あなたが守るものは、もうそこにありません？境界防護の限界と「ゼロトラスト」

はい、こんにちは！連続記事で、境界防御の最重要機器「ファイアウォール」についてご紹介しています。5回で紹介するつもりが、案の定、もっと長くなってきましたｗ。

前回は、VRRPを使ったファイアウォール冗長化の話をしましたね。なんとかファイアウォールの高可用性（HA）を担保するために、ファイアウォールを複数準備するわけですが、それを仮想的に一つに見せる技術でした。やはり、バックエンドは仮想化技術がキモだなと改めて感じましたよ！

VRRPを使ったファイアウォールの冗長化

さて、今回もファイアウォールの話ではあるのですが、どちらかというとその限界の話です。

ファイアウォールは、インターネットと内部セグメントの境界に立って、内部セグメントを守るのが役割でした。ただし、この「境界防御」は、「敵は外側にいて、ユーザと守るべき情報資産は内側にある」ということが前提の対策です。

しかし、この前提が必ずしも成り立たないことが増えました。カギになるコンセプトは、「誰も信用しない」です。いったいどういうことでしょうか？

さっそく行ってみよう！

境界防御には限界がある？

従前は、ファイアウォールを使用した境界防御、すなわちペリメターセキュリティモデルが主流でした。

このモデルは、組織のネットワーク境界にセキュリティを強化し、外部からの攻撃を阻止することに重点を置くものです。今でも境界防御「も！」重要であることに変わりはありません。

が、しかし。時代の変化とともに、ペリメターモデルだけでは対応できないセキュリティ上の課題が浮上しています。

特に、新型感染症の感染拡大などの影響により、クラウドサービスの普及やリモートワークの増加しました。これが、セキュリティへの向き合い方を根本から変えるものであり、新たなアプローチが必要とされています。

まずこのような背景を抑えて次に進みましょう！

ファイアウォールとペリメターモデル

ファイアウォールは、不正なトラフィックを検出し、フィルタリングするためのハードウェアまたはソフトウェアでしたね。

先ほど触れたように、伝統的なペリメターモデルでは、ファイアウォールを内部ネットワークの入口に設置して、外部の脅威から守る壁として機能させていました。

みんな外側に飛び出した？

しかし、クラウドコンピューティングの台頭により、重要なデータやアプリケーションが従来の内部セグメントからクラウドへと移行しています。皆様の会社もそうではありませんか？「オンプレは終わった！クラウドファーストだ！」という声も、まあ、よく耳にしますね。

それだけではありません。リモートワークの増加により、VPNを通じて外部から内部ネットワークにアクセスするケースも増えています。

そう、情報資産やアプリだけでなく、利用者まで内部セグメントから跳び出してしまったという状況です。

守るべきものが外に出てしまったというこれらの変化が、ペリメターモデルの限界を露呈させているわけです。なんということでしょう…。

そこで、「ゼロトラスト」モデル

このような状況下で現在、注目されているのが、「ゼロトラスト」モデルです。

ゼロトラストは、ネットワーク内外を問わず、すべてのユーザや端末からのアクセスに対して信頼を置かず、常に検証を行うという考え方です。

外部にいる正当な者が情報資産を安全に利用する、また、外部（クラウド）にある情報資産を安全に利用するために役立つモデルです。

加えて、内部に侵入した悪意のある者、（さらには内部犯！）からの脅威にも対応するモデルでもあります。

このように、「ゼロトラスト」は、今日の多様な働き方、データの持ち方などに対応するための効果的なセキュリティモデルとなります。

ゼロトラストは、セキュリティの新しい標準として認識されつつあります。

はい、本日はここまで。境界防御モデルの限界と、新しい標準である「ゼロトラスト」についてお話ししました。ただ、ゼロトラストについて何ら掘り下げた解説はできませんでした。ゼロトラストは、それ自体で巨大なテーマですので、そのうち、連続記事にしたいと思います。

「境界防御だけではいけないんだな…」という点だけ共有できたのなら、この記事の目的は達成です。

次回からは、アプリケーション層におけるファイアウォールの機能について扱っていきます。

では！