ゼロトラストの本質、ネットワークセキュリティ――ZTNAやSASEとの違いとは：働き方改革時代の「ゼロトラスト」セキュリティ（15）

デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストにおけるネットワークセキュリティについて解説する。

[仲上竜太，株式会社ラック]

　ゼロトラストの考え方が、ネットワークの境界で守りを固める境界防御型セキュリティの限界から生み出されたという“いきさつ”は、現在では広く知られるようになりました。

　「サイバー攻撃の脅威は国境を越えてインターネットからやって来る」「犯人は内部には存在しない」といった前提は、多くの実例によって覆されました。不正の多くはネットワーク内部で発生し、正規のアカウントによって引き起こされています。

　原則であり、コンセプトでもある「ゼロトラスト」は、これまでのセキュリティコンセプトのように層を重ねて壁を固めるタイプの対策ではなく、情報システム全体の変革を伴うセキュリティモデルです。「これを入れればゼロトラスト」といったターンキーソリューションの存在しないゼロトラストについて、本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、企業や組織ごとに異なる「どこから取り組むべきか」について、ゼロトラストを構成する要素を解説しています。今回は、ネットワークセキュリティについてです。

ゼロトラストの本質＝ネットワークセキュリティ

　ゼロトラストを検討する上で最も効果が期待されるのがテレワークなどの利用者が分散した状況における安全な情報システムの利用です。

　「ZTNA」（ゼロトラストネットワークアクセス）など、ゼロトラストの一部のコンセプトをソリューションとして位置付けたものや、SD-WAN（Software Defined WAN）やSWG（Secure Web Gateway）、CASB（Cloud Access Security Broker）、ZTNAなどを統合し拡張を続けるSASE（Secure Access Service Edge）など、ネットワークセキュリティの仮想化による新たなソリューションがゼロトラスト関連ネットワークセキュリティソリューションとして注目さています。

　ゼロトラストは原則でありコンセプトでもあるセキュリティモデルですが、信頼の源泉はネットワークに依存したアーキテクチャへの問題意識から生み出された「ゼロトラストネットワーク」が元となっています。

　内部ネットワークに所属しているユーザーやコンピュータを無条件に信頼し、アクセスを許可する設計は、前述した内部ネットワークで発生する不正の根源的な原因となっていました。10年以上前に考案されたゼロトラストネットワークでは、重要な資産を持ったコンピュータを細かいセグメントに分割し、それぞれのネットワークへのアクセスの細かな認証により、不正な意図を持ったユーザーによる資産へのアクセスを制限します。

　この考え方は物理的なネットワークでは実現困難な発想でしたが、仮想化技術の発展により現実的なものとなりました。

　コンピュータリソースやネットワークの仮想化技術は、現在ではクラウドサービスや企業や組織のインフラとして当たり前のように活用が進んでいます。

　仮想化技術の進歩やクラウドサービスの発展、さまざまなセキュリティソリューションの連携により、ゼロトラストネットワークのコンセプトを元にした、ゼロトラストアーキテクチャが現実的なものとなったのが2019年以降のゼロトラストの注目につながったと考えられます。

マイクロセグメンテーションと水密区画

　「マイクロセグメンテーション」とは、ネットワークの区画を細かい単位で区切り、許可された利用者や端末のみが接続できるようにしたネットワーク設計です。セグメントを越えてアクセスする際は認証を必要とし、1つのネットワークが侵害されたとしても他のネットワークへの横展開、ラテラルムーブメントが阻害されるので被害範囲を限定できるメリットがあります。

　区画を細かく区切ってダメージをコントロールする考え方は、大型船舶における「水密区画」と似ています。水密区画とは、船体を仕切り壁や甲板などで細かな区画を設けた構造で、一部の区画が破損や攻撃で浸水した際でも、別の区画に水が浸入しないようにして船全体の浮力を保つ設計のことです。

