「ゼロから学ぶ」ゼロトラスト#01:守るから許すセキュリティへ

「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。
10年以上前に提唱されながら、今、再び注目を集めている”古くて新しい概念”が「ゼロトラストモデル」。従来型のセキュリティと比較しながら、ゼロトラストセキュリティを紹介します。

ゼロトラストセキュリティとは何なのか?

ゼロトラストセキュリティを簡単に表現するのであれば、”すべてを疑いすべてを確認する”という概念であり、「ゼロトラストモデル」に基づいたセキュリティです。
「ゼロトラストモデル」とはどのような概念で、従来型のセキュリティとはどのように違うのか説明します。

温故知新:まさに古くて新しい概念「ゼロトラストモデル」

先にも述べましたが「ゼロトラストモデル」とは、”決して信用せず、常に検証する”という考え方・概念です。よって、「ゼロトラストモデル」に基づくセキュリティは、攻撃されることを前提として構築します。

従来型のセキュリティモデルである「境界防御モデル」では、内部ネットワークと外部ネットワークとの間に境界を設け、内部ネットワークをセキュリティ境界を設けて守るというアプローチでした。
しかしながら、近年ではクラウドサービスの利用拡大やBYODの活用などもあり、社内ネットワークにアクセスするデバイスも多様化し、信用できるモノと信用できないモノとの境界線が曖昧になっています。

そもそも、この「ゼロトラストモデル」は、アメリカの調査会社「Forrester Research」のジョン・キンダーバーグ(John Kindervag)氏が2010年に提唱したもので、実は考え方としては新しいものではありません。

信用できるネットワークとそうでないものを切り分ける境界が曖昧化し、多くのITセキュリティ企業が「もはや、完全に防御するというアプローチではソリューションを生み出せない」と認めざるを得なくなったことから、何も信用しないというアプローチで防御する「ゼロトラストモデル」が、今再び注目を集めることとなりました。

また、ゼロトラストは概念(コンセプト)であり、その定義や実現方法については、セキュリティ企業を中心に世界中で検討が進められている真っ最中です。今後、様々な解釈やソリューションが登場していくことでしょう。

従来型のセキュリティモデルとの違いは?

「ゼロトラストモデル」が従来型のセキュリティモデルとで大きく異なる点が、境界の有無になります。

一般的に、従来のセキュリティ対策ソリューションは「境界防御モデル」という考え方に基づいて設計されていました。

境界防御モデルは、社内ネットワーク:信用する領域と外部ネットワーク:信用しない領域との間に”境界”を設け、守るべき情報やデバイスはすべて境界内に存在しているという前提に基づいています。
従来から活用されてきたソリューションには、ファイアウォール・VPN・プロキシサーバなどがありますが、いずれも境界内に侵入しようとする脅威を境界上で検知して、侵害を防ぐというアプローチになります。

逆に言えば、”信用できる”と一度でもお墨付きを得たIDやデバイスなどは、何の検証もされずに社内ネットワークにアクセスできるという考え方になります。
この「境界防御モデル」では、万が一、攻撃を受け社内ネットワークへの侵入を許してしまうと、手の施しようがなくなってしまいます。そして、「境界防御モデル」は社内ネットワーク内の”身内”による犯行には無力です。

一方、「ゼロトラストモデル」では、そもそも境界という概念がなく、企業リソースにアクセスしようとするものはすべて疑わしきものとして、検証します。
社内からのアクセスであっても、一度許可したデバイスであっても、信用せずに確認し直すという考え方です。
「ゼロトラストモデル」でもIDとパスワードによる認証は引き続き行われますが、信用できるかを決めるときの要素の1つでしかなく、数分前に認証したIDであっても一から検証します。

