見出し画像

「ゼロトラスト」 VS 「閉域網」 それぞれの強みと弱点【5分で読めるシリーズ】

sho

ご覧頂きありがとうございます。
インプット記録をNoteに書き続けている翔です。
Noteを自分の学びの軌跡を可視化する為のツールとして使っています。

今回はネットワークやクラウドのセキュリティではよく耳にする2つのワード「ゼロトラスト」と「閉域網」についてまとめてみました。いずれもネットワークのセキュリティを高めるアプローチ要素なのですが、違った視点を持っています。


・閉域網とは?

閉域網はネットワーク内の一部のリソースやデバイスを安全な領域(信頼された領域)として定義をして外部からのアクセスを制御します。防御壁を作って安全地帯を守るって事ですね。進撃の巨人の壁の中のような場所をファイアウォールなどで守るイメージです。
閉域内のデバイスは内部ネットワークからのみアクセスする事ができ、外部のユーザーやデバイスからは隔離されます。閉域網は割と古典的なネットワークセキュリティモデルで「内部は安心」という過程を前提に成り立っています。村の人間は信頼できるが、外の人間は危険だから入れない!って事ですね。

・ゼロトラストとは?

ネットワーク内の全てのデバイスやユーザーは信用できないと仮定した上で複数の手段でセキュリティを確保する考え方です。こちらは以下の通りいくつかの要素に別れています。

  •  原理:ゼロトラストは「信頼しない、確認する、最小の特権」という原則に基づいています。つまり、認証とアクセス制御は常に必要であり、デバイスやユーザーはデフォルトで信頼されたものとはみなされません。アクセス許可は最小限にとどめ、必要な特権のみを提供します。常に小さく区分けしてそれぞれを疑いましょうという考えですね。

  •  マイクロセグメンテーション: ネットワークを小さなセグメントに分割し、各セグメントごとにアクセス制御ポリシーを適用します。これにより、攻撃者がネットワーク内での移動を制限し、権限を最小限に留めることができます。ネットワーク内の部屋をできる限り細かく分けてし、領域に侵入されても被害を最小限に抑えましょう!という考えです。

  •  多要素認証(MFA): ユーザーやデバイスの認証にMFAを使用して、アカウントへの不正アクセスを防ぎます。パスワードだけでなく、追加の認証方法(指紋認識、ワンタイムパスワードなど)が必要です。2以上の要素でログインしましょう!二重三重の鍵をつけておきましょうという考えです。

  •  セキュアエンドポイント: ゼロトラストはデバイスのセキュリティにも焦点を当てます。エンドポイントセキュリティツールを使用して、デバイスのセキュリティを確保し、最新のパッチとアップデートを適用します。アクセスするユーザーだけではなくデバイスも安全では無いという前提で高セキュリティな状態を維持します。

  •  アクセスログと監査: ゼロトラストアプローチは、アクセスログと監査を活用してアクセス活動を追跡し、異常なアクティビティを識別しやすくします。念の為の対策としてトラブルを早期発見しようという事ですね。

ゼロトラストはこういった要素が含まれている考えになる為、対策も複数実施する必要があります。各要素に対する対策が必要になってくる為当然手間はかかりますが、それが近年では重要とされています。その背景とは・・

・ゼロトラストが必要とされている理由

ゼロトラストが必要になった背景には3つの理由があります。結論としては市場の変化に合わせてセキュリティの考えも変える必要があったからになります。

  • 境界防御の限界: 従来のセキュリティモデルである境界防御モデルでは、社内ネットワークと外部ネットワークを境界として、外部ネットワークからの侵入を防ぐことに重点が置かれていました。しかし、クラウドサービスの普及やテレワークの拡大により、社内ネットワークと外部ネットワークの境界が曖昧になり、境界防御モデルでは効果的にセキュリティを担保することが難しくなりました。数年前と比較しても働き方が変わった企業が多いと思います。

  • 内部脅威の増加:働き方の多様化により社内システムを社員だけではなく、業務委託メンバー、社外メンバーも見れるような環境になってきました。社員の顧客情報の持ち出しもたまにニュースになりますが。これまでは内部脅威に対する防御は十分に考慮されていませんでした。

  • サイバー攻撃の高度化: サイバー攻撃は、ますます高度化・巧妙化しています。従来の境界防御モデルでは、既知の脅威に対する防御は可能でしたが、未知の脅威やゼロデイ攻撃に対する防御は困難でした。

上の2つについてはクラウドツールの利用やGoogleDriveなどのファイル共有アプリの利用が影響している要素と言えます。業務効率を考えた時にそういったクラウドツールを利用する事が増えましたが、それに合わせてセキュリティに対する考えを変えていこうという考えですね。
では、従来利用されてきた閉域網は今後は不要となるのか?答えはNoになります。最後にそれぞれのメリットデメリットについてまとめてみました。

・閉域網/ゼロトラストのメリット/デメリット

閉域網のメリット

  • 外部からの侵入を物理的に防ぐことができる

  • アクセス制御やセキュリティ対策を簡素化できる

  • コストを抑えることができる

閉域網のデメリット

  • 社内ネットワークと外部ネットワークの境界が曖昧になる

  • クラウドサービスやテレワークの導入が難しい

  • 既知の脅威に対する防御は可能だが、未知の脅威やゼロデイ攻撃に対する防御は困難

ゼロトラストのメリット

  • 境界防御の限界を克服できる

  • サイバー攻撃の高度化・巧妙化に対応できる

  • 内部脅威に対する防御を強化できる

ゼロトラストのデメリット

  • 複雑なセキュリティ対策が必要になる

  • コストが増加する

  • 運用の負担が大きくなる

閉域網とゼロトラストのどちらが良いかは、企業の規模や業種、業務内容、セキュリティポリシーなどによって異なります。さらに今回は2つを比較しましたが、閉域網にも多くの種類があり用途に応じて構築環境は選択できます。ゼロトラストはより選択肢があります。業種や会社によって異なるセキュリティポリシーがあるかと思いますので、最適な選択が必要になるかと思います。
閉域網は、比較的シンプルなセキュリティ対策で済むため、中小規模の企業や、既存のシステムを大きく変更できない企業に適しています。ゼロトラストは、高度なセキュリティ対策が必要になるため、大規模な企業や、クラウドサービスやテレワークの導入を検討している企業に適しています。また、もう一つの選択肢として、閉域網とゼロトラストを組み合わせて、より強固なセキュリティを実現することもあります。それぞれの強みを活かしより強固なセキュリティを実現する事も可能です。

最後までご視聴ありがとうございました。
最近では多くの方法でNoteが活用されていますが、「インプットを目的としたNote」もおすすめです。新しく自分に入れたい知識が整理した状態で吸収できるのを実感できます。今後もインプットを形にし続けていきたいと思います。

この記事が気に入ったらサポートをしてみませんか?