【レポート】
「検証し、信頼しないこと」が前提の「ゼロ トラストモデル」とは?
パロアルトネットワークスは1月27日、データセンター事業者向け次世代セキュリティセミナーをマイナビパレスサイドビルで開催した。ビジネスセッションの最初の講演には、米調査会社Forrester Researchのアナリストであるジョン・キンダーバグ氏が登壇し、次世代のネットワークセキュリティの概念として「ゼロ トラスト ネットワーク」を紹介し、そのアーキテクチャについて解説した。
「信頼を前提として検証する」というセキュリティ概念は破綻した
|
Forrester Research アナリスト ジョン・キンダーバグ氏 |
キンダーバグ氏は講演の冒頭で、「2011年は重大なセキュリティ侵害、情報漏洩が多発した1年だった。これは従来のセキュリティのあり方が破綻している証拠であり、セキュリティの方向性を抜本的に変える必要に迫られている」と指摘した。
同氏は、昨年にEMCのセキュリティ部門であるRSA Securityや防衛産業のL-3コミュニケーションズがターゲットになった標的型攻撃を挙げ、それらの特徴が「個別のセキュリティ侵害ではなく相関関係を持っていること、また念入りに計画したうえで数ヵ月をかけて侵害が続けられたこと」と説明した。そして、こうしたセキュリティを最重要経営課題とする企業が侵害を受けたことは、従来のセキュリティ概念やネットワーク構造が時代遅れになっていることを示していると強調した。
「ネットワークセキュリティの世界は『Trust but verify』――信頼を前提とした検証の上に成り立ってきた。セキュリティ対策として、ユーザー、デバイス、アプリケーション、インタフェースなど、ネットワークに関わる人・モノを信頼して検証することが行われてきた。しかし、この概念そのものが悪意を持った攻撃者に侵害を許す環境を作ってしまった。つまり、これまでのトラストモデルは破綻しており、『検証して、信頼しない』という概念に変える必要がある。それが『ゼロ トラスト』モデルだ」
ゼロ トラストモデルとは、インタフェース、ネットワーク上のユーザー、アプリケーション、パケットなど、ネットワークに関わるものすべてを信頼しないことを前提とするセキュリティモデルだという。ゼロ トラストをもとに構築するネットワークのポイントとしては、次の5点が挙げられた。
- すべてのリソースは、社内・社外ネットワークを区別せずに、安全な方法でアクセスされる
- アクセスコントロールは、「必要な情報だけを知ること」ということをベースに、厳密に適用する
- 検証して信頼しないことを前提とする
- すべてのトラフィック、パケットを検査するとともにログを取る
- ネットワークは、「最も機密性の高い情報は何か」「そこに対してどう保護できるか」を起点に、内側から外側に向けたセキュリティ設計のアプローチをとる
|
ゼロ トラストはセキュアネットワークを根本から再構築
次にキンダーバグ氏は、ゼロ トラストモデルのアーキテクチャ、次世代のネットワークデザインについて解説した。
ゼロ トラスト ネットワークとは、セキュリティのあり方を再構築し、パケットフォワードエンジンをベースに、ファイアウォール、IPS、アクセスコントロール、コンテンツフィルタリング、暗号化機構などのセキュリティのあらゆる要素を1つのセキュリティゲートウェイを基盤として構築するものだという。「セキュリティゲートウェイは『セグメンテーションゲートウェイ』と呼ばれ、セグメント化されたネットワークの中核機能を担う。これが最終的に完成すれば、セキュリティはネットワークのDNAに組み込まれることになる」
実際のネットワークデザインについては、基本となるMCAP(Micro Core and Perimeter)というコンセプトが紹介された。セグメンテーションゲートウェイはあらゆるセキュリティ機能を包含し、グローバルセキュリティポリシーが共有化されているが、それに基づいて、各セグメントのインタフェースでポリシーやルールを実行する役割を担うのがMCAPだ。各MCAPに提供するサービスのモニタリングや制御は、1台のマネジメントサーバが担う。
