vol.143 -「ゼロトラストセキュリティとは」

■境界防御型セキュリティ対策の限界

従来のセキュリティ対策は、ネットワークを社内LANなどの信頼できる「内側」とそれ以外の信頼できない「外側」に分け、その境界線にファイアウォールなどを設置して防御する「境界防御型」と呼ばれるセキュリティモデルです。

しかし、近年ではリモートワークやクラウドサービスなどの利用が増え、従来の「境界防御型」では手口が巧妙化していくサイバー攻撃を完全に防ぐことが難しくなってきました。

例えば、暗号化ZIPファイルにマルウェアやウィルスが混入していた場合、UTMでは検知できません。また、ウィルス対策ソフトでも検出が難しいマルウェアもあり、検知できずに感染するケースもあります。そして、ネットワークの内側に侵入されると、マルウェアやウィルスが社内ネットワークを通して他のPCやサーバーなどへ拡散されてしまい、被害が拡大していきます。このように、「ネットワークの境界で防御する」という考え方だけでは対策が不十分です。

そこで、近年では「ゼロトラスト」の考え方に基づいた「ゼロトラストセキュリティモデル」が注目されています。

■ゼロトラストセキュリティモデルとは

ゼロトラストセキュリティモデルとは、ネットワーク境界の内側であっても無条件に信用せず、全てのアクセスや通信に対して検証を行うという概念です。

従来は社内からの通信は信用できるものとして扱われてきましたが、たとえ一度安全性を検証した通信であっても完全に信用せず、検証を都度行うことで、ネットワーク内外どちらからのサイバー攻撃に対しても対応することができます。

■ゼロトラストセキュリティの手法

ここでゼロトラストセキュリティを実現するための手法をいくつかご紹介します。

・SDP（Software-Defined Perimeter）

ネットワークの内側と外側の境界をソフトウェアによる制御で細かく定義する技術です。具体的には、接続元と接続先の間にSDPコントローラを配置し、認証はすべてこのSDPコントローラを介して行います。接続元から接続要求があった場合、SDPコントローラはポリシーに従って接続元が信用できるかを検証し、問題なければSDPコントローラが接続元に代わって接続先と認証を行い、暗号化した1対1の通信経路を接続元と接続先の間に提供します。これを、接続要求が発生する度に行うことで、一度成功した認証に乗じての不正アクセスのリスクを減らすことができます。

・CASB(Cloud Access Security Broker)

CASBとは、クラウドサービスとそれを利用する端末の間にコントロールポイントを設定し、クラウドサービスの利用状況の監視やアクセスを制御する技術です。近年はリモートワークやクラウドサービスの利用が拡がり、不正アクセスや情報漏洩のリスクが高まっています。CASB製品を利用することで、アクセスできる端末を制限したり、アクセス状況を可視化・分析することができます。また、クラウドサービスに対応したデータ保護やマルウェア対策の機能も備えており、利用する企業が増えてきています。

ゼロトラストは他にもZTNAなど様々な実現手法があり、今後も発展していくと見られています。