2021年のトレンド「ゼロトラスト」とは何か

こんにちは！AironWorks Hacker Teamです。今回はサイバーセキュリティの2021年のトレンド「ゼロトラスト」に焦点を当てて、「ゼロトラストって何？」「ゼロトラストがなぜ必要？」「結局ゼロトラストってどうすれば良いの？」という点について取り上げたいと思います。

ゼロトラストって何？

ゼロトラストとは一言で表すなら「性悪説」です。あらゆるコンピュータ、デバイス、ユーザーをまず信頼せず、それらを一連の認証・認可プロセスにかけることで信頼するかどうかを決めるモデルです。これだけ聞くとあまりにも当たり前のように聞こえるかもしれませんが、従来との比較で考えてみるとわかりやすいでしょう。

これまでのセキュリティのコンセプトは社内ネットワークと社外ネットワークを分離し、社内の全員を信頼し、社外の全員をひとまず疑おうというものでした。いわゆる「境界型のセキュリティ」です。社外からアクセスして欲しくないデータベースサーバーなどを社内ネットワークの中に、社内・社外の両方からアクセスしたいWebサーバーなどは境界上（非武装地帯、DMZ）に配置することで、社外からの攻撃への防御をしてきました。

一方、ゼロトラストモデルは社内であろうが、社外であろうが全員をまず疑います。つまり、信頼（トラスト）がゼロの状態から出発する、それこそがゼロトラストです。その上で、アクセスに対して認証・認可処理を行うことで所望のリソースにアクセスできるようにします。

ゼロトラストがなぜ必要？

なぜゼロトラストが必要なのでしょうか？端的に答えるなら「環境が変化したから」です。

最も大きな変化はクラウドの普及でしょう。これまで各種サーバーは社内のデータセンターなどに配置するのが一般的でした。つまり、各社が各々のサーバーを用意する形です。しかし、AWSやGCPなどのクラウドインフラが発達し、アプリケーションそのものは社外クラウド上に位置することになりました。そうすると、「社外クラウド」が「社内」となる矛盾した状況が発生します。

さらに、ゼロトラストの必要性を加速させたのはリモートワーク・テレワークの普及です。これまでは物理的に出社して、社用PCから社内ネットワークに接続してきました。この方法だと従来のような境界型のセキュリティは容易に実装できます。しかし、リモートワークが普及してPCやそれを使う社員が社外に出ると、その管理が非常に煩雑になります。公私混同しないと保証できないかもしれませんし、フィッシングやソーシャルエンジニアリングにより脆弱になるかもしれません。先日、GoogleがゼロトラストセキュリティソリューションBeyondCorp Enterpriseを発表しました。

BeyondCorp Enterprise | Google Cloud

BeyondCorpのWebページでGoogleは以下のように述べています。

BeyondCorp は、アクセス制御地点をネットワークの境界から個々のユーザーに移すことで、従来のように VPN を介さなくてもほぼどこからでも安全に働けるようにします。

このようにGoogleもVPNからへの移行を積極的に推し進めています。（しかも、そのプロジェクトが2011年から始まったということですから驚きです。）

結局ゼロトラストってどうすれば良いの？

ここまでのセクションで「ゼロトラストが流行となる必然性」のようなものが分かったと思います。そうなると

結局ゼロトラストに移行するにはどうすれば良いのでしょうか。それは...

と言いたいところですが、これから先は2021年4月1日（木）実施予定の下記無料イベント

サイバーセキュリティのニューノーマル、ゼロトラストをマスターする Presented by AironWorks

で取り上げることにしたいと思います！続きが気になる方は、ぜひ上記リンクからお申し込みください！

最後に

最後までお読みいただきありがとうございました！ゼロトラストを考える一つのきっかけになれば幸いです。もしこの記事が面白いと思った方はぜひ「スキ」ボタンをポチッとお願いします。（中の人のモチベーションになります。）また、毎週金曜に記事をアップしておりますので、よければフォローもお願いします！