ゼロトラストとは？

こんにちは。


一応、セキュリティ業界にいる人間の端くれなので、
セキュリティについても語っていきたいと思っている所存です。


早速ですが、みなさん「ゼロトラスト」という言葉を聞いたことがあるかと思います。


決して新しい言葉というわけではないのですが、
かなり世の中に普及してきた言葉かと思います。


この言葉・概念が世に出てきたのは
2009年のことです。

2009年にForrester Researchのアナリスト、John Kindervagによって提唱されました。

ポイントとしては
特定の条件下での信頼を前提とした従来のセキュリティモデルを否定し

パラダイムシフトを起こした
ということがゼロトラストの偉大さであり、
フレームワークとして今でも
存在続けている所以です。


最初に、
この従来のセキュリティモデルと
なぜJohnはそれを否定したのか
について解説していきたいと思います。

まず、従来のセキュリティモデルについてですが、

これは、境界型のセキュリティ
とも言い換えることができます。


つまり、内側と外側を識別し、
内側を関係者、外側を部外者とする考え方です。

では何の内側・外側か？
というと、それは基本的に
オフィスネットワークです。


オフィスにいて、従業員用の
LANケーブルやWifiに接続された端末は
オフィスネットワークの内側にいるので、

関係者とみなされ、
オフィスのシステムやイントラネットなどに
アクセスすることができます。


一方でオフィスから、
厳密にいえばそのネットワークから出てしまうと、
オフィスのシステム、イントラネットなどには
アクセスできなくなるというわけです。

このシンプルな考え方によって
オフィスの基幹システムを守っていました。


ところが、
お察しのいい皆さんなら
お気づきのことかと思いますが、

そのセキュリティモデルでは
困ることが出てきました。


そうです。
リモートワークですね。


リモートワークはその名の通り、
遠方からオフィスのシステムに
アクセスする必要があるので、
オフィスネットワークにいることが不可能です。

よって従来のセキュリティでは、
柔軟な対応ができず、

セキュリティを担保しながら
アクセス管理をすることが
難しくなりました。


リモートワークの場所を識別して
従業員の自宅IPアドレスからのアクセスを許可する

ということはできますが、

従業員の数だけ許可するIPアドレスを増やすというのはただただ危険です。


ではどうしたか。


そう、VPNの登場です。


このVPN(Virtual Private Network)は、
その名の通り、実際には離れている
ネットワーク間をつなぎ、

仮想的に一つのネットワークとして
扱うことができます。


専用のソフトウェアを従業員のPCに導入し、

さらにVPN専用のネットワーク機器を
オフィスネットワークの受け口として設置します。


VPNで接続されているPCは
仮想的にはプライベートネットワークにいるので、

IPアドレスも仮想的な
プライベートIPアドレスが振られます。


オフィスネットワークにはこのプライベートIPアドレスとしてアクセスするので、

許可するグローバルIPアドレスを増やすことなく安全なアクセス制御が可能です。


VPNにより、従業員がどこにいても、

従業員用のPCからオフィスネットワークに
安全にアクセスできるようになりました。


時代の流れ
という表現は少し雑すぎますが、


VPNは新たな要件をかなえる
大きな技術的進歩だったんですね。


あれ？

じゃあゼロトラストって何？
と思いますよね。


ゼロトラストは
あくまで概念・考え方であり、
機能ではありません。



そのコンセプトは、
場所だけに頼らずさまざまな条件を
組み合わせて認証するということです。


VPNもエージェントが入ってさえいれば
接続可能になるわけではありません。



ID、端末の脆弱性、
アプリケーションの脆弱性
複数の条件を組み合わせて認証して

初めて信頼します。


オフィスにいるというだけで信頼しない
ゼロベースの認証を行う考え方

それがゼロトラストです。

ID(ADなどのユーザー情報)や
通信の送信元端末の脆弱性リスクを
ベースに通信制御ができて

更に「誰」がアクセスしに来たのかを
