以前の記事でテレワーク環境の構築の内容としてVPN接続に関することを書かせて頂きました
今回、その考え方を大きく覆すものに出会ってしまいました!
まだ1か月強しか経過していないところで大変恐縮ですが、今回ご紹介する内容は私自身大きな衝撃を感じましたので、紹介させて頂くことにしました!
それは「ゼロトラストネットワーク」
これはきっと今後の主流になるであろうと、勝手に想像しています!
私がゼロトラストという言葉に出会ったのは1か月ほど前でしたが、詳しく紹介もされておらず、ネットで調べることもしていませんでした。
しかし、最近発行された専門誌の特集記事を読んでみて、目からうろことなりました!
この「ゼロトラストネットワーク」の考え方や課題について、細かい技術的な内容は割愛させて頂きますが、その内容をかいつまんでご紹介します
既成概念を覆す「ゼロトラストネットワーク」とは?
ゼロトラストネットワークは2010年に米国の調査会社が提唱した概念です。
しかし、当時はそれを実現する会社はなく、2017年に米国のグーグルがゼロトラストに移行したと発表したことがきっかけで注目をされました。
従来、テレワークをする際には、
安全な社内ネットワークにVPN接続し、社内にあるサーバやアプリケーションを利用する
が主流でした。
つまり
- 社内ネットワークは「安全」
- その他は「危険」
と考えられており、インターネット(外部)と社内ネットワーク(内部)を区切り、その境界にファイアウォール等を設置していました。
しかし、クラウド上にあるサービスの業務利用も徐々に拡大しています。
守るべきアプリケーションやデータは安全な社内ではなく、外部に置かれるようになってきているのです。
そして、テレワークの拡大により、社員・職員は社外にいることから、今まで作ってきた「境界」の意味が薄れてきています。
また、悪意を持つ第三者による「標的型攻撃」によって、社内の端末が乗っ取られ、それを踏み台にして社内ネットワークに侵入され、好き勝手に社内にあるデータにアクセスされてしまう、という事案も少なからず発生しています。
そこで、安全と思われていた社内ネットワークは安全ではないと考えるべき、ということが『ゼロトラストネットワーク』の基本的な考え方です。
そして、日本の企業でも取り組みが進み始めています。
ゼロトラストネットワークで守るは「アプリケーション」と「端末」
ゼロトラストネットワークの第1のポイント
ゼロトラストの第1のポイントは「ネットワークの防御からアプリケーションの防御へ」です。
従来、社内は安全と考えていましたので、社内にあるアプリケーションの防御レベルは低く、認証はID、パスワード程度でした。
しかし、ゼロトラストでは社内も安全ではない、と考えます。
そのため、認証はID、パスワードに加え、別の手段をユーザ認証に利用する「多要素認証」やデバイスの種類や場所、時間、ユーザの振る舞いなどを認証に使い、アクセスの認可を強化します。
そして、複数の社内システムやクラウドサービスに対して、1度の認証でサービスが利用できるようになるシングルサインオンの機能を持ち、ユーザごとにユーザの属性、デバイスのセキュリティ強度、アクセス元の場所などをチェックし、アプリケーションへの利用可否を細かく制御する機能を準備します。
また、外部から社内のアプリケーションにアクセスするための中継機能を付加するサーバを用意することで、社内、社外関係なく、必要なアプリケーションにアクセスが可能となります。
(それぞれの機能には名称や製品がありますが、今回はその説明は割愛させて頂きます。)
第2のポイントは「デバイスの防御」
第2のポイントは「デバイスの防御」です。
端末はマルウェア対策ソフトやモバイルデバイス管理といった製品で端末を保護するだけでなく、先述の認証機能などと連携させて、デバイスのセキュリティ状況に応じてアプリケーションの利用可否を細かく制御します。
ここでポイントになるのが、「セキュリティチップ」を搭載した端末に限ることです。
「TPMチップ」と言われるものを搭載したWindowsパソコンやiPhoneなどが該当します。
第3のポイントは「全ての行動の監視と分析」です。
セキュリティ機器や業務アプリケーションのログを監視・分析し、サイバー攻撃の兆候を検知しようとする企業は徐々に増えてきてます。しかし、それだけではゼロトラストを実現するには足りません。
グーグル流のゼロトラストでは、クライアントパソコンのセキュリティやプロキシサーバのログ、スイッチやルーターを流れるありとあらゆるログを監視・分析するのが望ましいとの事です。
しかし、これはだいぶハードルが高くなります。
このようなログを蓄積・分析するクラウドサービスがありますので、それらを組み合わせ利用することが現実的だと思います。
しかし、それらの解析、確認などの繰り返しでのノウハウの蓄積が今後の課題と思われます。
実現に向けてのハードルは低くない…
ゼロトラストネットワークの概要をざっとかいつまんで説明させて頂きました。
しかし、その概念を理解することも、実際にゼロトラストネットワークを構築することも、決してたやすいものではない、と言うのが私の率直な感想です。
それだから、これが本当に実現すれば、私たちが求めている「安心・安全・快適・便利なネットワーク」が実現できると確信しています。
新型コロナウイルスにより、私たちの生活や考え方は大きく変わりましたので、ネットワークに対する考え方もこの際大きく変え、併せて安心や便利を追い求めたいと思います。
まだ上手な説明ができていませんが、今後も引き続きゼロトラストに関する勉強をして、情報を収集し、実際のゼロトラストの実現に向けて挑戦を進めていきたいと考えています。
次号では、導入に向けたもう少し具体的なお話ができるように準備したいと思います。