　このような考え方は、従来の境界防御で採用されている多層防御の考え方と共通します。

　多層防御では、ネットワークをアクセス許可する層によって分割し、それぞれに境界を設置してアクセスを制御しています。

　マイクロセグメンテーションは、ソフトウェアによるネットワーク構成を可能にしたSDN（Software Defined Network）の機能を持ったネットワーク機器によってネットワーク構成を柔軟にすることができます。

　ゼロトラストにおけるネットワークセキュリティの考え方はこのマイクロセグメンテーションが基本となり、セグメントへのアクセスに対しての認証を制御します。

ZTNA（ゼロトラストネットワークアクセス）

　ゼロトラストネットワークアクセスは、テレワークで注目されるようになったネットワークセキュリティソリューションです。ゼロトラストの名の通り、認証とネットワーク制御が一体化したZTNAでは、利用者はどのネットワークにいても企業や組織のイントラネットのサービスやIaaS／PaaSといったクラウド環境で提供されるサービスに対してVPNを介さずにアクセスできます。

　多くのZTNAソリューションでは、イントラネットのサーバはインターネットに接続できれば利用可能であり、追加のVPNを設置したり、インターネットに公開したりする必要がありません。サーバからのアウトバウンド通信（インターネットへの通信）によりクラウド上に設置されたZTNAのアクセスポイントに接続され、利用者との通信が仲介されて通信が確立されます。サーバ、利用者端末ともにZTNAにアクセスするためのエージェントを導入するだけで、このような構成が可能なので、テレワークの緊急導入によってVPNのライセンスや帯域が枯渇した初期のコロナ禍では、VPNの代わりとなるソリューションとして組織での導入が進みました。

ネットワークセキュリティのクラウド化＝SASE

　ゼロトラストと同様にクラウド時代のネットワークセキュリティコンセプトとして昨今注目されているのがSASEです。SASEは、ネットワークセキュリティで求められる、インターネット利用の制御、クラウド利用の制御、シャドーITの抑制、アイデンティティーの統合などのセキュリティ機能と、VPNやSD-WANなどのネットワーク機能をクラウドで提供します。従業員はどこからでも安全なインターネットを利用できます。

　これらは個別のアプライアンスやサービスによって提供される機能です。機器ごとに運用業務や保守費用が発生するなど運用面での課題や、コロナ禍によって、ハードウェアに起因したスケーラビリティの問題や脆弱（ぜいじゃく）性への対応不足によるゼロデイ攻撃による被害が顕在化しました。

　クラウドで提供されるSASEは、利用者の増加に対してスケーラビリティが確保されており、ベンダーの責任によって常に最新の状態にアップデートされるなど、オンプレミスのセキュリティソリューションに対して運用面で大きなアドバンテージがあります。

　SASEは、ZTNA同様、イントラネット上のオンプレミスサービスにアクセスする機能も提供しており、ゼロトラストのコンセプトを実現する統合型クラウドネットワークセキュリティソリューションとしての活用が進んでいます。

---

　ネットワークによってもたらされる信頼に依存した状況からの脱却を目指したゼロトラストは、仮想化技術の発展によりネットワークセキュリティのクラウド化という形で従来のセキュリティの姿にも変化をもたらしました。

　ゼロトラスト対応を強調したネットワークセキュリティソリューションは、多くの場合重複した機能を備えています。ソリューションの選択によっては、可視化や自動化といったゼロトラストで重要な機能の接続性に課題が生じる場合もあります。

　また、資産へのアクセスに対して常に認証をかけ、信頼を積み重ねてアクセスを許可するゼロトラストの実装に当たってはマイクロセグメンテーションのようなネットワーク構成そのものの変革も必要です。

　テレワーク対応などの喫緊の課題に対応しつつ、ゼロトラストの全体像の実現を意識したソリューションの適切な選択が、無駄のない強固でしなやかなゼロトラストアーキテクチャで求められています。

筆者紹介

仲上竜太

株式会社ラック

セキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長

兼 サイバー・グリッド・ジャパン シニアリサーチャー

進化するデジタルテクノロジーをこよなく愛し、サイバーセキュリティの観点で新たな技術の使い道の研究を行うデジタルトラストナビゲーター。家ではビール片手に夜な夜なVRの世界に没入する日々。