ゼロトラストは今どうなっているのか? セキュリティとネットワークの最前線:羽ばたけ!ネットワークエンジニア(52)
2020年の春、コロナ禍の始まりとともに「ゼロトラスト」がバズワードとなり、注目を集めた。それから2年たった2022年の今、ゼロトラストとそれに関連する企業のネットワークはどう変わったのか。現状と今後について述べたい。
2020年当時、コロナ禍でテレワークが増える中、VPN装置のセキュリティパッチの不備を突いたセキュリティインシデントが多発し、「従来の境界防御型のセキュリティ対策ではだめだ。これからはゼロトラストだ。ネットワークは閉域網である必要はなくインターネットにしてしまえばよい」などと声高に叫ばれた。閉域型のネットワークサービスで大きな利益を上げている通信事業者さえ、「近い将来はインターネットだけになる」と語っていた。
あれから2年。ゼロトラストという言葉をIT関係のニュースで見ることが少なくなったと感じる。ゼロトラストはどうなっているのだろう。
本論に入る前にゼロトラストという言葉を復習しておきたい。ゼロトラストの定義としてよく参照されるのは米商務省のNIST(National Institute of Standards and Technology)の定義だ。かなり内容が多いのだが、要点は次の3つだ。
(1)アクセスリクエストの場所にかかわらず、セキュリティ要件を満たすか、同じ条件で認証する
たとえ企業ネットワークの内部にあるデバイスからのアクセスであっても、自動的には信頼しない。外部からのアクセスと同じ条件で認証する。
(2)企業リソース(データやアプリケーション)へのアクセス権はセッション単位で付与する
VPNのように一度認証されて社内ネットワークに接続されたからといって、どのようなリソースにも無制限にはアクセスさせない。あるアプリケーションで認証、認可されても、別のアプリケーションにアクセスするときはあらためて認証、認可する。
(3)リソースへのアクセスはクライアントのアイデンティティー情報だけでなく、行動属性や環境属性などコンテクストに基づいて決定する
「境界防御型」セキュリティ対策が不要になったわけではない
IPA(情報処理推進機構)が2022年1月に発表した「情報セキュリティ10大脅威 2022」によると、組織が被害を受けた脅威として「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」「サプライチェーンの弱点を悪用した攻撃」「テレワーク等のニューノーマルな働き方を狙った攻撃」が上位に入っている。
これらの脅威について主な侵入経路が3つある。図1に挙げた「VPN」「メール」「Web」だ。ゼロトラストはこれら3つの中では主にVPNの弱点への対策といえる。逆にいえば、ゼロトラストはセキュリティ対策として万能なわけではなく、数あるセキュリティ対策の一つということだ。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Zoom Phoneで「脱・PBX」はできるか?
脱・PBX(構内電話交換機)の流れは10年ほど前から続いている。音声クラウドサービスはそのための手段だ。新しい音声クラウドサービス「Zoom Phone」が日本でも2021年から使えるようになった。Zoom Phoneで「脱・PBX」はできるのだろうか?
「Microsoft Teams+FMC」で、PCは電話を飲み込んでしまうのか?
携帯大手3社はMicrosoft TeamsとFMCを連携させたクラウド電話サービスに注力している。TeamsがあればPBXが不要になり、固定電話機がなくてもPCが電話機代わりになる。今後、PCは電話を飲み込んでしまうのだろうか?
2022年の企業ネットワークは「プライベート5G」に注目!
2021年にソフトバンクとNTTドコモは5Gの最終形であるSA(Stand Alone)のサービスを開始した。2022年にはSAを生かしたプライベート5Gが始まる予定だ。今回は2022年の企業ネットワークを展望するとともに、プライベート5Gへの期待について述べる。