第587号コラム:小山 覚 理事
(NTTコミュニケーションズ株式会社 情報セキュリティ部 部長)
コラム題:「ゼロトラスト(信頼ゼロ)でセキュリティは大丈夫か?」
●違和感のある「ゼロトラスト」との出会い
このコラムは「ゼロトラスト」という言葉に、違和感を感じている人に読んでもらいたくて書いた次第である。
ゼロトラストは 2010年にForrester Research 社の John Kindervag 氏が提唱した概念である。最近よく耳にするので勉強してみると、企業ネットワークをクラウドファーストで構築または再構築する際に参考になる考え方だった。
ゼロトラストとは、通信相手をむやみに信頼せず、常に確認するという意味のようであり、例えばVPN(仮想専用網)のトンネルを張って、サービスを何でも通してしまうのではなく、その都度利用者を認証し、利用可能なサービスやアプリを認可していく運用を指しているようだ。
それにしても「ゼロトラスト」は語感が悪い。私のようなネットワーク系のセキュリティ屋には、違和感すら感じる言葉である。ネットワークのコスト・品質・セキュリティに取り組む我々にとって、ゼロにすべき対象は「故障」や「インシデント」であり、ネットワークの利用者や相互接続相手とのトラスト(信頼)は一番大事にしてきたものだ。
とはいえ、振り返ってみると私が所属する会社のイントラネットは、様々な課題を解決するため、結果的にゼロトラストネットワーク*の方向に進んでいるのも実態だ。本コラムでは自社のイントラネットの変遷を見つめて理解した「ゼロトラスト」を少しご紹介してみたい。
*:ゼロトラストの考え方で構築したネットワーク
●ゼロトラストの効能
結果的にゼロトラストネットワークを導入することになった目的は何かと問われれば、「働き方改革の推進・クラウドファーストの早期実現・APT攻撃対策」の3点だと考えている。多くの企業が取り組むこの3つの課題に共通するものが、ゼロトラストなセキュリティ対策のようである。
例えば、働き方改革の推進には、社内外シームレスに高い生産性を実現するIT環境が必要であり、社員が利用するパソコンなどのエンドポイントのセキュリティ対策が不可欠である。
クラウドファーストの早期実現には、クラウド上のデータのセキュリティ対策や、アクセスする利用者の認証と認可、不正な利用を防止するCASBなどのセキュリティ対策が必要となる。
さらにAPT攻撃対策においては、攻撃者に侵入にされた場合に備え、ラテラルムーブメントを防ぎ被害の極小化を図るため、エンドポイントの強化に加え、過去に構築したイントラネットの信頼関係をゼロから見直していく必要がある。
ゼロトラストの考え方は、この3点を見事に解決してくれる。
しかし、この3点実現に一番苦労するのは、イントラネットの管理者である。
●イントラネット管理者の苦悩
企業のイントラネットはインターネットの接続点を1カ所に絞って外部との境界を多層防御でガッチリ守るやり方を採用してきた。イントラネットの中は安全で、信頼関係を結んだ拠点間は比較的自由にアクセスできた。イントラネットの管理者にとって、ネットワークのコスト・品質・セキュリティの管理に最適化された環境を作り上げていた。
ところが、昨今の状況の変化で、社員はイントラネットの外で働くようになり、守るべきデータはイントラネットの外のクラウドに出ていき、国家レベルの攻撃者がイントラネットの中に入ってくる時代になってしまった。イントラネットと外との境界を多層防御でガッチリ守っていても、果たして会社を守れているのか微妙な状態になりつつある。
例えば、シャドーIT(未許可SaaS等やデバイス類)の禁止通達を出しても、技術的に利用制限がかけられないようでは、悪意の利用者を見逃すことになる。シャドーITに対する攻撃者の不正アクセスと正規アクセスの区別も難しい。
またイントラネットのセグメント間を自由に通信できる設定は便利だが、侵入した攻撃者のラテラルムーブメントを許してしまい、被害の長期化と深刻化を招いてしまう。
このように社内と社外の境界を多層防御で守ってきたやりかたが、用途や目的によっては通用しなくなりつつある。企業のセキュリティ部門のミッションが境界防御中心になっていると、重大なリスクに気づかない恐れさえあるのだ。
●まとめ
ゼロトラストは、今までの境界防御では対応できない利用形態や脅威に対応するために避けられない選択肢ではあるが、イントラネットの管理者が、自らゼロトラストに舵を切ってみないと腹落ちしない課題かもしれない。ましていわんやICTに疎い経営者には意味不明な用語であろう。
読者諸兄が経営者にゼロトラストを提案する場合には、直球勝負は避けて「働き方改革・クラウドファースト・APT攻撃対策」を錦の御旗に、着実に前進されることをお勧めしたい。経営者の方々にはICTの方向を議論する場で「ゼロトラストに移行しなくて良いのか?」の一言を是非お願いしたい。
このコラムでは、私が自社のイントラネットの変遷を見て感じたことを述べさせていただいた。お付き合いいただき感謝申し上げる。
最後に、自社にゼロトラストを導入した感想だが、結論を出すのは早計かもしれないが、働きやすくなり生産性が向上したと答える社員が多いことをお伝えしておきたい。
#本コラムでは紙面の関係で、ゼロトラストを実現する要素技術やサービスの説明は割愛させていただいた。
【著作権は、小山氏に属します】