昨今のITインフラは、守るべき情報資産とセキュリティの脅威が社内・社外問わず存在するようになり、これまでの境界防御だけでは限界があるため、ゼロトラストの考え方が必要になる。

ゼロトラストと言っても、エンドポイントやクラウド、境界でのセキュリティなどさまざまな要素、角度からその実現性について考慮すべきだ。しかし、実際のセキュリティ対策ではネットワーク、特にLANにおけるセキュリティが最後の砦となる。そのため、今回はネットワークセキュリティの観点でゼロトラストについて解説する。

ゼロトラストとは?

これまでのITインフラは、自組織の内部と外部とで明確に区別がされ、内部は信頼できる、外部は信頼できないものとして定義され、IT管理者は内部と外部との境界にファイアウォールなどのセキュリティ製品を置き、自組織の内部にある情報資産を守ってきた。

しかし、昨今ではクラウド化や、システムやデバイスに対する攻撃のバリエーションも増え、守るべき情報資産やセキュリティの脅威が内部にも外部にも存在するようになり、内部と外部の境界を識別することが困難な時代になっている。

ゼロトラストとは、トラスト(信頼)をゼロ(しない)の文字通り「誰も、何も信頼せず、すべてのアクセスを検証する」という、新しいセキュリティの考え方である。

押さえておくべきゼロトラストの3つの原則

ゼロトラストネットワークを実現するためには、押さえておくべき原則が存在する。「ゼロトラストの7原則」とも言われたりするが、大きくは以下の3つの原則を満たす必要がある。

  1. 明示的な確認を行う(適切な認証・認可の実施)
  2. 必要最小限のアクセス制限
  3. 脅威はすでに侵入していると考える

ネットワークにアクセスしてくるPCやスマートフォンなどのデバイスに対して適切な認証・認可を実施し、そのデバイスが社内外のリソースへのアクセス権があるか「明示的に確認をする」ことが求められる。

認証・認可については、その認証方式(IEEE 802.1X認証やMAC認証など)だけでなく、デバイスの種類やアクセス方式、アクセスしてきた場所なども含めて認証・認可の要素として利用し、デバイスごとに「必要最小限のアクセス制限」をかけ制御することが重要である。

また、「脅威はすでに侵入している」ものとして、脅威の拡大を最小限に留めるべくマイクロセグメンテーションを適切に、そして脅威に侵されたデバイスは隔離したりネットワークから切断したりする、さらにはそれらを動的に実施する必要がある。

2020年に公開されたアーキテクチャ「NIST.SP.800-207」

ご存知の方も多いと思うが、2020年8月にNIST(米国国立標準技術研究所)がこれからのゼロトラストにおけるアーキテクチャモデル「NIST.SP.800-207」を公開した。

  • ゼロトラストアーキテクチャモデル「NIST.SP.800-207」、出典:NISTの資料を基に筆者作成

    ゼロトラストアーキテクチャモデル「NIST.SP.800-207」、出典:NISTの資料を基に筆者作成

同アーキテクチャにおいては、アクセス要求元(ユーザー、アプリケーション、デバイス)は、主体(サブジェクト)と表現し、主体が企業リソース(データやアプリケーション)にアクセスする際、PEP(ポリシー実施ポイント)を経由して、PDP(ポリシー決定ポイント)でアクセス許可の有無が判断される。アクセス承認後は、主体ごとに企業リソースに対しての最小限のアクセス権限が提供されるべき、という考え方だ。

ゼロトラストネットワークを考えると、よりデバイスに近いエッジ側でPEPを実装し、脅威が侵入したときの影響度を小さくすることが重要になる。ネットワーク構成においてはルータ、ファイアウォール、スイッチ、無線LANアクセスポイントがPEPに該当する。

PDPはネットワーク機器メーカーによるが、一般的にはRADIUSサーバやSDNコントローラが該当するであろう。また、同アーキテクチャには脅威インテリジェンス(Threat Intelligence)の要素も盛り込まれており、ランサムウェアや脆弱性など脅威情報への対策も必要とされていることがわかる。

ただ、脅威への対策も含め、ゼロトラストネットワークに必要となるすべての構成要素を自社のみで作り上げることは、おそらく現時点ではどのメーカーも不可能である。そのため、それぞれのメーカーが得意としている分野の製品同士を情報連携し、理想的なゼロトラストネットワークのエコシステムを構成することが重要になる。

つまり、PDPとPEPが必ずしも同一メーカーになるとは限らず、むしろマルチベンダーに対応している製品を選択する方が、ゼロトラストネットワークを強固なものにできるであろう。弊社でも、PDPやPEPとなる製品は持っているが、脅威の侵入を検知するセキュリティ製品は少ないため、ゼロトラストネットワークの構成では他社の製品との連携を進めている。

コストを抑えたゼロトラスト実現の2つのポイント

とはいえ、企業ごとにこれまで作り上げてきたネットワークが存在する。それらをすべて入れ替えるというのは、タイミング良く全ネットワーク機器を刷新することにでもならない限り、運用・コストの両面においてなかなか難しい話である。

そのような中で、少しでもゼロトラストセキュリティに近づけられるよう、対策を打つ必要があることは業界、業種を問わず強く認識されていることだろう。対策について、まずは以下の2点を考慮すると良い。

  1. 現行のネットワーク構成を極力維持しながら、必要最低限の機器の追加、または変更だけでゼロトラストを実現できるか?

  2. ゼロトラストネットワークを構築したあとの運用コストや手間を減らすことができるか?

1に関しては、コストを抑えた状態でゼロトラストを実現できるかどうかが問われる。すべての機器を入れ替えなければ実現できないという状況は避けるべきであるし、スモールスタートが可能であることも重要な要素となる。具体的には、よりデバイスに近く、導入・入れ替えがしやすいエッジネットワークから検討を進めるとスムーズだ。

2に関して、ゼロトラストネットワークを導入しても、運用コストやメンテナンスの手間が増えてしまっては本末転倒である。メンテナンスポイントを少なくし、動的に、セグメンテーションや脅威の隔離ができるようにすることで運用コストは削減できる。

これらを考慮していくことで、ゼロトラスト時代に必要となるネットワークセキュリティを確保しながらも、導入や運用へのコストも削減でき、ゼロトラストネットワーク導入のハードルが比較的下がるのではないかと考える。

松岡 大介

松岡 大介

まつおか だいすけ

日本ヒューレット・パッカード Aruba事業統括本部 プリセールスコンサルタント
2004年に新卒で日本ヒューレット・パッカードに入社。入社時よりネットワーク、主に無線・有線LAN、セキュリティの技術を中心に、さまざまな業界のお客さまを担当するハイタッチプリセールスコンサルタントとして活動中。ネットワークレイヤの視点から見たゼロトラストセキュリティについて、お客さまやパートナーさまに紹介する活動も積極的に実施している。

この著者の記事一覧はこちら