今話題のゼロトラストネットワークとは?

 2020.09.14  株式会社ネットワークバリューコンポネンツ

2020年の上半期は新型コロナウイルス感染症(COVID-19)の影響もあり多くの企業でリモートワークが増加しました。皆様の企業でも、リモートワークの導入が一気に加速したのではないでしょうか。
それ以前から今の時代は「クラウド時代」と言われています。IT革新の中でクラウドコンピューティングや、柔軟な働き方としてのテレワークが少しずつではありますが活用されてきました。そうした技術や働き方の変化に伴い、組織のネットワークの形や必要なセキュリティ対策もまた変わりつつあります。

そんなクラウド時代に必要とされる新しいセキュリティモデルの一つとして「ゼロトラストネットワーク」があります。最近「ゼロトラスト」という言葉を耳にすることも増えたのではないでしょうか。
そこで今回はこの「ゼロトラストネットワーク」について、どんなものなのか、どうやって実現するのか、といったことをまとめていきたいと思います。

今話題のゼロトラストネットワークとは?

ゼロトラストネットワークとは

まずゼロトラストネットワークとは、「ゼロトラスト(Zero Trust)」の概念、考え方を実現するネットワークのことです。
この「ゼロトラスト」とは、2010年にアメリカの調査会社であるForrester Research社の調査員ギンダーバーグ氏によって提唱されたネットワークセキュリティ概念です。

この概念の基本的な考え方は文字通りゼロトラストです。つまり、「全てのトラフィックが信用できないということを前提として、あらゆる端末や通信のログを取得し、検査をしましょう」という性悪説のアプローチです。

この全てが信用できないということを前提にしてあらゆる端末や通信のログを記録できるように作り上げるネットワークがゼロトラストネットワークです。

ゼロトラストネットワークでは、守るべきものはデータ(情報)、であり、その情報を扱う端末(デバイス)やユーザ(ID)であると考えます。従来のように境界を防御するのではなく、データそのもの、デバイスやIDをしっかりと守ることを目的としています。

従来までのネットワークとの違い

従来のネットワークはいわゆる”境界”対策です。
境界の内側、つまり社内ネットワーク内部は安全であるという考えで、DMZやインターネット接続を行う通信ログをとっていても、内部通信は記録していない、セキュリティ対策も導入していないという組織がほとんどです。
基本的には内部は安全であり、攻撃者に侵入されていないセキュアな環境であるということを前提にしています。

これに対してゼロトラストネットワークでは、ゼロトラストを前提にするため、社内ネットワーク内を安全な場所とは考えません。

最新の各種ガイドラインでもインシデントが発生することを前提にした対策をしていくことの重要性が示されていますが、これは社内ネットワーク内に攻撃者が侵入しているかもしれないということ前提にネットワークの監視を行うということです。
つまり、社内ネットワーク内の通信に関してもインターネット接続同様のセキュリティレベルでの監視、対策を行う必要があります。全ての通信を記録、解析を行い、不審な通信が発生していないかの監視を行うという事です。

ゼロトラストをベースにすることで、あらゆる社内システムをクラウド上に構築し、セキュリティ対策もクラウドゲートウェイ内に構築するような形にすることで、社内ネットワークを破棄することも可能です。
各端末は直接インターネット接続を行い、必ずクラウドゲートウェイを経由します。そこでは社内システム宛の通信か、社外宛の通信かにかかわらずあらゆる通信の記録や監視が行われます。不審な通信があれば即時遮断することも可能です。

Forcepoint CASBカタログ

ゼロトラストネットワークの実現のために必要な対策

ではゼロトラストネットワークを実現するためには、どんな対策が必要でしょうか?

そもそも、ゼロトラストネットワークを実現するために必要となることは大きく以下の4点があると考えることができます。

  • あらゆる通信の記録、可視化を行う
  • あらゆる動作ログを残す
  • 与える権限は最低限にする
  • 守るべきデータ、資産、情報を明確にし、優先順位付けを行う

これらを実現するためのツールとしていくつかの製品を紹介しましょう。

<Cloud Security Gateway/FireWall製品>
SaaS提供のクラウドGW/FW製品全般です。通信ログを残すことが可能です。

<NDR:Network Detection & Response>
あらゆる通信ログを記録・可視化を行うツールです。記録したログを解析することで不審な通信を検出することも可能です。

<CASB:Cloud Access Security Brokers>
クラウドサービス宛の通信を記録・可視化・制御するツールです。

<CSPM:Cloud Security Posture Management>
クラウドサービスを利用する際の権限制御ツールです。

<統合認証>
社内システムやクラウドサービスを利用する際のアカウント管理・運用のためのツールです。

<DLP:Data Loss Protection>
情報の不正持ち出しや内部不正対策ツールです。

<EDR:Endpoint Detection & Response>
あらゆる端末ログを記録・可視化するツールです。記録したログを解析することで、端末内の不審な挙動を検出することも可能です。

まとめ

最近耳にすることが増えているゼロトラストネットワーク。従来までと考え方が変わるので非常に移行が難しいかとは思います。
ただし、すでに従来までのネットワークでは十分なセキュリティ対策が難しい、そんな時代に来ていますので、少しずつ変えていく必要があるのではないでしょうか。

実際にはこのゼロトラストネットワークの考え方をさらに発展させたSASE(サシー):Secure Access Service Edgeという考え方も出てきています。こちらにつきましては別のブログでご紹介していますので、こちらをご覧ください。

弊社では、ゼロトラスト、そしてSASEを実現するツールとして様々な製品を取り扱っています。
例えばSASEツールとしてCloud Secure Gateway、CASB、DLPなどの機能を提供するForcepointEDRのVMware Carbon Black/FireEye、SD-WANのVersaなどがありますので興味がありましたらお問い合わせください。

Versa Networks SD-WANソリューション

RECENT POST「コラム」の最新記事


今話題のゼロトラストネットワークとは?
New Call-to-action

RANKING人気資料ランキング

SUBSCRIBEお知らせを受け取る

RANKING人気記事ランキング