解説「ゼロトラスト」シフト--脱“境界セキュリティー”への3つの技術

金子春信 (アカマイ・テクノロジーズ) 2019年05月07日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 「ゼロトラスト」は、セキュリティー実装上のコンセプトなので、何か単一の技術や製品を採用することで実現するものではない。だが、組織の情報通信(以下、ICT)基盤をゼロトラスト型に移行する上で中心となる技術は幾つかある。特に、前回紹介したような攻撃者が行う「ラテラルムーブメントを防ぐ」という観点からゼロトラストを考えるケースが多く、さらにクラウド、モバイルなどの分散型ICT基盤への移行と併せて考えるというのが主だ。

 そこで、今回は主要な3つの技術である「マイクロセグメンテーション」「ソフトウェア定義境界」「ID認識型プロキシー」を紹介する。ID認識型プロキシーは、前回の記事で最後に触れているが、そのメリットを他の技術とも比較するため今回も最後に記載する。

マイクロセグメンテーション

 これは、ネットワークを小さな論理セグメント(マイクロセグメント)に分割して、セグメント間に仮想的なファイアウォールを配置する技術である。通常のセグメントには複数のサーバー端末が配置されているが、マイクロセグメントはサーバーごとに専用のファイアウォールを置くようなイメージだ。

 通常、これは物理(アプライアンス)ファイアウォールではなく、仮想基盤上に導入されるソフトウェアのファイアウォールによって実現される。これにより、許可されたエンドポイントだけがマイクロセグメント内のアプリケーションやデータにアクセスできる。例えば、人事部門関連のアプリケーションサーバーだけが、人事データベースのサーバーにアクセスできるように制御するといった管理が可能になる。

 特定のユーザー、デバイス、アプリケーションだけを許可する独自のルールセットを集中管理して、きめ細かく制御できる。マイクロセグメンテーションは、従来の境界型セキュリティーの中にあるサーバーファームの保護をさらに強化するような手法といえる。これまでも、VLAN、ルーター、ファイアウォール、ネットワークアクセスコントロールおよびアクセス制御リスト(ACL)を使ってセグメント間の通信を保護してきたが、マイクロセグメンテーションでは、この粒度をより細かくして厳密に管理する手法になる。

マイクロセグメント化されたデータセンター マイクロセグメント化されたデータセンター
※クリックすると拡大画像が見られます

 マイクロセグメント間の通信は、最小権限で許可される。つまり、基本的にはブロックされ、本当に必要なアプリケーション通信だけが流れることを許可される。これにより、同じネットワーク上にあるサーバー間であっても不必要な通信はさせない。ラテラルムーブメントや、マルウェア拡散を防ぐ直接的かつ有効な手段だ。しかし、これでゼロトラストを実現するには2つ課題がある。

 1つは運用負荷の問題だ。動的に変化するICT基盤でマイクロセグメンテーションを維持することは、作業量がとてつもなく多い。日々新しいアプリケーション、ネットワーク、ユーザー、デバイスが配置されるにつれて、この最新のセキュリティーポリシーを維持していくことは難しい。それ以前に、初期実装もかなりハードルが高い。「誰が何にアクセスすべきで、最低限必要なアクセスとは何か?」――この問いに答えるには、組織内の膨大で複雑なネットワーク、ワークフロー、ユーザー、位置情報、IDおよびアクセス設定に関して洗い出すことが求められる。そして、その可視性をタイムリーにアクセスポリシーへと変換し、実装する必要がある。

 もう1つは、マルチクラウドとモバイルによるワークロード分散の問題だ。自社データセンターにLANからアクセスするのであれば、全てマイクロセグメント化できるかもしれない。だが、今は複数のデータセンターとクラウド環境上のさまざまなアプリケーションに対して、自宅、空港、カフェなどからアクセスしてくるさまざまなユーザーがいる。さらに、ビジネスの変化に伴って従業員や協力会社が組織に参加したり退職したりするなど、ユーザーの移動が激しくなっている。

 こうした課題はあるものの、サーバー間の通信をきめ細かに制御するという点から、マイクロセグメンテーションのメリットはかなり厳密な管理ができることだ。「内部からのアクセスを信用しない」というゼロトラストのコンセプトには合っている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

関連ホワイトペーパー

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]