全1856文字
PR

守る対象をネットワーク境界から、アプリや端末に変える。これがゼロトラストネットワークの基本的な考え方だ。具体的には何をどう守ればよいのか。3つの観点で説明しよう。

 「グーグルにおけるゼロトラストの取り組みの背景には、約10年前にセキュリティー侵害を受けたことがあった」。グーグルでクラウドセキュリティーを担当するゼネラルマネジャー兼バイスプレジデント(GM兼VP)であるスニル・ポッティ氏はこう語る。

 グーグルは2010年1月に、中国からのサイバー攻撃を受けて機密情報などを盗まれたと発表した。高度な標的型攻撃によって社内ネットワークへの侵入を許したことが端緒となった。

 安全だと見なしていた社内ネットワークにあるシステムに関しては、ログの保管や分析が十分でなかったため、攻撃に気付くのが遅れた。境界型防御の限界に、グーグルは10年前の時点で直面していたわけだ。

 この事件を教訓にグーグルが8年がかりで構築したのが、ゼロトラストネットワークの「BeyondCorp」だ。同社はその詳細を2017年にWebサイトや論文で公開している。

 2020年現在、様々なベンダーがゼロトラストをうたう製品やソリューションを提供しているが、そこには厳密な定義はない。ユーザー企業にとって悩ましいことに「これを導入するだけでゼロトラストが実現できる」といった製品も存在しない。

 そこでまずは世界でもいち早く構築されたグーグルのBeyondCorpを参考に、ゼロトラストのポイントを3つまとめる。そしてそれぞれのポイントについて、ユーザー企業が入手可能な製品やソリューションを紹介しよう。

図 ゼロトラストネットワークの構成要素
図 ゼロトラストネットワークの構成要素
全てのアプリケーション利用を制御し情報を分析
[画像のクリックで拡大表示]

社内アプリも厳重防御

 ゼロトラスト第1のポイントは、「ネットワークの防御からアプリケーションの防御へ」だ。

 従来の境界型防御においては、社内は「安全」と見なされていたので、社内アプリの防御のレベルは低かった。ID・パスワードに加え別の手段をユーザー認証に使う「多要素認証」や、デバイスの種類や場所、時間、ユーザーの振る舞いなどを認証に使う「コンテキストベース認証」などネットサービスで当たり前の防御手法は、社内アプリでは使われてこなかった。

 それに対して全てのネットワークを信頼しないゼロトラストにおいては、社内アプリであってもネットサービスと同レベルの防御を講じる。特に重要なのが、ユーザーの認証やアプリへのアクセス認可の強化である。

 要となるのがアイデンティティー&アクセス管理(IAM)だ。ゼロトラストには、米オクタの「Okta Identity Cloud」やグーグルの「Cloud IAM」、マイクロソフトの「Azure Active Directory」などクラウドサービスのIAMを使うのが一般的だ。これらのサービスが多要素認証やコンテキストベース認証など、アプリ利用を信頼できるユーザーに限定する機能を標準で備えているためだ。

IAMの主な製品
IAMの主な製品
IAM:アイデンティティー&アクセス管理