相次ぐ標的型攻撃、大型化する情報漏えい事件……。そろそろセキュリティに対する考え方を変える時にきているのかもしれない。パロアルトネットワークスが5月23日に開催した会見で、セキュリティを取り巻く環境が数年前とは違う状況にあることが示された。
同社の技術本部長である乙部幸一朗氏は、韓国で発生したクレジットカード情報漏えい事件や、米小売りチェーンTargetの情報漏えい事件を取り上げ、人気マンガ「進撃の巨人」を例に挙げて「壁があっても入り込んでいる」「実は身内に巨人がいた」など原因の可能性を指摘した。
Targetのケースでは、犯人は店舗に出入りする空調業者に侵入し、攻撃の足がかりとした。その上で店舗の販売時点情報管理システム(POS)端末に「BlackPos」という既知のマルウェアを仕掛け、収集した情報をSMBという一般的な通信に見せかけて外部へ送信していた。このように、攻撃者はセキュリティ対策が堅牢な大企業の本社は狙わず、セキュリティ意識の弱い小売店を狙う傾向があるという。
パロアルトネットワークス 技術本部長 乙部幸一朗氏
こうした傾向から、乙部氏は同社の新たなセキュリティコンセプト「ゼロトラストネットワークセキュリティ」を紹介した。ゼロトラストネットワークとは、Forrester ResearchのアナリストJohn Kindervag氏が提唱したもので、「既存のトラストモデルは破綻しており、“検証して信頼しない”という概念に変え、ユーザー、パケット、インターフェース、ネットワークなどに対して常に疑いをもって接すること」という性悪説に基づく概念だ。
これまでのセキュリティ技術は境界集中型だ。ネットワークの入り口と出口でセキュリティ対策を講じている。つまりは、境界線の内側にあるものは信頼できるという前提に基づいている。だが、実際に表面化しているセキュリティの被害は、この前提を大きく裏切ったものとも表現できる。
ゼロトラストネットワークを構築するポイントとして、(1)すべてのリソースは、社内と社外を区別せずに安全な方法でアクセスされる、(2)アクセスコントロールは“必要な情報だけを知ること”ということをベースに厳密に適用する、(3)検証して、信頼しないことを前提とする、(4)すべてのトラフィック、パケットを検査するとともにログを取る、(5)ネットワークは“最も機密性の高い情報は何か”“そこに対してどう保護できるか”を起点に内側から外側に向けたアプローチを取る――という5つを挙げている。
具体的には、従来の前提である「対策は入り口と出口だけで十分」「社内は安全」という認識から、最近の脅威の傾向である「社内に入り込んだ後に巧妙に活動する脅威の増加」「社員による情報流出事故が相次ぎ、安全とは言えない」というゼロトラストネットワークの認識に転換し、その方針として「ネットワーク全体を可視化するシンプルかつ多層防御可能なセキュリティ設計」を導入することが重要であるとした。
ゼロトラストネットワークの実践例として、乙部氏は大手外資系保険会社の導入事例を紹介した。同社では、社内ユーザーのセキュリティ対策として冗長構成のファイアウォールと冗長構成のプロキシ、保険業務ネットワークとして2台のファイアウォールと不正検知システム(IDS)を使用。同様の構成を東京と大阪の2拠点に構築していた。これを同社のファイアウォール「PA-5060」を冗長構成にすることで台数を減らし、運用コストを低減するとともにネットワークの可視化を実現したという。
乙部氏は同社が提唱する“次世代セキュリティプラットフォーム”についても説明した。これは、次世代ファイアウォール、次世代セキュリティクラウド、次世代エンドポイントで包括的に保護するというもの。特にこれからはエンドポイントのセキュリティ対策が重要になるとし、同社が4月に買収を発表したCyveraの技術を今秋には製品化する予定だという。同社では今後、このプラットフォームを拡張し、ゼロトラストネットワークセキュリティのコンセプトを実現していくとした。
