コラム 境界型セキュリティからゼロトラストセキュリティへ
境界型セキュリティモデルの何が問題なのか
すでに「境界型セキュリティ」が有効だった時代は終わり、これからは「ゼロトラストセキュリティ」の実現が必須。このように言われるようになってから、すでに数年が経過しています。この議論は、コロナ禍でテレワークが広がったことや、クラウドを活用したDXの進展によって、さらに過熱する様相を見せています。では、境界型セキュリティの何が問題であり、ゼロトラストでどのように解決されるのでしょうか。ここで改めて、簡単に俯瞰しておきましょう。
従来の境界型セキュリティモデルは、外部ネットワーク(インターネット)と社内ネットワークの間にファイアウォールやIPSなどのセキュリティ機器を設置し、外部からここを通過するトラフィックを検査した上で、問題のある通信を遮断する、といったものでした。いわば「水際作戦」の一種です。その前提となるのは、ネットワークを「内側」と「外側」に分け、内側は信頼できるというものです。そのため境界部分で脅威を排除できなければ、そこから先は好き勝手に攻撃され、影響範囲が一気に拡大する可能性があります。
このような守り方に限界があることは、ギリシャ神話に登場する「トロイの木馬」を見るだけでもわかります。すでに古代ギリシャ時代から、その限界は指摘されていたことになります。
もちろんサイバー攻撃がそれほど洗練されていなかった牧歌的な時代には、これでもそれなりの効果を発揮してきました。攻撃のパターンがある程度特定できたため、水際作戦でその多くを食い止められたのです。またサイバー攻撃の目的も、昔は技術力を誇示する愉快犯的なものが大半でした。しかし近年のようにサイバー攻撃が急速に進化・多様化すれば、水際で止められる攻撃は限られてしまいます。またランサムウエアの横行によって、サイバー攻撃が金銭的被害に直結するケースも増えています。牧歌的な時代は、とうの昔に終わっているのです。
つまり境界型セキュリティが終焉を迎えつつあるのは、そもそも基本的なコンセプトに問題が内包されていたからだと言えます。それがサイバー攻撃の進化によって顕在化し、さらにモバイル化やクラウド活用の広がりによって「待ったなしの課題」になったのだと考えるべきでしょう。
実は「モバイル端末もクラウドも使っていない」といった組織にとっても、これは決して他人事ではありません。外部(インターネット)との接続ポイントがあるシステムであれば、例外なく同様の問題に直面することになります。
現状のゼロトラストは複数製品の組み合わせが必要
この問題を根本から解決するために登場したのがゼロトラストモデルです。ここでは「内部であれば信頼できる」という前提が取り払われ、「あらゆるものを信頼しない」という前提に基づいてセキュリティが構築されます。では「あらゆるもの」とは何を指しているのでしょうか。そこには、ユーザー、ユーザーが使用するデバイス、それによってアクセスされるアプリケーション、これらの間で行われる通信内容などが含まれます。
ゼロトラストモデルでは、これらすべてが常時監視され、正当性や安全性の検証が行われます。まずユーザーのアイデンティティはIDaaSなどで管理され、これによって認証されたユーザーだけがサインオンでき、あらかじめ決められた権限を与えられます。ユーザーが使用する端末も、NGAVやEDRで稼働ソフトウェアの挙動がチェックされ、問題がないことが確認されます。クラウドサービスへのアクセスはCASBなどによって、これらのチェックをクリアしたユーザー/デバイスのみに許可され、サービスの利用状況や通信も監視・記録されます。逆にアクセス先に問題がないかどうかについてもSWGなどでチェック。このようなアクセス制御を包括的に行うSASEも登場しています。
これを社会生活に例えるなら、街中に出る際には毎回身分証明書がチェックされ、その後の行動が監視員によって監視され、店舗やレストランに入る際にはその店が適切な店か否かがチェックされ、適切な場合でも入店時に再度身分証明書の内容がチェックされる、とったイメージでしょう。こう考えると非常に息苦しい世界に見えますが、サイバー攻撃が蔓延している世界で安全性を確保するには、ここまで行う必要があるということです。もちろんこれらのチェックや監視は自動的に行われるため、ユーザーが意識することはありません。実際にはユーザーは息苦しさを感じることなく、安全性のみを享受できるわけです。
これだけ細かいチェックが行われていれば、仮にサイバー攻撃が成功した場合でも、その影響範囲を最小限にとどめることができます。端末やアプリにマルウエアが感染した場合には、それをいち早く検知して対処できるからです。影響範囲を最小限にとどめられれば、その後の処理も容易になります。管理者にとっても負担軽減というメリットがもたらされるのです。
ただし、現状ではゼロトラストモデルを実現するためには複数のソリューションを組み合わせる必要があり、ハードルが高くなりがちです。そこでおすすめしたいのが、ゼロトラストモデルに必要なソリューションを幅広く取り扱い、それらのノウハウを十分に蓄積しているパートナーと手を組むことです。
ゼロトラストモデルを実現したいとお考えであれば、ぜひサイバネットにご相談ください。