ゼロ トラスト ネットワークのコンセプトとして、すべてのトラフィック/パケットの検査とログの重要性が挙げられていたが、そのためのMCAPとしてDAN(Data Accession Network)を設けている。DANは、セグメンテーションゲートウェイにおけるインバウンド、アウトバインドのすべてのパケットがキャプチャ・解析されてレポーティングする機能を持つという。
また、ゼロ トラスト ネットワークの特徴を、「プラットフォームに依存せず仮想化にも対応するほか、拡張性がありながら柔軟性を持つアーキテクチャだ」と、キンダーバグ氏は強調した。「ゼロ トラストモデルはデフォルトでセグメント化が行われているが、ユーザーアクセスの領域、データベースの領域、WWWの領域など、セグメントごとのトラフィックの切り分けが重要。MCAPの目的を明確にすることによって、各エリアが独自のセキュリティ属性を持つことができる。必要に応じてMCAPを追加したり、負荷分散装置などのスイッチを混在させたりすることもできる」と同氏。
|
ゼロ トラスト ネットワークのアーキテクチャの例 |
最後にキンダーバグ氏は、「ゼロ トラストに基づくネットワーク構築は、従来のネットワークアーキテクチャを撤廃し、すべて転換しようというものではない。既存のネットワークにゼロ トラスト ネットワークを組み合わせて、セキュリティを強化していくもので、多くの企業が試行を始めている」と結んだ。
関連記事
| データセンターが直面するセキュリティ危機への有効策とは? - パロアルトネットワークス [2012/1/19] |
| 標的型攻撃を行うモダンマルウェアに有効な策とは? - パロアルト乙部氏 [2011/12/7] |
| [NetEvents]モダンマルウェアは必ず防御できる - Paloalt創業者Zurk氏 [2011/11/17] |
| パロアルト、標的型攻撃対策サービスとファイウォール新製品を発表 [2011/11/8] |
関連サイト
- 関連したタグ
新着記事
| 理研、脳・脊髄形成に必要な神経板湾曲の仕組みを解明 [20:16 5/25] |
| 京大、「慢性閉塞性肺疾患」患者の労作時呼吸困難は鍼治療が有効と実証 [20:08 5/25] |
| 120Hz SHVカメラ用イメージセンサーを使った撮像装置 - SHVフルスペック化へ [18:10 5/25] |
| 京大、視覚による物体認知は前頭前野からのトップダウン信号が重要と確認 [17:45 5/25] |
| 製品数の拡大だけでなくBCPの展開なども含めた総合力で事業の強化を図るTI [17:25 5/25] |
特設サイトの情報
求人情報
人気記事
一覧イチオシ記事
新着記事
|
鍼灸(しんきゅう)師が教える。オフィスで口臭予防ツボ・ベスト3 [17:00 5/27] キャリア |
|
【連載】これだけは要チェック! TOEIC(R)単語帳 第107回 今回のお題は…「chemical」 [17:00 5/27] キャリア |
|
[注目の新譜]平野綾 音楽活動再開! 移籍第1弾アルバムに気鋭のクリエイターが多数参加 [16:30 5/27] ホビー |
|
しゃべくりギャグ「金魚鉢ホロスコープ」1巻で特典配布 [16:11 5/27] ホビー |
|
[AKB48]じゃんけん2位の藤江れいな、総選挙目標は「17位」 近野莉菜は姉妹グループに対抗心 [15:38 5/27] ホビー |
特別企画
転職ノウハウ
4つの診断で、自分の適性を見つめなおそう!
働くこと・挑戦し続けることへの思いを綴ったインタビュー
あなたにピッタリのアドバイスを読むことができます。
転職に必要な情報が収集できます
企業からアプローチのメッセージが届きます。
サービス一覧
