こんにちは
一応、セキュリティ業界にいる人間の端くれなので、
セキュリティについても語っていきたいと思っている所存です。
早速ですが、みなさん「ゼロトラスト」という言葉を聞いたことがあるかと思います。
決して新しい言葉というわけではないのですが、
かなり世の中に普及してきた言葉かと思います。
この言葉・概念が世に出てきたのは2009年のことです。
2009年にForrester Researchのアナリスト、John Kindervagによって提唱されました。
ポイントとしては
特定の条件下での信頼を前提とした従来のセキュリティモデルを否定し
パラダイムシフトを起こした
ということがゼロトラストの偉大さであり、
フレームワークとして今でも存在続けている所以です。
最初に、
この従来のセキュリティモデルと
なぜJohnはそれを否定したのか
について解説していきたいと思います。
まず、従来のセキュリティモデルについてですが、
これは、境界型のセキュリティ
とも言い換えることができます。
つまり、内側と外側を識別し、
内側を関係者、外側を部外者とする考え方です。
では何の内側・外側か?
というと、それは基本的にオフィスネットワークです。
オフィスにいて、従業員用のLANケーブルやWifiに接続された端末はオフィスネットワークの内側にいるので、
関係者とみなされ、オフィスのシステムやイントラネットなどに
アクセスすることができます。
一方でオフィスから、
厳密にいえばそのネットワークから出てしまうと、
オフィスのシステム、イントラネットなどには
アクセスできなくなるというわけです。
このシンプルな考え方によって
オフィスの基幹システムを守っていました。
ところが、
お察しのいい皆さんならお気づきのことかと思いますが、
そのセキュリティモデルでは困ることが出てきました。
そうです。
リモートワークですね。
リモートワークはその名の通り、遠方からオフィスのシステムにアクセスする必要があるので、
オフィスネットワークにいることが不可能です。
よって従来のセキュリティでは、
柔軟な対応ができず、
セキュリティを担保しながらアクセス管理をすることが
難しくなりました。
リモートワークの場所を識別して
従業員の自宅IPアドレスからのアクセスを許可する
ということはできますが、
従業員の数だけ許可するIPアドレスを増やすというのは
ただただ危険です。
ではどうしたか。
そう、VPNの登場です。
このVPN(Virtual Private Network)は、
その名の通り、実際には離れているネットワーク間をつなぎ、
仮想的に一つのネットワークとして扱うことができます。
専用のソフトウェアを従業員のPCに導入し、
さらにVPN専用のネットワーク機器を
オフィスネットワークの受け口として設置します。
VPNで接続されているPCは、仮想的にはプライベートネットワークにいるので、
IPアドレスも仮想的なプライベートIPアドレスが振られます。
オフィスネットワークにはこのプライベートIPアドレスとしてアクセスするので、
許可するグローバルIPアドレスを増やすことなく安全なアクセス制御が可能です。
VPNにより、従業員がどこにいても、
従業員用のPCからオフィスネットワークに安全にアクセスできるようになりました。
時代の流れ
という表現は少し雑すぎますが、
VPNは新たな要件をかなえる大きな技術的進歩だったんですね。
あれ?
じゃあゼロトラストって何?
と思いますよね。
ゼロトラストは
あくまで概念・考え方であり、
機能ではありません。
そのコンセプトは、
場所だけに頼らず
さまざまな条件を
組み合わせて認証するということです。
VPNもエージェントが入ってさえいれば
接続可能になるわけではありません。
ID、端末の脆弱性、
アプリケーションの脆弱性
複数の条件を組み合わせて認証して
初めて信頼します。
オフィスにいるというだけで信頼しない
ゼロベースの認証を行う考え方
それがゼロトラストです。
ID(ADなどのユーザー情報)や
通信の送信元端末の脆弱性リスクを
ベースに通信制御ができて
更に「誰」がアクセスしに来たのかを
しっかりログに残すことができて
初めてゼロトラストということができます。
そしてそれを実現するアーキテクチャが
Zero Trust Network Access(ZTNA)です。
VPNは認証の上で接続するのですが、
認証をするのはネットワーク内なので
認証前に認証するための入り口を
開けておかなければいけないのは
ちょっとリスキーですね。
実際に
VPN機器の脆弱性による
インシデントは
過去に何度か起きています。
ただそれでも
VPNがあれば十分なんじゃないか
まだそう思えますよね。
でも考えてみてください。
皆さんは日々の業務の中で
オフィスネットワークにさえ繋がれば仕事に支障はないですか?
