ゼロトラストを実現するために知っておきたいキーワード

trend-zerotrust.png

これまで、企業のネットワークは社外と切り離された環境で構築されており、社内ネットワークは安全とみなされていました。しかし、リモートワークの普及やBYOD(Bring Your Own Device)の導入などもあり、社内ネットワークに対して外部からアクセスする使い方が広がってきました。

このような状況でも社内にあるデータに安全にアクセスできるようにするために、「ゼロトラスト」という考え方が注目されています。このゼロトラストの基本的な考え方とともに、ゼロトラストを実現する具体的な技術について、その特徴を解説します。

関連記事

ゼロトラストの考え方

自宅や外出先などから社内への通信が第三者によって盗聴されることを防止するために、「VPN」(Virtual Private Network)という技術がよく使われます。これは、社内ネットワーク側にVPNサーバーを用意し、それぞれの端末からこのVPNサーバーに接続することで、すべての通信を暗号化します。

これにより、いったん接続できれば社内ネットワークにいるときと同じように安心して使えます。このようにネットワークの境界で社内と社外を分ける方法は「境界防御」や「境界型セキュリティ」と呼ばれます。

しかし、VPNで通信を暗号化しても、第三者がなりすまして接続してしまうと、社内ネットワークに侵入できてしまいます。また、ウイルスに感染した端末が接続すると、社内のネットワークに感染が広がる恐れがあります。つまり、境界で制限をかける方法には限界があります。

そこで、ネットワークの内外を問わず、「誰も信用しない」という考え方としてゼロトラストがあります。社内ネットワークでも、アクセスするたびに厳格な認証と権限の確認をすることで、攻撃者が内部に侵入しても重要なデータにアクセスされることを防止できます。

また、利用者ごとに個別のアクセス権限を設定することで、リモートワークのような環境でも高いセキュリティを維持できます。

このようなゼロトラストを実現するとき、さまざまな技術が使われています。その中でも、最近注目されているSDPやSWG、CASB、ZTNAという技術について解説します。

SDP(Software Defined Perimeter)

VPNでは社内ネットワークに一度接続できれば、そのネットワーク内を自由にアクセスできます。これは、接続した時点で社内ネットワークにいるのと同じ状況だと判断されるためです。

ゼロトラストを実現するためには、社内にあるリソースを外部から完全に隠すことで、不正アクセスを防止することが考えられます。このとき、防ぐべき境界線を柔軟に設定するために、ソフトウェアで定義する手法がSDP(Software Defined Perimeter)です。

利用者や端末を認証したときに、ネットワーク全体へのアクセスを許可するのではなく、アクセスしようとしているサーバーとの間だけで個別のネットワーク接続を確立できるようにします。
これにより、利用者や端末が認証された場合のみ、必要なリソースへアクセスできるようになります。

たとえば、社外から社内システムにアクセスする場合、SDPはあらかじめ設定されたポリシーに基づき、利用者や端末の情報をリアルタイムにチェックし、不要なアクセスをブロックします。

これにより、外出先から社内のネットワークに接続するときやクラウド環境を使うときも、安全にアクセスできます。

SWG(Secure Web Gateway)

従業員が社内にいれば、インターネット上のWebサイトを閲覧するときには社内にあるファイアウォールなどを経由しています。このため、悪意のあるサイトにアクセスしたり情報を持ち出したりしようとすると、その通信をブロックできました。

しかし、リモートワークなど社外にある端末からインターネット上のWebサイトにアクセスするときは、利用者の端末から直接インターネットに接続しているため、通信をブロックできません。これにより、ウイルスへの感染や情報漏洩のリスクが高まります。

そこで、従業員がインターネットに接続するとき、いったん社内のゲートウェイを経由させる方法としてSWG(Secure Web Gateway)があります。悪意のあるWebサイトにアクセスするような通信を遮断することで、利用者がインターネットを使うときの「盾」になる存在だといえます。

具体的には、通信の宛先などを監視し、フィッシング詐欺など悪意のあるサイトへのアクセスや、マルウェアのダウンロードなどから利用者を守ります。また、SWGはアクセス履歴の収集や分析も行い、企業内のセキュリティポリシーが遵守されているかを監視することもできます。

