第1回では、境界型セキュリティの限界が訪れていること、第2回では企業が取るべきセキュリティ対策のあり方として、デファクトスタンダードに準拠することの重要性を述べた。
今回は、セキュリティアーキテクチャそのものの大きな変革となると予測され、注目されている「ゼロトラストセキュリティ」に関して考察する。
現在市場において、ゼロトラストネットワークやゼロトラストセキュリティは、インターネットにおける原則的な概念を転換させると言われている。その理由は、境界型ネットワークセキュリティの「安全な内部」と「危険な外部」という考え方ではなく、「ゼロトラスト=全ての通信を信頼できない」と考える事による。
第1回で述べたとおり、これまでの境界型ネットワークセキュリティは、「安全な内部」に収めることによってセキュリティを担保する境界防御という手法をとってきたが、もはやこれは限界が訪れているという見方が大きく論じられている。
境界型ネットワークセキュリティの限界根拠をまとめると以下の通りである。
- 企業の「安全な内部」接続のよりどころであった仮想私設網(VPN)へのサイバー攻撃など、脅威の増大
- テレワークの推進に伴うインフラ性能の限界やその必要投資の増加
- クラウド活用やテレワーク推進による、守るべき資産や社員端末の広範囲な分散
最も大きな要因は、「Pulse Connect Secureの脆弱性を狙った攻撃」などに見られる脅威が、これまでの「安全な内部」という考えを完全に崩壊させ、企業にとっての安全な内部は、攻撃者にとっての格好な餌場と化すことを証明してしまったことだ。これまでも境界であるファイアウォールを突破されれば無防備になる問題点は指摘されてきたが、VPN接続を乗っ取られると、本来、脅威から守るためにある社員向けVPN接続環境が、攻撃者への入り口(バックドア)を提供することも同然になってしまう意味で致命的である。
これらの課題を解消するために、ゼロトラストセキュリティが議論されるようになっていると考えて良いだろう。
2020年8月に米国国立標準技術研究所(National Institute of Standards and Technology:NIST)はSP800-207 ゼロトラストアーキテクチャ(ZTA)を公開した。その中で、「ネットワークの場所がリソースのセキュリティ体制の主要なコンポーネントと見なされなくなった」と述べている。境界の内外というようなネットワークの場所は、資産や資源を保全するためのセキュリティ構成要素とはならない、という考え方と企業が向き合う必要が出てきたのだ。