そんなはずはないと思います。
ファイル共有アプリケーションもイントラネットのサーバーも、
すべてインターネット上のサービスとして利用していることも多々あります。
クラウドと呼ばれるものですね。
それらのインフラはオフィスにはないので、
インターネット経由でアクセスすることになります。
インターネット上にあると言っても
その辺のウェブサイトにアクセスしているわけではないため
セキュアなアクセスを保証する必要があります。
データが途中で改ざんされたり、盗まれたり、
盗聴されるようなことがあってはいけないのです。
でもインターネット上のデータを保護するのは難しい。
そこでどうしたかというと、
VPNで一旦オフィスネットワークを通し、
そこからインターネットに抜けるという方法を取りました。
オフィスを経由しているので、インターネットへのアクセスにおける検疫はオフィスと同じモノとなります。
オフィスまでのアクセスも
これまで説明してきたVPNでの通信の為
安全性が担保されます。
VPNの使い方を工夫することで
これで問題がないように思えました。
しかし、これだけでは終わりませんでした。
インターネットにでる通信の量が年々増し、
全部の通信をオフィス経由にすると
オフィスの通信機器がいっぱいいっぱいになって
キャパオーバーになってしまうのです。
特にビデオ会議やストリーミングでのトレーニング実施など、
5Gの普及によって可能になった膨大な通信という便利なものが
セキュリティ運用においては課題となってしまいました。
オフィスを通さないとセキュリティは担保できない。
でもオフィスを通すとパフォーマンスの問題が起きる...。
どうすればいいでしょうか。
そこで出てきたのが
インターネットブレイクアウトです。
通信先によって
オフィスを通したり、通さずにインターネットに抜けたりすることができる機能ですね。
これによって
ビデオストリーミングの通信などについてはオフィスを迂回させ、オフィスの負荷を下げることに成功しました。
ただ、これは利便性を求めてセキュリティを妥協しているに過ぎません。
厳密には、すべての通信を何らかの形で検査し、本当に安全なのかを確認しなければいけないですよね。
さて、ここまででいろいろな課題にいろいろな方法でどうにか対応してきたわけですが、
結局どのような課題があったのかというと以下の感じです。
[VPNで解決済み]
・リモートからの通信を制御するのが困難だった。
・通信先がオフィスだけではなくなった。
[VPNでも未解決]
・インターネット上のリソースが増えた。
・インターネットに抜ける通信が膨大なものになった。
また、実は以下のような課題もあります。
[新たな課題]
・従業員の全員にとって同じアクセスが必要なわけではない。
インターネット上にあるデータ、
もしくはプラットフォーム、サービスによって、
アクセスする必要のある従業員は異なります。
例えば営業のデータを人事部が見る必要は基本的にありません。
余計なアクセス権の付与が増えると、
管理の複雑化、操作ミスの誘発、乗っ取り被害における被害最大化
といったリスクが増えます。
この点はインターネット上にあるリソースだけでなく、
社内システム・アプリケーションについても
同じことが言えます。
・IPアドレスでの管理の限界
既に述べた通り、
リモートワークの普及による
外部からのアクセス
についてはVPNで解決できましたが、
今度はクラウドの利用により
送信先のIPアドレスも増えてしまいました。
さらにクラウドはIPアドレスが不定期で変更され、
気づかない内にアクセス制御ポリシーが
無効になっているということもあり得ます。
IPアドレスを使った通信制御は管理面での限界を迎えているんです。
ということで、課題は山積なのですが、
これらを一気に解決する方法が出てきました。
その解決策はSASEと呼ばれるサービスです。
ZTNAを含む様々な要素で構成されています。
いろいろな専門ベンダーがいる中で各社が自分の分野を最重要分野かのように語るのですが、
誰を識別するという特性である以上、
その誰を管理するためのID管理が
要になると私は考えます。
個人情報なしには
誰を特定することはできませんからね。
ID管理というと一番有名なのは
MicrosoftのActive Directoryかと思います。
OktaやMicrosoft Entra ID(旧Azure AD)も有名ですね。
これらのサービスを使ってID、Password、メールアドレスといった情報を組織内の個人情報として一元管理し、
そのIDを識別することで誰ベースの通信制御を可能とするわけですね。
IDが決まれば、そのIDを識別して通信を制御するのは
通信制御機能(セキュリティハブ・ファイアウォール)の役割です。
ではどこにその機能を置くべきでしょうか。
オフィスに置いたままだと何となく
VPNと変わらない気がしますよね。
そこで出てくるのがクラウドサービスとしての
仮想ファイアウォールです。
クラウド上にあるハブを通し、
オフィス行きの通信は当然オフィスへ、
インターネットに出る通信はそのままインターネットに送られます。
クラウドサービスなので、ハブのパフォーマンスの心配も不要です。
基本的に自動でスケールアウト(パフォーマンス向上)します。
スケールアウトその分料金も上がりますが、通信機器の管理をする人件費に比べれば想像の通りです。
ちなみにこのクラウドサービスのファイアウォールはSWG(Secure Web Gateway)と呼ばれます。
さらにちなみにですが、
パブリッククラウド上の仮想サーバーにファイアウォールのソフトウェアをインストールして
仮想ファイアウォールとして使うという手段もありますが、
管理性や料金、要件によって使い分けることができます。
これらの通信制御機能としては
IPアドレスはもちろんのこと、
アイデンティティ、URL、ドメイン、アプリケーションフィルタリングといった
様々な形で柔軟にセキュリティポリシーや脅威対策機能を設置し、
それらを一元管理することができるんです。
いろんな機能を一元的に設定することで制御管理も楽になりますし、
通信も一点に集中させて制御するため、
ログ管理も圧倒的に楽になります。
インフラの脆弱性を見つけるためには
ログ管理は最重要と言えます。
さて、ここまでゼロトラストと
そこから派生したサービスについて
説明してきました。
ゼロトラストについて勉強している方々、
もしくは既に専門家の方々(に読んでいただいているなら非常に非常に光栄ですが)
であればわかると思いますが、
まとめると、
どこではなく誰で制御し、
さらにいろいろな条件で通信先も識別し、
その制御ポイントをクラウドに置くことでリソースの問題も解決するのが
ゼロトラストの考え方、によって叶えられることです。
どこにいようと関係なく検疫をかける。
逆にいえば社内ネットワークであろうとゼロベースで信頼するわけではない
というのがゼロトラストです。
他にもアクセス制御の肝となる最小権限の原則や、
ゼロトラストの思想を実現するZTNA(ゼロトラストネットワークアクセス)など
一本の記事では紹介しきれないので
今回はこの辺にしておきます。
いかがでしたでしょうか
少しでも皆さんの
お役に立てれば幸いです。
またご意見などがありましたら、
是非とも以下SNSからご連絡お待ちしています。
最後に、
セキュリティに関する情報をYoutubeでも展開していきたいと思っていますので、
是非流し見ていただければ幸いです。↓
shefutech Channelではまた。