もう恋なんて、しないなんて、言わないよ絶対。という歌詞がありました。
「もーう誰も信じない」「絶対誰も信じない」。そんなこと同僚に言われたらどうしますか?
いやはや、ずいぶんこじらせたものだなあ。どうした何があった?まあ一杯飲んで落ち着け。話を聞こうじゃないか。
現実ならそんなこと言うでしょう。
とはいえこれまでネットワーク管理者やセキュリティ担当者は、そんなひどい目にさんざん合ってきました。
ココロをこじらせるのも当然のことです。というわけでゼロトラストテクノロジー、通称「ゼロトラスト」に注目が集まっています
コロナにともなうテレワークの増加を背景として、新たなセキュリティ対策としてゼロトラストセキュリティに注目が集まっています。ゼロトラストとは、「ネットワークの内側と外側を区別せず、全ての通信を等しく疑うという手法」です。いやあこじらせてるなあ。
従来のVPNをベースにした手法は、簡単に言えば、敵はネットワークの外にいる。という前提で、不正な通信を境界線上で遮断していました。逆に言えばネットワーク内の人は信用する。そのおかげで、内部犯行や不正アクセスによって侵入した攻撃者の発見が遅れる、という問題がありました。
また働き方改革やテレワークの導入で、従業員が各自の自宅などで仕事をすることも普通になっており、これまでの考え方では対応できなくなってしまいました。
ゼロトラストは、疑うことを前提にする
ゼロトラストの具体的な対応法は「全てのアクセスに認証や認可を求める」こと。
利用者がソフトやデータにアクセスする際に、行動ごとに認証が発動します。認証に加えて認可のプロセスも導入。認可とはアクセス権限のこと。例えば「閲覧はできるがダウンロードはできない」など権限を制限し、必要以上の権限を与えないようにします。
ゼロトラストのベースというかコアになるのが「アイデンティティー認識型プロキシー(IAP)」という技術。社内社外関係なく、すべてのアクセスをチェック。IAPを通じてソフトやデータにアクセスします。
従来のVPNをメインに置いた手法と比較すると、VPNが社内ネットワークへのアクセスを制御する手法であり、利用者が一度社内ネットワークに入ってしまえばその後はノーチェックとなり、社内ネットワークにあるすべてのサーバーに対してアクセスが可能となってしまいます。それに対してIAPでは、ユーザーは社内ネットワークにあるリソースに直接アクセスはできなません。。
もうひとつの違いは、VPNのゲートウエイは外部からアクセス可能にする必要があるため、内部と外部の境界に設置する必要がありました。これに対して、IAPはファイアウオールの内側で運用可能。イントラネットやファイアウオールの設定を変えずにすむので導入も運用も容易、というメリットがあります。
ゼロトラストは「不正アクセス」「標的型攻撃」「APT攻撃」「情報漏えい」という最新のセキュリティ課題に対して効力を発揮します。
さてこうして書いてきて、利用者はすごく面倒になるのではないかと不安になってきました。新たなアクションを起こすたびに認証や認可が必要となると生産性が落ちそうです。そこで認証にはシングルサインオンを使って利用者の利便性を損なわないようにするそうです。
なんだか世知辛いなあ、と思いつつも、これも時代の流れというやつなのでしょう。性善説では生きてはいけないタフな世の中です。
政府もサイバーセキュリティ対策としてゼロトラストセキュリティの導入を検討しているようで、今後も注目大のテクノロジーと言えるでしょう。
コメント
コメントを投稿