解説「ゼロトラスト」シフト--“境界”セキュリティの誕生と限界までの道のり

金子春信 (アカマイ・テクノロジーズ) 2019年02月15日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 近年、ITセキュリティの世界で「ゼロトラスト」という言葉が頻繁に語られるようになった。「ゼロトラスト・セキュリティ」ないしは「ゼロトラスト・ネットワーク」とも表現される新たなセキュリティの考え方だ。それを実現するフレームワークや、実装するための機能を持つ製品なども多く発表されている。先行する米国では、RSA ConferenceやBlack Hatなど大規模なセキュリティカンファレンスで非常に多くのベンダーがゼロトラストという言葉を使っていることに驚く。これからは日本でもこれを取り入れる組織が増えるだろう。

 それは、このゼロトラストの考え方が現在のビジネス状況とそれを支えるITと通信(以下、ICT)基盤の状況に必要なものだからだ。今、ICT基盤が大きな変革期にある。ビジネスをデジタル化するために必要な、迅速性、柔軟性、偏在性を持った基盤が必要となっているのだ。つまり、ビジネス変革からICT基盤変革、そして、セキュリティ変革へという潮流の結果、現在必要になっているのがゼロトラストだ。本連載では、このゼロトラストが必要になっている背景と課題、実際に取り組んでいるユーザー、実現のアプローチを紹介する。今回は、この背景と課題について解説しよう。

ネットワークアーキテクチャの変化

 インターネットの前身である「ARPANET」に最初の4台のコンピュータシステムが接続されて以来、既に約50年もの月日が流れている。この技術は、初歩的なパケット交換ネットワークから、複雑で気の遠くなる数の自律システムへと進化し、データを必要とする場所で利用するために世界中で連携して動作している。

ハブ・アンド・スポーク型のアーキテクチャのイメージ
ハブ・アンド・スポーク型のアーキテクチャのイメージ

 それと同時に、こうした技術を悪用する脅威もまた進化している。ICT業界はこの10年間、DDoS(分散型サービス妨害)攻撃、何億もの人々に影響を及ぼすデータ漏えい、機密性の高い政府システムからのデータ流出、ランサムウェアの台頭など、数々の脅威を克服してきた。しかし、この期間に起こったどのような変化についても(良い変化でも悪い変化でも)、依然として変わらないままのものが一つある。それは、ほとんどの企業が利用する基本的な「ハブ・アンド・スポーク」型のアーキテクチャだ。

 このアーキテクチャは、以前は理にかなったものであった。1990年代、まだインターネットが事業やクラウドサービスで活気にあふれる前、企業はワークロードをデータセンターに配置していた。データセンターには、重要なIT基盤と、企業の業務遂行に必要なアプリケーションが格納されていた。そして支社、小売店、サテライト施設で業務がオンライン化すると、それらの場所から集約型アプリケーションに接続してきた。企業はこうした変化とニーズに対応するために、全てのネットワークバックホール(中継網)をデータセンターにつなげてネットワークを構築していた。そして最終的に、データセンターは全ての処理が集中する中心的な場所となったのだ。

 一方で時代の流れとともに、インターネットは商業的にあらゆることが実現可能な技術として浮上し始めた。1994年にNetscapeのエンジニアによってSSL(Secure Sockets Layer)が発明され、セキュアなオンライン商取引が可能になるとともに、企業では自社の業務にもインターネットの利用を取り入れたいと考えるようになった。

 当然ながら、複雑なグローバルネットワークを構築していた企業や通信事業者は、彼らの知識をフル活用して、こうした要求に応えた。つまり、それらの接続サービスを社内のアプリケーションがホストされているのと同じデータセンターに導入し、そこまでの経路を提供するためのインターネット接続をしたのだ。そうすることで、意図せずに2つの目的が果たされた。外部の顧客がネットワークに入れるようになっただけでなく、複数の支社に分散する従業員がネットワーク外に出て行けるようになったのだ。こうしてハブ・アンド・スポーク型は過去20年以上の間、ネットワークアーキテクチャの圧倒的主流であり続けた。

 しかし、サイバー攻撃者たちがこのアーキテクチャを利用し始めたことで、全く新しい“領域”が生まれた。データセンターのセキュリティスタックだ。

 ハブ・アンド・スポーク型アーキテクチャでは、各データセンターでインターネットトラフィックが一カ所に集約されるため、そのような大容量回線のための大規模で強力なセキュリティの枠組みが開発、導入された。ファイアウォール、IDS(侵入検知)、IPS(侵入防御)によってインバウンドトラフィックが制御され、セキュア・ウェブ・ゲートウェイがアウトバウンド方向のウェブトラフィックを制御するようになった。こうしたセキュリティシステムが普及し、ネットワークが集約されるポイントに関所のように展開されていくことで、ハブ・アンド・スポーク型はネットワークアーキテクチャにおける支配的地位をさらに強めていった。

 これは、企業内のネットワーク環境を“城”とするなら、城を囲うように“堀”を築いて守るという考え方だ。しばらくの間、セキュリティにおける「堀と城」のアプローチは存続可能に思われ、「ネットワーク外部の者は全て悪、内部の者は全て善である」というネットワーク境界の考えが支配的なままであった。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]