コレ1枚でわかる「境界防衛」型セキュリティの破堤とゼロトラスト・ネットワーク


※本記事は、斎藤昌義氏のブログ「ITソリューション塾」の一部を編集し、転載しています。


 新型コロナウイルスの感染拡大をきっかけに、リモートワークやクラウドサービスの利用が急速に拡大し、社外から社内ネットワークに接続したり、あるいは、社内から社外のネットワークにアクセスしたりする機会が増えています。

 多くの企業では、「信頼できない社外ネットワーク」と「信頼できる社内ネットワーク」の境界を守る「境界防衛」のセキュリティ対策が一般的でした。

 具体的には、インターネットの通信経路を暗号化するVPN(Virtual Private Network)を使って、正しい使用者のみが社内ネットワークにアクセスできるようにしています。また、通信の送信元と宛先を監視し不正と疑われる通信を「ブロック」するファイアウォール、不正侵入を「検知」し管理者に通知するIDS(Intrusion Detection System)、不正侵入を検知したら「防御」するIPS(Intrusion Prevention System)などを使っています。

 しかし、こうした対策は、保護すべきデータやシステムが社内ネットワークの中にあることが前提です。しかし、テレワークやクラウドが普及したことで、社外のインターネットの先に保護すべきものがあるのが当たり前になりました。守るべき対象が社内外の区別なく点在するようになり「境界」が曖昧になったことで、「境界防衛」では十分に対策できなくなったのです。

 また、サイバー攻撃手法の高度化や巧妙化により、境界防衛の仕組みをすり抜けて社内ネットワークへ不正侵入してきたり、社内システムにマルウエアを送り込んだりするケースも増加するなど、社内が「信用できる」領域ではなくなりました。

 つまり、これまでの、VPNやファイアウォールなどで守られた「信頼できるネットワーク(トラスト・ネットワーク)」がなくなり、「ゼロトラスト・ネットワーク」になってしまったのです。

 しかし、信頼できないのはネットワークだけではなく、IDやパスワードが「なりすまし」されれば、使用者も信頼できません。ファイルやプログラムにもマルウェアが埋め込まれるリスクも増え、これらも信用できません。そんな「何も信用しない」――「ゼロトラスト」を前提に、「常に信頼できる状態を維持する」ための対策が必要とされています。