しっかりログに残すことができて
初めてゼロトラストということができます。


そしてそれを実現するアーキテクチャが
Zero Trust Network Access(ZTNA)です。


VPNは認証の上で接続するのですが、

認証をするのはネットワーク内なので
認証前に認証するための入り口を
開けておかなければいけないのは
ちょっとリスキーですね。


実際に
VPN機器の脆弱性によるインシデントは
過去に何度か起きています。


ただそれでも
VPNがあれば十分なんじゃないか

まだそう思えますよね。


でも考えてみてください。
皆さんは日々の業務の中で
オフィスネットワークにさえ繋がれば
仕事に支障はないですか？


そんなはずはないと思います。


ファイル共有アプリケーションも
イントラネットのサーバーも、

すべてインターネット上の
サービスとして利用していることも
多々あります。


クラウドと呼ばれるものですね。

それらのインフラはオフィスにはないので、
インターネット経由でアクセスすることになります。


インターネット上にあると言っても
その辺のウェブサイトに
アクセスしているわけではないため
セキュアなアクセスを保証する必要があります。


データが途中で改ざんされたり、盗まれたり、
盗聴されるようなことがあってはいけないのです。


でもインターネット上のデータを
保護するのは難しい。

そこでどうしたかというと、
VPNで一旦オフィスネットワークを通し、
そこからインターネットに抜ける
という方法を取りました。


オフィスを経由しているので、
インターネットへのアクセスにおける検疫は
オフィスと同じモノとなります。


オフィスまでのアクセスも
これまで説明してきたVPNでの通信の為
安全性が担保されます。

VPNの使い方を工夫することで
これで問題がないように思えました。


しかし、これだけでは終わりませんでした。


インターネットにでる通信の量が年々増し、

全部の通信をオフィス経由にすると
オフィスの通信機器がいっぱいいっぱいになって
キャパオーバーになってしまうのです。


特にビデオ会議やストリーミングでの
トレーニング実施など、

5Gの普及によって可能になった
膨大な通信という便利なものが

セキュリティ運用においては
課題となってしまいました。


オフィスを通さないと
セキュリティは担保できない。

でもオフィスを通すと
パフォーマンスの問題が起きる...。

どうすればいいでしょうか。


そこで出てきたのは
インターネットブレイクアウトです。


通信先によってオフィスを通したり、
通さずにインターネットに抜けたり
することができる機能ですね。

これによって
ビデオストリーミングの通信などについては
オフィスを迂回させ、
オフィスの負荷を下げることに成功しました。


ただ、これは利便性を求めて
セキュリティを妥協しているに過ぎません。


厳密には、すべての通信を
何らかの形で検査し、
本当に安全なのかを
確認しなければいけないですよね。


さて、ここまででいろいろな課題に
いろいろな方法でどうにか
対応してきたわけですが、

結局どのような課題があったのか
というと以下の感じです。

[VPNで解決済み]
・リモートからの通信を制御するのが困難だった。
・通信先がオフィスだけではなくなった。

[VPNでも未解決]
・インターネット上のリソースが増えた。
・インターネットに抜ける通信が膨大なものになった。


また、実は以下のような課題もあります。

[新たな課題]
・従業員の全員にとって同じアクセスが必要なわけではない。

インターネット上にあるデータ、
もしくはプラットフォーム、サービスによって、
アクセスする必要のある従業員は異なります。

例えば営業のデータを
人事部が見る必要は基本的にありません。


余計なアクセス権の付与が増えると、

管理の複雑化、
操作ミスの誘発、
乗っ取り被害における
被害の最大化

といったリスクが増えます。

この点はインターネット上にある
リソースだけでなく、

社内システム・アプリケーションについても
同じことが言えます。


・IPアドレスでの管理の限界

既に述べた通り、
リモートワークの普及による
外部からのアクセスについては
VPNで解決できましたが、


