「ゼロトラスト」とは
サイバーセキュリティに関連して、「ゼロトラスト」という言葉を耳にすることが多くなった。言葉自体は2010年にForrester Researchによって提唱されたものであるが、ここ数年でゼロトラストの考え方が重要視されるようになった。ゼロトラストとは、「一切を信頼せず、都度確認する」という考え方で、その対象はユーザー、デバイス、アプリケーション、ネットワークなどと幅広い。
従来の認証は、主にユーザーにひも付いており、ユーザーIDとパスワードの組み合わせで企業ネットワークに入ることができた。しかし、ゼロトラストではユーザーだけでなく、デバイスやアプリケーション、ネットワークまで認証を行う。ユーザーのログインには多要素認証が使われ、デバイスもマルウェアに感染していないか、OSやソフトウェアは最新のセキュリティパッチが適用されているかといったことも確認する。
アプリケーションの確認では、ユーザー本人の正当な業務に必要なアクセスであるかを確認し、ネットワークでは、例えば、物理的に離れた場所から短時間にアクセスしてきていないかなどを確認する。これらを確認した上で、ようやくユーザーは目的のアプリケーションにログインできる。ログインできる先が、目的のアプリケーションであり、社内ネットワークではないことが重要である。社内ネットワークにログインできてしまうと、同じネットワーク上にある、どのアプリケーションにもアクセスができてしまうため、ゼロトラストのアクセスとは言えない。
また、ログインした際にユーザーには最小権限のみを付与することもゼロトラストの特徴だ。マルウェアが巧妙化しており、フィッシングメールなどにより企業ネットワークに侵入したマルウェアは、攻撃者の指示により水平移動(ラテラルムーブメント)を繰り返し、認証基盤の「Active Directory」を目指す。そこでマルウェア自身の権限を昇格し、重要な情報にアクセスする。最近のランサムウェアは、情報を盗んだ上で、データの暗号化を行うケースもある。
ゼロトラストに基づくセキュリティ対策が実施されている環境では、まずマルウェアの水平移動が抑制される。正規のユーザーやアプリケーションなどとひも付かないアクセスが制限されるためだ。そして、たとえ水平移動ができたとしても、最小権限のみが付与されているため、Active Directoryにもアクセスできない。ゼロトラストは、このように複数の環境の変化に対応できるセキュリティの考え方となっている。
「SASE」とは
このゼロトラストを実現するセキュリティ対策の考え方が、ガートナーが言及している「SASE」である。SASEは「Secure Access Service Edge」の略で、「サッシー」と発音される。ガートナーはSASEを次のように定義している。
「SASEは、ネットワークおよびネットワーク・セキュリティのさまざまなサービス (例:CASB、NGFW、SD-WAN、SWG、ZTNA)を組み合わせるクラウド・ベースの新興アーキテクチャです。SASEは、企業ネットワークにおける主要な拠点だけでなく在宅勤務の環境やパブリック・クラウドへのアクセスも含む範囲にコンテキスト(ユーザーID、デバイスの種類、ネットワーク種別など)に沿ったセキュリティ・ポリシーを適用します。」
ガートナー出典・免責事項
Smarter with Gartner, “ガートナーの「クラウド・セキュリティのハイプ・サイクル:2021年」に登場した4つの必須テクノロジ”,2021年11月1日。GARTNERは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.
SASEは、ネットワークやセキュリティを専門とするベンダーやメディアから注目を集めている。SASEのフレームワークの主な原理は、「データセンターに焦点を当てたセキュリティやネットワークアーキテクチャーがもはや有効でなくなった」という考え方であり、その点が最も説得力を持つ要素となっている。
特に、新型コロナウイルス感染症が大流行して以降は、PCやスマートフォンといった業務用端末が企業ネットワークの外に出た。これまでは、インターネットとの境界が企業ネットワークのゲートウェイだったものの、業務用端末そのものとなった。その他にもクラウド化によって、リモートワークやオフィス勤務にかかわらず、インターネット経由でクラウドサービスにアクセスし、業務を行うケースが増えた。SASEの導入により、こうした業務用端末にゼロトラストのセキュリティ対策を適用できる。