ゼロトラストネットワークの仕組み

では、「ゼロトラストモデル」によるセキュリティは、どのような仕組みで実現するのでしょうか。

ゼロトラストネットワークを構築するときに必ず守るべき点は、通信やアクセスをすべて可視化すること・あらゆる通信のログ(記録)を残すこと・許可は必要最低限のユーザのみに付与することの3点です。
すなわち、アクセスやデバイスは決して信用せずにすべて確認し、認証と承認を得たユーザとデバイスだけにアプリケーションへのアクセスを与えることになります。

また、ゼロトラストネットワークの構築方法には定義がなく、各企業の環境や都合に合わせて検討していく必要があります。
(逆にこれがなかなか導入が進まない理由の一つでも…)
例えば、「アクセス元が社内か社外かは無関係に、デバイスごとにアクセス許可を管理する」という方針に基づけば、次のようなゼロトラストネットワークを構築することもできます。

ゼロトラストネットワークの頭脳とも言える「アクセス制御エンジン」では、次のような情報を受けてアクセス可否のポリシーを決定します。

  • アクセス要求
    • ユーザ・アプリ・デバイス・OSバージョンなど要求元の情報
  • ユーザ情報
    • ユーザ属性・特権・位置情報・振る舞いなど
  • システム情報
    • 資産・アプリ・デバイス・OSバージョンなど要求アクセス先の情報
  • リソース情報
    • 多要素認証・アクセス経路・データ機密レベルなどリソースが要求する条件
  • 脅威インテリジェンス
    • 脅威やマルウェアの情報など

ゼロトラストネットワークのメリットとデメリット

ゼロトラストネットワークのメリットは、クラウドサービスも社内ネットワークも同一のポリシーを適用して制御できることです。一元管理できることで、ネットワーク内のすべてのユーザ・デバイス・コンポーネントなどが可視化されます。
また、必要最低限のユーザのみにアクセス権限を付与するため、権限管理業務もスリム化します。

一方、ゼロトラストネットワークのデメリットは、すべてのモノやアクセスを信用しないという考え方のセキュリティであるため、場合によっては利便性を大きく損なう可能性もあることです。
また、ゼロトラストネットワークを構築するためには、社内のシステムやネットワークを一新する必要があるため、切り替えるためにはそれなりの導入コストがかかることになるでしょう。

 

しかしながら、新型コロナウィルス(COVID-19)の感染拡大などもあり、テレワーク(在宅勤務)が原則という会社も増えつつあります。このような背景もあり「ゼロトラストモデル」に基づいた、”防御・守る”セキュリティから”許可・許す”セキュリティへと軸足が移ろうとしているのは間違いないようです。

 

次回、”「ゼロから学ぶ」ゼロトラスト#2”では、さらに掘り下げてゼロトラストの7つの原則を紹介します。

 

【執筆:編集Gp 近藤真理】

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「ゼロから学ぶ」ゼロトラスト#02:ゼロトラストモデルが求める7つの要件とは

  2. 怪しい添付ファイルやURLリンクを開いてしまったときの対処法【2020年】-is702

  3. 中小企業向けテレワーク(在宅勤務)ツール14選~コラボ業務編~

  4. 情報セキュリティ関連文書(NIST)を翻訳&公開-IPA

  5. 松田軽太の「一人情シスのすゝめ」#11:複雑な関数やVBAをやめたら属人化Excelは無くなるのか?

  6. いまさら聞けない【情シス知識】SSLとTLSって何?

  7. シリーズ”ウィズコロナ”#01:テレワークと安全配慮義務

  8. 「ゼロから学ぶ」ゼロトラスト#01:守るから許すセキュリティへ

  9. テレワークの意識調査:安全のためにセキュリティ教育が重要なワケ-セキュリティブログ

  10. 【知っ得スキル】もらってうれしいRFP ~第2章~システム要件

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Google検索におけるページランクのアルゴリズムやChromeの安全性を高めるための手段として、「…
  2. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  3. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
  4. WebサイトのURLには「http://」で始まるものと「https://」で始まるものの2種類があ…
  5. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
ページ上部へ戻る