ自体がクラウドサービスとして提供されるクラウド対応セキュリティ製品は、やがて企業社内の「ポスト境界セキュリティ」への取り組みに活用できる機能を備えるようになってきた。Gartnerが2019年から提唱している「SASE(Secure Access Service Edge)」という概念は、こうした動きを後押ししている。
それでも多くの一般企業にとっては、セキュリティ的に保護しなければならないシステムやデータと、これを利用するユーザーのほとんどが社内に存在していることから、境界セキュリティという前提を考え直すきっかけがなかった。クラウドの利用は進んでも、SaaSであれば個別にセキュリティが確保されていると考えた。IaaS上で社内業務システムを動かすようになった企業も、クラウドへのVPN接続で社内ネットワークの境界を論理的に広げることにより、対応できると考えてきた。
ところが、新型コロナ禍をきっかけとして、テレワーク環境の整備が多くの企業における最重要課題となった。即座に思いつくのはリモートアクセスVPNの増強だが、ある程度以上の規模の企業で、社員の大多数へリモートアクセスを提供するとなると、従来型のVPN装置などの増強で対応するには限界がある。そこで、クラウド型VPNを調べる過程で「ゼロトラスト」という言葉を目にし、興味を持った人が多いのではないか。
そうであるならば、結局はクラウド型VPNを採用するだけで、事足れりとなってしまうだろう。せいぜい多要素認証で、「安全な」社内ネットワークへの入り口におけるチェックを厳しくするくらいが関の山だ。境界セキュリティの発想への依存には、全く変化がないということになる。
ゼロトラストアーキテクチャは、社内ネットワークであっても「いい人」のみが通信を行っているわけではなく、(社員であっても)悪意を持ったユーザーが存在していることを前提とする。このため、ネットワークのセグメンテーションもさることながら、IT機器やITアプリケーションのそれぞれについて、厳しい認証と権限管理を適用する。いったん利用を許したのちも、ふるまいなどを基に不審な行動がないかをモニターして、自動的にアクセスをブロックするなどといった仕組みを指向している。
関連ツールのクラウド化や製品間の連携が進んだ今でも、こうしたきめ細かな認証と権限管理はポリシーの構築と検証が難しい。一筋縄ではいかないが、だからこそアーキテクチャとしてこのことが語られる意味がある。
テレワーク対策を契機として、分かってはいてもこれまでなかなか手の付けられなかった、より根本的な仕組みの整備を段階的にでも進めることができるか。ゼロトラストで、企業は自社のセキュリティについての覚悟を問われているのではないか。
特集:境界防御からゼロトラストネットワークへ、今求められる理由と対応方法
社内ネットワーク内部であれば安全だ、いったん認証されたユーザーやデバイスは安全だと判断するのではなく、アクセスごとにセキュリティを確認するのが、ゼロトラストネットワークの考え方だ。外部だけではなく、内部にも脅威が存在することを前提としている。つまり、従来の境界防御とは異なる考え方だ。ゼロトラスト「ネットワーク」と呼ぶものの、IPとポートを監視するのではなく、ユーザーとアプリケーションを対象にセキュリティを維持する。これによってクラウドもセキュリティの対象となる。ゼロトラストネットワークを実現する手法は複数あり、外向き、内向きの通信を全てモニターする次世代ファイアウォールを置く、ネットワークを分割して同心円状に最も重要な情報を保護するといった取り組みが進んでいる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
テレワークやデジタルテクノロジーの活用が前提の時代に求められる「デジタルトラスト」とは
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。初回は、「デジタルトラスト」「ゼロトラストセキュリティ」という考え方が求められる背景について。
当社のゼロトラストはどこまで進んでいる? Microsoftが「ゼロトラストアセスメントツール」をリリース
Microsoftは2020年4月2日(米国時間)、ゼロトラストセキュリティ対策状況の評価を支援する「ゼロトラストアセスメントツール」を開発したと発表した。ゼロトラストセキュリティフレームワークに基づくセキュリティ対策の取り組みが、どのような段階にあるかを、企業が判断するのに役立つという。
「人とパケットは違う」――セキュリティの一線で活躍するエンジニアが語る「本当の信頼」とは
「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか。