2020年以降では、新型コロナウイルス感染症(COVID-19)の影響もあり多くの企業でリモートワークが増加しました。皆様の企業でも、リモートワークの導入が一気に加速したのではないでしょうか。
それ以前から今の時代は「クラウド時代」と言われています。IT革新の中でクラウドコンピューティングや、柔軟な働き方としてのテレワークが少しずつではありますが活用されてきました。そうした技術や働き方の変化に伴い、組織のネットワークの形や必要なセキュリティ対策もまた変わりつつあります。
そんなクラウド時代に必要とされる新しいセキュリティモデルの一つとして「ゼロトラストネットワーク」があります。最近「ゼロトラスト」という言葉を耳にすることも増えたのではないでしょうか。
今回はこの「ゼロトラストネットワーク」について、どんなものなのか、どうやって実現するのか、といったことをまとめていきたいと思います。
ゼロトラストネットワークとは
まずゼロトラストネットワークとは、「ゼロトラスト(Zero Trust)」の概念、考え方を実現するネットワークのことです。
この「ゼロトラスト」とは、2010年にアメリカの調査会社であるForrester Research社の調査員ギンダーバーグ氏によって提唱されたネットワークセキュリティ概念です。
この概念の基本的な考え方は文字通りゼロトラストです。つまり、「全てのトラフィックが信用できないということを前提として、あらゆる端末や通信のログを取得し、検査をしましょう」という性悪説のアプローチです。
この全てが信用できないということを前提にしてあらゆる端末や通信のログを記録できるように作り上げるネットワークがゼロトラストネットワークです。
ゼロトラストネットワークでは、守るべきものはデータ(情報)、であり、その情報を扱う端末(デバイス)やユーザ(ID)であると考えます。従来のように境界を防御するのではなく、データそのもの、デバイスやIDをしっかりと守ることを目的としています。
従来までのネットワークとの違い
従来のネットワークはいわゆる”境界”対策です。英語では”Castle & Moat”(城と堀)と表現されますね。
境界の内側、つまり社内ネットワーク内部は安全であるという考えから、DMZやインターネット接続の通信ログは記録するが、それ以外の通信、例えば内部通信は記録していない、セキュリティ対策も導入していないという組織がほとんどです。
基本的には内部は安全であり、攻撃者に侵入されていないセキュアな環境であるということを前提にしています。
これに対してゼロトラストネットワークでは、「ゼロトラスト」を前提にするため、社内ネットワーク内を安全な場所とは考えません。
最新の各種ガイドラインでもインシデントが発生することを前提にした対策をしていくことの重要性が示されていますが、これは社内ネットワーク内に攻撃者が侵入しているかもしれないということを前提にしたネットワーク監視を行うということです。
つまり、社内ネットワーク内の通信に関してもインターネット接続同様のセキュリティレベルでの監視、対策を行う必要があります。全ての通信を記録、解析を行い、不審な通信が発生していないかの監視を行うという事です。
ゼロトラストネットワークを実現することで、例えばあらゆる社内システムをクラウド上に構築し、セキュリティ対策もクラウド上で提供するような形にするなど、社内ネットワークを完全に破棄することも可能かもしれません。
社内ネットワーク内は安全である、という従来までの考え方とは正反対の「あらゆるものが信頼できない」ということを前提にしたネットワークが、ゼロトラストネットワークです。
ゼロトラストネットワークの実現のために必要な対策
ではゼロトラストネットワークを実現するためには、どんな対策が必要でしょうか?
これまでは漠然としたセキュリティ概念でしかなかった「ゼロトラスト」ですが、2020年8月に米国国立標準技術研究所(NIST)が「Special Publication(SP)800-207 ゼロトラスト・アーキテクチャ」を公開しました。これにより「ゼロトラスト」を実現のために必要な7つの理念が公開されました。
本ブログでは、この7つの理念を細かく紹介することはしませんが、要約すると以下の4点がゼロトラストネットワークを構成する上で重要事項と言えます。
- 全ての社内リソースの徹底管理と適切な状況把握
- 全ての通信の制御と記録
- 社内リソースアクセス時の認証の徹底
- 動的なポリシー適用によるアクセス制御
これらを実現するためのツールとしていくつかの製品を紹介しましょう。
<SASE/Cloud Security Gateway/SD-WAN製品>
クラウドネイティブなGW製品全般です。社外通信の集約制御と通信ログの記録が可能です。
<NDR:Network Detection & Response>
あらゆる通信ログを記録・可視化を行うツールです。記録したログを解析することで不審な通信を検出することも可能です。
<CASB:Cloud Access Security Brokers>
クラウドサービス宛の通信を記録・可視化・制御するツールです。
<統合認証>
社内システムやクラウドサービスを利用する際のアカウント管理・運用のためのツールです。
<ZTNA>
社内リソースへのアクセスの認証と動的制御のためのGW製品です。
<DLP:Data Loss Protection>
情報の不正持ち出しや内部不正対策ツールです。
<EDR:Endpoint Detection & Response>
あらゆる端末ログを記録・可視化するツールです。記録したログを解析することで、端末内の不審な挙動を検出することも可能です。
まとめ
このようにゼロトラストネットワークは従来までと大きく考え方が変わるため、ネットワークの移行は容易ではありません。ただし、すでに従来までのネットワークでは十分なセキュリティ対策が難しい、そんな時代に来ていますので、少しずつ変えていく必要があるのではないでしょうか。
実際にはこのゼロトラストネットワークの考え方をきっかけとして新たにSASE(サシー):Secure Access Service Edgeという考え方も出てきています。こちらにつきましては別のブログでご紹介していますので、こちらをご覧ください。
弊社では、ゼロトラスト、そしてSASEを実現するツールとして様々な製品を取り扱っています。
例えばSASEツールとしてCloud Secure Gateway、CASB、DLPなどの機能を提供するForcepoint、SD-WANのVersa Networks、EDRのVMware Carbon Black/FireEye、NDRのExtraHopなどがありますので、興味がありましたらお問い合わせください。
