境界集中型ではムリ--パロアルトのセキュリティ概念「ゼロトラスト」の要諦

吉澤亨史 2014年05月26日 15時59分

  • このエントリーをはてなブックマークに追加

 相次ぐ標的型攻撃、大型化する情報漏えい事件……。そろそろセキュリティに対する考え方を変える時にきているのかもしれない。パロアルトネットワークスが5月23日に開催した会見で、セキュリティを取り巻く環境が数年前とは違う状況にあることが示された。

 同社の技術本部長である乙部幸一朗氏は、韓国で発生したクレジットカード情報漏えい事件や、米小売りチェーンTargetの情報漏えい事件を取り上げ、人気マンガ「進撃の巨人」を例に挙げて「壁があっても入り込んでいる」「実は身内に巨人がいた」など原因の可能性を指摘した。

 Targetのケースでは、犯人は店舗に出入りする空調業者に侵入し、攻撃の足がかりとした。その上で店舗の販売時点情報管理システム(POS)端末に「BlackPos」という既知のマルウェアを仕掛け、収集した情報をSMBという一般的な通信に見せかけて外部へ送信していた。このように、攻撃者はセキュリティ対策が堅牢な大企業の本社は狙わず、セキュリティ意識の弱い小売店を狙う傾向があるという。

乙部幸一朗氏
パロアルトネットワークス 技術本部長 乙部幸一朗氏

 こうした傾向から、乙部氏は同社の新たなセキュリティコンセプト「ゼロトラストネットワークセキュリティ」を紹介した。ゼロトラストネットワークとは、Forrester ResearchのアナリストJohn Kindervag氏が提唱したもので、「既存のトラストモデルは破綻しており、“検証して信頼しない”という概念に変え、ユーザー、パケット、インターフェース、ネットワークなどに対して常に疑いをもって接すること」という性悪説に基づく概念だ。

 これまでのセキュリティ技術は境界集中型だ。ネットワークの入り口と出口でセキュリティ対策を講じている。つまりは、境界線の内側にあるものは信頼できるという前提に基づいている。だが、実際に表面化しているセキュリティの被害は、この前提を大きく裏切ったものとも表現できる。

 ゼロトラストネットワークを構築するポイントとして、(1)すべてのリソースは、社内と社外を区別せずに安全な方法でアクセスされる、(2)アクセスコントロールは“必要な情報だけを知ること”ということをベースに厳密に適用する、(3)検証して、信頼しないことを前提とする、(4)すべてのトラフィック、パケットを検査するとともにログを取る、(5)ネットワークは“最も機密性の高い情報は何か”“そこに対してどう保護できるか”を起点に内側から外側に向けたアプローチを取る――という5つを挙げている。

 具体的には、従来の前提である「対策は入り口と出口だけで十分」「社内は安全」という認識から、最近の脅威の傾向である「社内に入り込んだ後に巧妙に活動する脅威の増加」「社員による情報流出事故が相次ぎ、安全とは言えない」というゼロトラストネットワークの認識に転換し、その方針として「ネットワーク全体を可視化するシンプルかつ多層防御可能なセキュリティ設計」を導入することが重要であるとした。

 ゼロトラストネットワークの実践例として、乙部氏は大手外資系保険会社の導入事例を紹介した。同社では、社内ユーザーのセキュリティ対策として冗長構成のファイアウォールと冗長構成のプロキシ、保険業務ネットワークとして2台のファイアウォールと不正検知システム(IDS)を使用。同様の構成を東京と大阪の2拠点に構築していた。これを同社のファイアウォール「PA-5060」を冗長構成にすることで台数を減らし、運用コストを低減するとともにネットワークの可視化を実現したという。

 乙部氏は同社が提唱する“次世代セキュリティプラットフォーム”についても説明した。これは、次世代ファイアウォール、次世代セキュリティクラウド、次世代エンドポイントで包括的に保護するというもの。特にこれからはエンドポイントのセキュリティ対策が重要になるとし、同社が4月に買収を発表したCyveraの技術を今秋には製品化する予定だという。同社では今後、このプラットフォームを拡張し、ゼロトラストネットワークセキュリティのコンセプトを実現していくとした。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算