2018年頃から国内ITセキュリティー分野で、「ゼロトラスト」という新しい概念が叫ばれ始めた。米Forresterが提唱し、Googleのクラウドセキュリティーフレームワーク「BeyondCorp」はその概念がベースになっている。セキュリティーのテクノロジートレンドの観点もあるが、Akamai プラットフォームチーム エグゼクティブ・バイス・プレジデント兼 エンタープライズ部門ジェネラルマネージャーのRobert Blumofe氏は、働き方改革や買収・合併(M&A)への対応での意義も強調する。
Akamai プラットフォームチーム エグゼクティブ・バイス・プレジデント兼 エンタープライズ部門ジェネラルマネージャーのRobert Blumofe氏
端的に言えば、「ゼロトラスト」
「現在のゼロトラストは幅広い説明がなされているが、基本的には『信用をしない』ことを前提に、強力なアクセス制御と検査を行うことで安全を確保するという考え方だ。クラウド化によって、今ではユーザーやアプリケーションの所在が定まらない環境が生じており、境界防御のアーキテクチャーが実態にそぐわなくなりつつある」(Blumofe氏)
例えば、社外で業務をこなした社員のPCがマルウェアに感染したとする。帰社後、社員がPCをLANに接続すると、マルウェアはLANを通じて脆弱な他のPCやシステムに感染先や侵入範囲を広げようとする。これは「ラテラルムーブメント(水平移動)」と呼ばれる脅威の動きで、段階的に侵攻する標的型攻撃などの一つの特徴でもある。
「境界防御」に立てば、LANへ接続される前での防御策が重要になる。ラテラルムーブメントは、それが突破された状態であり、感染や侵入の拡大を食い止めるためには、LAN内にも追加の防御策を講じなければならず、これによって導入、運用するセキュリティー対策はどんどん複雑になり、運用の負担も増す。
働き方改革によって従業員の業務環境が取引先や自宅、喫茶店、コワーキングスペースなどに広がれば、オフィスの外で脅威に遭遇する確率は高まる。また、M&AによってIT環境を統合する必要性が生じるものの、大きく異なるIT環境の統合は容易ではない。セキュリティーの観点からは、長年にわたる「境界防御」のアーキテクチャーがそれらを推進する上でのボトルネックになり、それなら企業が直面する働き方改革やM&Aといった経営課題に全く異なるセキュリティーのアーキテクチャーで対応していくべきというのが、「ゼロトラスト」提唱側のメッセージになる。
Blumofe氏によれば、「ゼロトラスト」のアーキテクチャーでは、インターネット側やLAN内を問わず、システムやアプリケーションへのアクセスを要求するユーザーの認証、認証後の適切なアクセス制御、システムやアプリケーション、ネットワーク上におけるユーザーのふるまい検査などによって、脅威の検出や封じ込めを図る。
もちろん現実的には、大半の企業ではIT環境のセキュリティー対策が「境界防御」を前提に構築されているため、すぐに「ゼロトラスト」アーキテクチャーへ移行できるわけではない。「クラウド環境の広がりや他社とのシステム統合などを念頭に、ゼロトラストの意識したアーキテクチャーへ徐々に移行していくのが望ましいだろう」とBlumofe氏は話す。
Blumofe氏によれば、「ゼロトラスト」アーキテクチャーを実現するテクノロジーは幾つかあり、Akamaiの場合は、BeyondCorpの「Identity Aware Proxy(IAP)」を適用しているという。同社のサービス基盤はCDN(コンテンツ配信ネットワーク)だが、分散配置するエッジサーバーとCDNを通じて、ユーザー認証と各種アプリケーションへのシングルサインオン(SSO)、アクセス制御、ログ管理などの機能を提供する。ソリューションとしては、「IDaaS(Identity as a Service)」と呼ばれるクラウド型のID管理サービスに類される。
一方、現在のクラウドに対応する代表的なセキュリティーソリューションに、「CASB(Cloud Access Security Broker)」がある。IT調査機関などの定義では、CASBはクラウドなどのアプリケーションやデータにまつわる認証、SSO、アクセス制御、暗号化、マルウェア対策、ログ管理といった広範なコントロールを確保するもので、IDaaSの機能も包含する。
「ゼロトラスト」に照らせば、CASBの機能カバレッジは広く、特にクラウド利用時の可視化に期待する企業が多い。ただ、多くのオンプレミスのシステムを抱えながらクラウドも利用するハイブリッドクラウドの環境では、CASBの実装と運用に一定の時間を要する傾向にある。このため、クラウドに対応するセキュリティーを構築していくステップとして、IDaaSから取り組むという流れが出始めているようだ。
「われわれ(Akamai)もサービス拡大に向けたM&Aを重ねる中で、過去には買収先企業の従業員の業務環境やシステムの統合に苦労した。その経験からゼロトラストを実装し、現在では統合時に生じる問題はなくなった。それを顧客にも提供していく段階にある」(Blumofe氏)
同社の顧客で理想的な「ゼロトラスト」のセキュリティ環境を既に実現しているケースはまだ少ないが、「ゼロトラスト」を意識した環境作りには乗り出しているという。国内の顧客企業では、旅行大手のエイチ・アイ・エスなどが導入を進めており、直近ではLIXILも着手した。LIXILのケースでは、販売代理店向けネットワークの再構築に伴って、従来のVPN接続から「ゼロトラスト」型の接続に切り替えていくという。
Blumofe氏は、IAPからのアプローチとしても「従来のVPN終端装置やロードバランサーなどの運用を解消したり、同時接続数の制約に伴うトラフィックの遅延などを解消したりする効果がある。『ゼロトラスト』化にはそれなりの投資を要するが、こうした効果を含めメリットが上回る」と強調する。 今後同社では、ウェブアプリケーションやアクセスするユーザーのデバイス環境の検査といったサービスでの機能拡充を進めるという。
「ゼロトラスト」は、まだ国内ではその言葉が歩き始めた段階だが、クラウド利用が拡大していく中でのセキュリティーリスクへの対応と同時に、企業が直面する働き方改革や事業成長の課題をITの側からサポートしていくものになるだろう。