fbpx

ゼロトラストの進化の過程

その短い歴史の中で、情報セキュリティは、基本的に企業ネットワークの境界線の内側にいる者は「信頼されている」、外側にいる者は「信頼されていない」と仮定した境界線ベースのネットワークセキュリティモデルによって支配されてきました。この信頼という概念は、20年以上にわたり、人々がアクセスできるリソースやアプリケーションを決定するための基礎として機能してきました。

近年、数々の注目を集めた攻撃により、このモデルの根拠が弱まり、セキュリティ業界では「境界線は死んだ」と主張することがほとんど決まり文句になってきている。これは少し大げさかもしれませんが、ますます明らかになってきています。

クラウドコンピューティングの成長、モビリティ、現代の労働力の変化など、さまざまな要因により、境界線の関連性が薄れてきているということです。

例えば、社内の人事システムやディレクトリの従業員であるかどうかに関わらず、どこにいてもおかしくないユーザーがいて、管理されていないモバイル・デバイスからクラウド・アプリケーションにアクセスしているとします。このようなシナリオでは、実際に企業ネットワークに触れることはありません。このようなケースでは、明らかに境界線ベースの防御はあまり役に立たないでしょう。

近年では、信頼されたインサイダーと信頼されていないアウトサイダーという概念を捨てて、すべてのユーザーが信頼されていないと仮定し、リソースへのアクセスが「どこにいるか」よりも「誰であるか」に基づいて行われるモデルを支持するセキュリティの新しい考え方が登場しています。このモデルは、多かれ少なかれ直接的に関連付けられている様々な名前に関連付けられており、条件付きアクセス、アプリケーションベースのアクセス、Software-Defined Perimeter、Identity-Aware Perimeter、Identity-Aware Networkingのように名前は違えど大体同じことを意味します。しかし、最も一般的な用語であり、このブログで使用するものは、ゼロトラストです。

ゼロトラストの概念は、2000年代初頭のジェリコ・フォーラムにルーツがあります。このフォーラムは、基本的にはセキュリティ専門家の集まりで、クラウドコンピューティングの影響や「境界線の除去」という概念に対処するためのフレームワークを確立するために集まったものです。しかし、ゼロトラストという具体的な用語は、おそらく10年ほど前のものでしょう。その間、ゼロトラスト・モデルには様々な反復がありましたが、この記事の残りの部分では、ゼロトラストの進化を追跡して、今日のゼロトラストが何を意味するのか、また、現代の要件にどのように適応する必要があるのかという文脈を確立します。

第1段階:セグメンテーション

ゼロトラスト現象の第一段階は、おそらくネットワークのセグメンテーションであり、実際にはVLANが開発された1980年代にまでさかのぼりますが、実際に普及したのは2000年代初頭で、標準規格が開発され、ほとんどのファイアウォール/VPNベンダーがVLANを推進していました。セグメンテーションの本質的な考え方は、昔の境界線モデルでは、ほとんどの企業がフラットなネットワーク構造を持っていました。そのため、一度攻撃者が内部に侵入してしまえば、すべてのものを自由に使えるようになっていました。しかし、ネットワークを論理的なセグメントに分割すれば、攻撃者が内部に侵入してからアクセスできるものを制限することができるだけでなく、攻撃者が横方向に移動する能力を制限することができます。

マイクロ・セグメンテーションは、より新しいアップデートで、基本的にはセグメンテーションの概念を極端に取り入れたもので、ネットワーク・セグメントを縮小して特定のサーバーや個々のワークロードを分離することができます。セグメンテーションの主な推進要因の1つは、企業が従業員だけでなく、ネットワーク全体へのアクセスを自由にさせずに、請負業者、パートナー、コンサルタントなどにもアクセスを拡大したいと考えていたことでした。

第2段階:SDPアプライアンス

次のクラスのゼロトラスト・ベンダーは、一般的にアイデンティティとアクセス管理(IAM)のバックグラウンドから発展したもので、MFA、SSO/IDaaS、またはPAMのための既存の技術を活用して、ユーザーを認証し、デバイスを検証する能力に大きく依存した、主にアイデンティティベースのアプローチを提唱しています。

第3段階:アイデンティティに基づいた

次のクラスのゼロトラスト・ベンダーは、一般的にアイデンティティとアクセス管理(IAM)のバックグラウンドから発展したもので、MFA、SSO/IDaaS、またはPAMのための既存の技術を活用して、ユーザーを認証し、デバイスを検証する能力に大きく依存した、主にアイデンティティベースのアプローチを提唱しています。

第4段階:中間者クラウド

コンテンツ・デリバリー・ネットワーク(CDN)ベンダーは、従業員やパートナーがVPNなしで社内のアプリケーションにアクセスできるようにするためのプラットフォームとして使用できる高度に分散されたネットワークを持っているため、ゼロトラストの論理的なプレーヤーでもあります。事実上、CDNアプローチを採用しているベンダーは、基本的に独自の「中間者」クラウドネットワークを持っており、プロキシのように機能します。CDNは通常、ブラウザからアクセスするWebベースのプロトコルに限定されているため、一部のベンダーはこのアプローチをNaaS(Network-As-A-Service)モデルに拡張している。NaaSでは、デバイス上のVPNクライアントを使用して、IPSecトンネルをCDNのポイントオブプレゼンスにセットアップすることで、すべてのネットワークプロトコルをサポートします。CDN/NaaSアプローチとSDPベンダーとの本質的な違いは、オンプレミスのハードウェアとソフトウェアの必要性が少ないことである。

第5段階:クラウド統合

ゼロトラストの進化の最新段階は、クラウド統合型アプローチと呼ばれるようになったものです。このグループの本質的な特徴は、顧客がCDNプロバイダーの独自ネットワークに依存する「中間管理型」のクラウドアプローチとは異なり、今日、ほとんどの企業が自社のクラウドインフラに大規模な投資を行っており、AWS、Azure、GCP、またはその他のクラウドプロバイダーがワークロードを実行している可能性が高いという事実を利用している点にあります。つまり、クラウド統合型アプローチの特徴は、企業が既存のクラウド投資を活用してゼロトラスト・フレームワークを提供できることです。

クラウド統合型アプローチのもう一つの利点は、データプレーンが企業の環境に存在することである。データプレーンは、企業の既存のエンタープライズセキュリティツール(IAM、MDM、EDR、EUBA、PKIなど)と統合して、さまざまな出入り口のポイントでゼロトラスト・セキュリティを実現することができる。

繰り返しになりますが、現代のゼロトラストの重要な要件の一つは、既存のセキュリティツールやタッチポイントと連携することであり、ゼロからセキュリティプログラムを設計することを企業に強要しないことです。

クラウド統合型ベンダーも、クラウドだけでなくコンテナやマイクロサービスを採用している現代企業のスケーラビリティ要件を満たすことを目指しています。

ゼロトラストの次は?

ゼロトラストの概念は、現代の要件に合わせて大きく進化してきましたが、私たちはゼロトラストを実装したごく初期の段階にあり、今後数年の間に多くの新しいねじれや発展があると思われます。しかし、それを何と呼ぶかにかかわらず、ゼロトラストは、過去10年以上の間にセキュリティ分野で最も重要な新展開の一つになる可能性があり、今後何年にもわたって業界だけでなく、セキュリティベンダーにも大きな影響を与えることになると思います。

SNSでもご購読できます。

コメントを残す

*