CASB(Cloud Access Security Broker)

多くの企業では、業務効率化のためにMicrosoft 365やGoogle Workspaceなどのクラウドサービスを契約しています。これらのサービスではデータがインターネット上に保存されることもあり、どこからでも使えて便利な一方で、情報漏洩などのセキュリティ上のリスクもあります。

また、個人が勝手に契約したサービスを使用する「シャドーIT」が問題になることもあります。このようなクラウドサービスに対して社内のデータをアップロードされてしまうと、情報漏洩につながるリスクが高いためです。

そこで、クラウドサービスの利用状況を監視し、不正利用を防止するためにクラウドと社内のネットワーク間に設置する考え方としてCASB(Cloud Access Security Broker)があります。クラウドサービスにアクセスするときのポリシーを設定し、やり取りされるデータを監視することで、業務データの漏洩や不正利用を未然に防ぎます。

また、サービス利用状況などを確認して利用者の行動を分析して可視化することで、潜在的なリスクを早期に察知する役割もあります。

ZTNA(Zero Trust Network Access)

冒頭で解説したSDPは、リソース自体を隠す設計が特徴で、内部リソースを外部に公開しないことを考えました。つまり、まず外部に対して内部のリソースを「隠ぺい」することで、社内にあるサーバーやアプリケーションが外部から探知されにくい状態を実現します。
しかし、一度侵入されてしまうとポリシーの変更が必要となるため、運用が複雑になります。

外部からのアクセスに対し、リソースが外部に公開されていたとしても、その利用を制御できれば問題ないことも多いものです。そこで、サービスごとに異なるセキュリティレベルを設定し、細かくアクセス制御を実施する技術としてZTNA(Zero Trust Network Access)があります。

これにより、侵入されても横展開されることを防げるため、より強固なセキュリティを実現できます。また、ZTNAのソリューションの多くはアクセス制御を実施するだけでなく、利用者の行動監視やログの収集によって異常を検知する機能も備えています。

SDPでもZTNAでも「誰も信頼しない」というゼロトラストの考え方でシステムを設計するコンセプトでは同じである一方で、それぞれの技術や注力する部分に違いがあります。ただし、現在では、ZTNAの概念の中にSDPの考え方が取り込まれるケースも多く、「SDPを実現することがZTNAの一手法である」という見方もあります。

つまり、両者は相互補完的な関係にあり、企業のセキュリティ戦略に応じて最適な技術を選択・組み合わせることが求められます。

まとめ

ゼロトラストの考え方やこれを実現する技術を使うことで、より細かく制御できることがわかりました。ただし、従来のVPNを置き換えるものというよりは、両者を使ってそれぞれのメリットとデメリットを考え、補完し合う形で運用されることが多いものです。

さまざまな技術が持つ特徴を理解し、最適な組み合わせを検討しなければなりません。今後も新しい技術が登場する可能性があるため、最新のニュースをチェックしておきましょう。

著者プロフィール
増井 敏克氏(ますい としかつ)
増井技術士事務所代表。技術士(情報工学部門)、情報処理技術者試験にも多数合格。
ビジネス数学検定1級。

「ビジネス」×「数学」×「IT」を組み合わせ、コンピューターを「正しく」「効率よく」使うためのスキルアップ支援や各種ソフトウェア開発、データ分析などをおこなっている。

著書に『図解まるわかり セキュリティのしくみ』『図解まるわかり プログラミングのしくみ』『図解まるわかり アルゴリズムのしくみ』『IT用語図鑑』『IT用語図鑑[エンジニア編]』『Pythonではじめるアルゴリズム入門』『プログラマ脳を鍛える数学パズル』『プログラマを育てる脳トレパズル』(以上、翔泳社)、『プログラマのためのディープラーニングのしくみがわかる数学入門』『プログラミング言語図鑑』(以上、ソシム)、『基礎からのプログラミングリテラシー』(技術評論社)、『RとPythonで学ぶ統計学入門』(オーム社)などがある。