「ゼロトラスト」なセキュリティが注目される理由とは？ | 東京エレクトロンデバイス

VPNの課題とは？

今年に入って、多くの企業が積極的にリモートワークを取り入れるようになりました。一般にリモートワークでは、自宅などからインターネットを経由したVPN（バーチャルプライベートネットワーク）で会社のネットワークに接続します。社内のネットワークに接続できれば、あとは会社でPCを使っているのと同じように、社内のグループウェアやファイルサーバーに接続できて業務を進められます。

しかし、このVPNを用いた社内ネットワークへの接続にはいくつかの課題があります。

もっとも指摘されるのは、VPNに接続するIDとパスワードが漏れてしまうことで、第三者が容易にVPNへ接続できてしまうということでしょう。VPN経由で社内ネットワークへの侵入を許してしまうと、そこから先のセキュリティは十分でないケースが多いため、社内サーバーへの侵入も容易になってしまいます。PCがマルウェアに感染していた場合、社内の別のマシンにマルウェアを広めることにもつながるでしょう。

VPNのキャパシティも、多くの企業にとって課題となっています。ほとんどの会社は社員のほぼ全員がVPN経由でリモートワークを行うといった状況を想定していませんでした。社員の多くがリモートワークとなった場合、アクセスの集中にVPNゲートウェイが耐え切れず、結果としてリモートワークでの社員の業務効率を落とすことになります。

最近は多くの企業が業務システムの一部としてSalesforceやSlack、サイボウズのようなクラウドサービスを取り入れています。せっかく自宅からブロードバンド回線で高速にインターネットを使える環境でも、VPNでいったん会社の回線を経由したせいで帯域が狭まり、クラウドを快適に利用できなくなるのであれば、これもリモートワークでの生産性を著しく悪化させることでしょう。

VPNを使わず、全員がオフィスに出社して社内ネットワークへアクセスするとしても、課題は残ります。例えば社内のPCがメールやWeb経由でマルウェアに感染した場合、マルウェアは社内ネットワークを経由してさまざまな情報に容易にアクセスが可能となります。実際、こうした被害は国内外で増えています。

Googleの発表が背景に

こうしたVPNの課題をはじめ、「社内ネットワークにあるPCだから安全とは言い切れない」という状況に多くの企業が気づき始めたことが、「ゼロトラスト」と呼ばれるセキュリティの概念とその実装に注目が集まり始めた背景に挙げられます。

さらに、これに加えてGoogleが2020年4月に“ゼロトラストなセキュリティ”を実現するためのサービス「BeyondCorp」を発表したことも、ゼロトラストセキュリティへの注目度を高めました。

GoogleはBeyondCorpの発表にあたり、すでに10年にわたって社内でBeyondCorpを使用してきたことも明らかにしています。つまり、ゼロトラストなセキュリティとは新しい考え方や仕組みではなく、すでにGoogleのような先進的な大企業で十分に検証し使われているものであることが広く知らしめられたのです。

そもそも「ゼロトラスト」と呼ばれるセキュリティの概念は、いまから10年ほど前に米調査会社フォレスターリサーチのアナリストが提唱したものです。

「ゼロトラスト」はあくまで概念であり、どのようなアーキテクチャやシステムが正しいゼロトラストなのか、その定義はありません。また人によっては「ゼロトラストモデル」「ゼロトラストセキュリティ」「ゼロトラストネットワーク」など、言葉にも微妙な揺れがあるのが現状です。

本記事では「ゼロトラストという概念によって実現されるセキュリティ」という、広い意味での「ゼロトラストセキュリティ」という言葉を用い、一般的に言われているゼロトラストセキュリティとは何かについて紹介したいと思います。

すべてを疑うのがゼロトラストセキュリティ

ゼロトラストセキュリティの中心的な考え方は、その言葉通り「なにも信頼せず、疑い、検証する」ことでセキュリティを確保するシステムの実現にあります。

それは社外からのアクセスであっても社内からのアクセスであっても、ユーザーは誰かのなりすましかもしれないし、デバイスにはマルウェアが仕掛けられているかもしれないし、ネットワークには中間攻撃者がいるかもしれないと常に疑い、検証したうえでアクセスを許可するということです。

