שלום!(シャローム!)AironWorks Marketing Teamです。今回はサイバーセキュリティの2021年のトレンド「ゼロトラスト」に焦点を当てて、「ゼロトラストって何?」「ゼロトラストがなぜ必要?」「結局ゼロトラストってどうすれば良いの?」という点について取り上げたいと思います。
Index
ゼロトラストって何?
ゼロトラストとは一言で表すなら「性悪説」です。あらゆるコンピュータ、デバイス、ユーザーをまず信頼せず、それらを一連の認証・認可プロセスにかけることで信頼するかどうかを決めるモデルです。これだけ聞くとあまりにも当たり前のように聞こえるかもしれませんが、従来との比較で考えてみるとわかりやすいでしょう。
これまでのセキュリティのコンセプトは社内ネットワークと社外ネットワークを分離し、社内の全員を信頼し、社外の全員をひとまず疑おうというものでした。いわゆる「境界型のセキュリティ」です。社外からアクセスして欲しくないデータベースサーバーなどを社内ネットワークの中に、社内・社外の両方からアクセスしたいWebサーバーなどは境界上(非武装地帯、DMZ)に配置することで、社外からの攻撃への防御をしてきました。
一方、ゼロトラストモデルは社内であろうが、社外であろうが全員をまず疑います。つまり、信頼(トラスト)がゼロの状態から出発する、それこそがゼロトラストです。その上で、アクセスに対して認証・認可処理を行うことで所望のリソースにアクセスできるようにします。
ゼロトラストがなぜ必要?
なぜゼロトラストが必要なのでしょうか?端的に答えるなら「環境が変化したから」です。
最も大きな変化はクラウドの普及でしょう。これまで各種サーバーは社内のデータセンターなどに配置するのが一般的でした。つまり、各社が各々のサーバーを用意する形です。しかし、AWSやGCPなどのクラウドインフラが発達し、アプリケーションそのものは社外クラウド上に位置することになりました。そうすると、「社外クラウド」が「社内」となる矛盾した状況が発生します。
さらに、ゼロトラストの必要性を加速させたのはリモートワーク・テレワークの普及です。これまでは物理的に出社して、社用PCから社内ネットワークに接続してきました。この方法だと従来のような境界型のセキュリティは容易に実装できます。しかし、リモートワークが普及してPCやそれを使う社員が社外に出ると、その管理が非常に煩雑になります。公私混同しないと保証できないかもしれませんし、フィッシングやソーシャルエンジニアリングにより脆弱になるかもしれません。先日、GoogleがゼロトラストセキュリティソリューションBeyondCorp Enterpriseを発表しました。
BeyondCorp Enterprise | Google Cloud
BeyondCorpのWebページでGoogleは以下のように述べています。
BeyondCorp は、アクセス制御地点をネットワークの境界から個々のユーザーに移すことで、従来のように VPN を介さなくてもほぼどこからでも安全に働けるようにします。
このようにGoogleもVPNからへの移行を積極的に推し進めています。(しかも、そのプロジェクトが2011年から始まったということですから驚きです。)
最後に
最後までお読みいただきありがとうございました!ゼロトラストを考える一つのきっかけになれば幸いです。