セキュリティ業界で最近叫ばれるキーワードの1つに、「ゼロトラスト」がある。同業界のベンダーを中心に市場への訴求が本格化する中、ITインフラ大手のVMwareが「VMWorld 2020」でセキュリティを重要領域の1つに掲げ、多数の新製品やサービスの発表と合せてゼロトラストへのシフトを示した。その方向性について、日本メディアの取材に応じたVMware Carbon Black部門 シニア・脅威リサーチャーのGreg Foss氏が説明を行った。
VMware Carbon Black部門 シニア・脅威リサーチャーのGreg Foss氏
ゼロトラストは、元Forrester Researchのアナリストで、現在はPalo Alto Networksの最高技術責任者を務めるJohn Kindervag氏が提唱し、「あらゆる場所のあらゆるユーザー、デバイス、アプリケーションを常に検査し、信頼をデジタル社会から取り除くことで、侵害を防ぐためにデザインされたセキュリティ戦略」と定義している。
ゼロトラストが叫ばれる大きな背景には、オンプレミスからクラウドへのITインフラの変化がある。セキュリティの観点では、組織の内部ネットワーク環境とインターネット環境の境界を軸に、内部を信頼して外部の脅威を防ぐ「境界防御」モデルが採用されてきたが、ITの利用が組織の外部にあるクラウドにも拡張し、「内部を信頼する」という境界防御モデルの前提にも変化が生じている。
ゼロトラストが提唱された2012年頃は、まだITインフラのクラウド化が本格的になり始めた時期で、日本ではゼロトラストの言葉はほとんど知られていなかった。それが変わり出した要因には、ITインフラのクラウド化に加え、働き方改革に伴うテレワーク導入などもあるだろう。組織内部だけでなく自宅など外部環境からもアプリケーションやデータを利用する機会が広がりだした。
その状況を現在のコロナ禍が一気に加速させたとも言える。テレワークを急いで大規模展開しなければならず、「内部を信頼する」ことが前提の境界防御モデルでは、VPN接続を介して組織内のシステムやデータを利用せざるを得なかった。その結果、VPNや境界部にある各種セキュリティシステムのリソースのひっ迫を招き、外部からアクセスするPCなど端末のセキュリティ対策や管理も十分に行えない事態が起きた。
仮にコロナ禍がなければ、ゼロトラストへの変化は緩やかだっただろう。だが、現実としてコロナ禍に直面する今は、急ぎゼロトラストに注目して理解を深め、ゼロトラストに基づく具体的なセキュリティ環境の姿を模索する企業や組織が増え始めた。ただ、ゼロトラストを顧客に訴求するセキュリティベンダーの得意領域を中心として示される姿には、捉えづらいとの声も聞かれ、そこにITインフラを広範にカバーするVMwareが、ゼロトラストの方向性を見せたことは一つの変化だろう。
同社は、2016年からITインフラにおける「本質的なセキュリティ(Intrinsic Security)」を提起し、広大なポートフォリオの中にセキュリティを組み込む戦略を進めてきた。
先のVMWorld 2020では、2019年にGartnerが提唱した「Secure Access Service Edge(SASE)」の概念に基づき、SD-WANとセキュアウェブゲートウェイやCASB(Cloud Access Service Broker)といったクラウドアクセスを管理・制御する各種機能との統合を打ち出し、Menlo SecurityやZscalerとのパートナーシップでは、クラウドデータセンター側とクライアント側を“つなぐ”部分のセキュリティを強化していく。クライアント側では、2019年に買収したCarbon Blackのテクノロジーを組み込んでおり、これをサーバー側にも展開してワークロード全体を保護していくとする。
VMwareのセキュリティのスコープ
Foss氏は、こうしたセキュリティ領域における同社の動きについて、「クラウドというコンピューティングの変化と拡大に沿うようにサイバー攻撃者が標的にする範囲が広がっている。われわれが脅威を先に見つけ出し対応しなければならない」と説明した。
同氏は、以前にはCarbon Blackのユーザーとして、システムやネットワークなどのさまざまなログの相関分析を通じて脅威を検知し対処していくSIEM(セキュリティインシデント、イベント管理)を手掛けていたという。ベンダー側に転じた現在、「VMwareはITインフラのあらゆる場所にセンサーを置き、あらゆるデータから分析を通じてエンドツーエンドでITインフラ上における“振る舞い”を把握し、脅威を見つけ食い止め、それらを自動的に実行していくユニークな立場にある」と語る。
「本質的なセキュリティ(Intrinsic Security)」を具体化する一例として、VMWorld 2020では、Carbon Blackの脅威分析や検知、対応にまつわる技術を仮想化基盤に組み込むことを発表した
先述した「常に検査」「信頼を取り除く」というゼロトラストの定義に従えば、Foss氏の説明する同社のセキュリティの方向性は、ITインフラに「信頼し得る」安全領域が必ずしも存在しないという前提に立ち、ITインフラ全体を常に監視しながらサイバー攻撃などの脅威を抑え込んでいくというアプローチになるようだ。
しかしながら、VMWorld 2020で明らかにした同社のセキュリティポートフォリオは、まだゼロトラストに基づく新たなセキュリティの姿の端緒に過ぎないとも見ることができる。Foss氏は、企業が長らく構築してきたセキュリティ対策のための既存の資産をどうゼロトラストに基づく姿に統合していくかが課題だとも話している。
加えてFoss氏は、「IDに基づいてアクセスを許可しITリソースを使用するという振る舞い中で、具体的にどう脅威を検知するのか。脅威とした振る舞いを止めアクセスを遮断し、IDを無効にする対応をどうするのか。対応した後に、どのように正規のユーザーのIDを回復し、再び許可を与えるのか。それら全てをITインフラにどう内在させ、適切に実行できるようにすべきか。考えなければならないこと、取り組まなければならないことがたくさんある」とも述べた。
当然ながらゼロトラストに基づく新たなセキュリティ環境は、構築するだけでは意味がなく、ゼロトラストに基づいたセキュリティの運用こそが重要になる。ゼロトラストセキュリティの具現化に向けてやるべきテーマがまだまだ多いが、ITインフラがさらにクラウドへシフトする流れにおいて、ゼロトラストのセキュリティもようやく本格的な流れが開始されたと言えそうだ。