押さえておきたいネットワークセキュリティの話
第1回: 安全に、必要なシステムにリモートアクセスをするには。ところでゼロトラストってどうなの?
バックナンバー
2023/05/19
ゼロトラストの概念
ネットワークセキュリティの世界では、昨今のリモートワークの普及に伴い、信頼性の高いセキュリティアクセスへの必要性が高まっています。企業は従来から、様々なネットワークセキュリティ機器やサービスを導入して対応をしていますが、ネットワークセキュリティの世界は、ハッカーによる脆弱性をついた攻撃や、マルウェア拡散、また悪意を持ったユーザーたちとの“いたちごっこ”が今も続いています。
また、あらゆる企業とネットワークでつながったサプライチェーンの世界では、誰もがセキュリティ事故被害者になり得る可能性だけでなく、加害者(被害の発生起因者)なる危険性にさらされています。こんな中、「ゼロトラスト(誰も信用しない、すべて監視する、システムへのアクセス制限)」という概念を徹底するという考え方がでてきているのです。
ゼロトラストが、全てのネットワークセキュリティにおける問題を解決するものではありませんが、この考え方やソリューションは、おそらく近いうちに大企業のみならずスタートアップ、中小企業まで広がっていくと私たちは考えています。
今回は、従来のVPNに代表される境界型ネットワークセキュリティとゼロトラストセキュリティの違いについてお話します。
上記の図は、ゼロトラスト(ZTNA : Zero Trust Network Architecture)を概念的に理解するために役立つかもしれません。
左のConventional Security モデルは、従来のVPNによる認証と暗号化を通じて本社や取引先のシステムにアクセスする方法です。これは、ほぼ世界中で採用されているモデルです。 また、この方式はユーザーの性善説に基づいています。
【動画】ZTNAソリューション「Safous」概要
ユーザーの性善説とそれに対するゼロトラストの考え方
VPNの世界では、悪意のない訪問者が、お客様のビルの受付を通って(ネットワークセキュリティで言えばVPN認証)、そこを通過したら、訪問者は約束のお客様の打ち合わせに直行して無事商談を進めます。
しかし、この訪問者に悪意があった場合はどうなるでしょうか?偽の名前で受付を通過し、約束の場所に行かずに訪問先のビルの様々な場所に危険物を置いて、社外を出ることが可能です。従来のVPN経由で、訪問者がネットワークに参加できる世界では、一旦ネットワークに入ってしまうと、どこへでも移動ができ、様々なシステムへマルウェアを拡散させる事ができます。それ以外にもシステムに脆弱性を引き起こす仕組みを仕掛けたり、機密情報を不正に持ち出されるリスクが発生するのです。
一方ゼロトラストの考え方は、訪問者を厳しく受付でセキュリティチェックした上で、受付をパスした訪問者に対しても、セキュリティガードが訪問者の腕を引いて引率の上、約束の場所まで送りとどけます。打ち合わせ終了後に、またセキュリティガ―ドの人間がビルの出口まで送り届けます。訪問者は、ビルの中を動きまわる自由を完全に奪われます。この他にも訪問先では監視カメラで監視され、どの様な打ち合わせが行われたかが録画されています。
この違いを簡単に言えば、訪問者を信じ、受付さえ通過すれば自由な行動を許す性善説に対し、訪問者を信頼せず目的先で目的以外の行動をさせない(監視もする)のがゼロトラストの考え方に基づく行動になります。
今回は簡単にゼロトラストの考え方を説明しました。次回は、この方法をどの様に実装するかなど、ソリューションと併せてご紹介していきたいと思います。
IIJではゼロトラストネットワークアクセス(ZTNA)ソリューションである「Safous」を新たにリリースしました。詳しくは下記Safousのウェブサイトをご覧いただくか、お問い合わせボタンからお気軽にご連絡ください。
執筆者:近藤 知憲
株式会社インターネットイニシアティブ
グローバル事業本部 エキスパートプログラムマネジャー
入社以来一貫してセキュリティサービスの企画・開発に携わり、セキュリティ本部ビジネス開発部、先行戦略室を経て、グローバル事業本部にて現職。
現在はIIJのセキュリティサービスの海外展開にむけて、海外向けサービスの企画・開発・販売推進を担当する。ASEANを中心にセキュリティビジネスの更なる拡大にむけて活動中。
