編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

解説「ゼロトラスト」シフト--脱“境界セキュリティー”への3つの技術

金子春信 (アカマイ・テクノロジーズ)

2019-05-07 06:00

 「ゼロトラスト」は、セキュリティー実装上のコンセプトなので、何か単一の技術や製品を採用することで実現するものではない。だが、組織の情報通信(以下、ICT)基盤をゼロトラスト型に移行する上で中心となる技術は幾つかある。特に、前回紹介したような攻撃者が行う「ラテラルムーブメントを防ぐ」という観点からゼロトラストを考えるケースが多く、さらにクラウド、モバイルなどの分散型ICT基盤への移行と併せて考えるというのが主だ。

 そこで、今回は主要な3つの技術である「マイクロセグメンテーション」「ソフトウェア定義境界」「ID認識型プロキシー」を紹介する。ID認識型プロキシーは、前回の記事で最後に触れているが、そのメリットを他の技術とも比較するため今回も最後に記載する。

マイクロセグメンテーション

 これは、ネットワークを小さな論理セグメント(マイクロセグメント)に分割して、セグメント間に仮想的なファイアウォールを配置する技術である。通常のセグメントには複数のサーバー端末が配置されているが、マイクロセグメントはサーバーごとに専用のファイアウォールを置くようなイメージだ。

 通常、これは物理(アプライアンス)ファイアウォールではなく、仮想基盤上に導入されるソフトウェアのファイアウォールによって実現される。これにより、許可されたエンドポイントだけがマイクロセグメント内のアプリケーションやデータにアクセスできる。例えば、人事部門関連のアプリケーションサーバーだけが、人事データベースのサーバーにアクセスできるように制御するといった管理が可能になる。

 特定のユーザー、デバイス、アプリケーションだけを許可する独自のルールセットを集中管理して、きめ細かく制御できる。マイクロセグメンテーションは、従来の境界型セキュリティーの中にあるサーバーファームの保護をさらに強化するような手法といえる。これまでも、VLAN、ルーター、ファイアウォール、ネットワークアクセスコントロールおよびアクセス制御リスト(ACL)を使ってセグメント間の通信を保護してきたが、マイクロセグメンテーションでは、この粒度をより細かくして厳密に管理する手法になる。

マイクロセグメント化されたデータセンター マイクロセグメント化されたデータセンター
※クリックすると拡大画像が見られます

 マイクロセグメント間の通信は、最小権限で許可される。つまり、基本的にはブロックされ、本当に必要なアプリケーション通信だけが流れることを許可される。これにより、同じネットワーク上にあるサーバー間であっても不必要な通信はさせない。ラテラルムーブメントや、マルウェア拡散を防ぐ直接的かつ有効な手段だ。しかし、これでゼロトラストを実現するには2つ課題がある。

 1つは運用負荷の問題だ。動的に変化するICT基盤でマイクロセグメンテーションを維持することは、作業量がとてつもなく多い。日々新しいアプリケーション、ネットワーク、ユーザー、デバイスが配置されるにつれて、この最新のセキュリティーポリシーを維持していくことは難しい。それ以前に、初期実装もかなりハードルが高い。「誰が何にアクセスすべきで、最低限必要なアクセスとは何か?」――この問いに答えるには、組織内の膨大で複雑なネットワーク、ワークフロー、ユーザー、位置情報、IDおよびアクセス設定に関して洗い出すことが求められる。そして、その可視性をタイムリーにアクセスポリシーへと変換し、実装する必要がある。

 もう1つは、マルチクラウドとモバイルによるワークロード分散の問題だ。自社データセンターにLANからアクセスするのであれば、全てマイクロセグメント化できるかもしれない。だが、今は複数のデータセンターとクラウド環境上のさまざまなアプリケーションに対して、自宅、空港、カフェなどからアクセスしてくるさまざまなユーザーがいる。さらに、ビジネスの変化に伴って従業員や協力会社が組織に参加したり退職したりするなど、ユーザーの移動が激しくなっている。

 こうした課題はあるものの、サーバー間の通信をきめ細かに制御するという点から、マイクロセグメンテーションのメリットはかなり厳密な管理ができることだ。「内部からのアクセスを信用しない」というゼロトラストのコンセプトには合っている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]