そのうえで、業務アプリケーションごとのアクセス権も細かく分類します。例えば基幹業務系の大事なアプリケーションには、特定部門のスタッフが会社に登録済みの自分のPCからアクセスしなければ利用できないとする一方で、カジュアルな情報交換が中心のグループウェアには情報部門に未登録のデバイスのWebブラウザからでも多要素認証に成功すれば参照できるようにするなど、情報の重要度によってアクセス可能な条件を柔軟に設定するわけです。

従来はVPNでアクセスに成功したユーザーとデバイスは、社内ネットワークに接続されたPCからのアクセスと同等に業務アプリケーションにアクセスできるのが一般的でした。つまりVPNゲートウェイやファイアウォールを境界線として、その内側に入れたユーザーとデバイスなら問題ないと信頼されていたわけです。

ゼロトラストでは、このようなVPNやファイアウォールの内側からのアクセスならば信頼する、外側は信頼しないといった境界線による区別はしません。どこからアクセスしてきたとしても、たとえ社内ネットワークからであっても、全ユーザーや全デバイスに対して適切な確認を行い、場合によってはアクセスを制限する仕組みを持つことになります。これにより全社員がオフィスにいても、あるいは社外から同時にアクセスしても、ゼロトラストは最初から問題なく対応できるキャパシティを備えていることにもなるわけです。

ゼロトラストセキュリティを構成する技術群

ゼロトラストセキュリティの実現には、さまざまな技術や仕組みを組み立てていくことになります。

ゼロトラストセキュリティはあらゆるものを疑うことが基本になっています。ユーザーを疑い、デバイスやOSを疑い、通信経路を疑います。その仕組みとして、ユーザーがシステムへログインする際には多要素認証が必要となるでしょう。情報部門はデバイス管理を行うことで、従業員が使うPCには最新のパッチが適用されているか、アンチマルウェアソフトウェアがきちんとインストールされているかなどを常に確認しておくことになります。ネットワークの途中で盗聴されることがないように、暗号化通信も必要でしょう。

これらをシングルサインオンの仕組みを中心に、使いやすくまとめることも欠かせません。そのうえで経理部門の社員が情報部門に登録されたデバイスから多要素認証をパスしてログインしてきたときのみ、基幹業務アプリケーションにアクセスを許可する、あるいは営業部門の社員が未登録デバイスのWebブラウザからアクセスしてきたときには、営業日報アプリケーションのみアクセスを許可するといった、アクセス制御を行うルールベースのエンジンと実際にアクセス制御を行うプロキシのような仕組みも用意して連携させることになります。

さらに各ユーザーのネットワーク上の振る舞いをログとして常に記録しておき、不審なアクセスが行われないかを監視するモニタリングとログの仕組み、不正アクセスの検出の仕組みなど、さまざまな機能も求められます。

下記はGoogleのBeyondCorpの概念図として紹介されている図です。アイデンティティ、コンテキスト、ルールエンジン、アクセス制御という4つの主な構成要素が紹介されています。これらが典型的なゼロトラストの構成要素と見ていいでしょう。

ゼロトラストセキュリティ導入の難しさ

このようにゼロトラストセキュリティの実現には幅広い技術を採用しつつ、それをうまく連携させていく必要があります。

それゆえに、どこかのクラウドサービスを導入すればすぐにゼロトラストセキュリティが実現できるといった容易なものではないことが、ゼロトラストセキュリティの導入の難しさでもあります。

企業ごとに適切なID管理やデバイス管理のあり方は異なるでしょうし、組織や権限に合わせてアクセス制御のルールも異なるはずです。なので、どのように社内のアクセス制御やセキュリティ管理は行われるべきなのかも、企業ごとに問われるはずです。

そうしたポリシーを組織として考え、答えを出していくには、入念な設計と試行錯誤も必要です。これからゼロトラストセキュリティを実現しようとする組織は、その実現には時間がかかるものだと考えてロードマップを描き、部分ごとに要素となるセキュリティを導入して進んでいくことが確実な手法ではないかと思います。

※本記事は東京エレクトロンデバイスが提供する不定期連載のタイアップコラムです。
※会社名および商標名は、それぞれの会社の商標あるいは登録商標です。