今度はクラウドの利用により
送信先のIPアドレスも増えてしまいました。

さらにクラウドはIPアドレスが不定期で変更され、

気づかない内にアクセス制御ポリシーが
無効になっているということもあり得ます。

IPアドレスを使った通信制御は
管理面での限界を迎えているんです。

ということで課題は山積なのですが、

これらを一気に解決する方法が出てきました。


その解決策はSASEと呼ばれるサービスです。

ZTNAを含む様々な要素で構成されています。


いろいろな専門ベンダーがいる中で
各社が自分の分野を最重要分野
かのように語るのですが、


誰を識別するという特性である以上、
その誰を管理するためのID管理が
要になると私は考えます。


個人情報なしには
誰を特定することはできませんからね。


ID管理というと一番有名なのは
MicrosoftのActive Directoryかと思います。

OktaやMicrosoft Entra ID(旧Azure AD)
も有名ですね。

これらのサービスを使ってID、Password、
メールアドレスといった情報を
組織内の個人情報として一元管理し、

そのIDを識別することで
「誰」ベースの通信制御を可能とするわけですね。


IDが決まれば、
そのIDを識別して通信を制御するのは
通信制御機能（セキュリティハブ・ファイアウォール）の役割です。


ではどこにその機能を置くべきでしょうか。
オフィスに置いたままだと何となく
VPNと変わらない気がしますよね。

そこで出てくるのがクラウドサービスとしての
仮想ファイアウォールです。

クラウド上にあるハブを通し、
オフィス行きの通信は当然オフィスへ、
インターネットに出る通信は
そのままインターネットに送られます。


クラウドサービスなので、
ハブのパフォーマンスの心配も不要です。

基本的に自動でスケールアウト
（パフォーマンス向上）します。

スケールアウトその分料金も上がりますが、
通信機器の管理をする人件費に比べれば
想像の通りです。

ちなみにこのクラウドサービスの
ファイアウォールはSWG（Secure Web Gateway）と呼ばれます。

ユーザーから各サーバーへのアクセスを
セキュアにするゲートウェイサービスです。


さらにちなみにですが、

パブリッククラウド上の仮想サーバーにファイアウォールのソフトウェアをインストールして
仮想ファイアウォールとして使う

という手段もあるので、
管理性や料金、要件によって
使い分けることができます。


これらの通信制御機能としては
IPアドレスはもちろんのこと、

アイデンティティ、URL、
ドメイン、アプリケーションフィルタリングといった

様々な形で柔軟にセキュリティポリシーや
脅威対策機能を設置し、
それらを一元管理することができるんです。


いろんな機能を一元的に設定することで
制御管理も楽になりますし、

通信も一点に集中させて制御するため、
ログ管理も圧倒的に楽になります。


インフラの脆弱性を見つけるためには
ログ管理は最重要と言えます。


さて、ここまでゼロトラストと
そこから派生したサービスについて
説明してきました。

ゼロトラストについて勉強している方々、

もしくは既に専門家の方々
（に読んでいただいているなら
非常に非常に光栄ですが）
であればわかると思いますが、


まとめると、
どこではなく誰で制御し、
さらにいろいろな条件で通信先も識別し、
その制御ポイントをクラウドに置くことで
リソースの問題も解決するのが

ゼロトラストの考え方です。

どこにいようと関係なく検疫をかける。
逆にいえば社内ネットワークであろうと
ゼロベースで信頼するわけではない

というのがゼロトラストです。

他にもアクセス制御の肝となる最小権限の原則や、
ゼロトラストの思想を実現する
ZTNA（ゼロトラストネットワークアクセス）など

一本の記事では紹介しきれないので

今回はこの辺にしておきます。



いかがでしたでしょうか。

少しでも皆さんの
お役に立てれば幸いです。

またご意見などがありましたら、

是非ともご連絡お待ちしています。


最後に、
セキュリティに関する情報をYoutubeでも
展開していきたいと思っていますので、
是非流し見ていただければ幸いです。

ではまた。