企業セキュリティの歩き方

機動戦士ガンダムで例えるゼロトラストセキュリティの必要性--後編

武田一城

2021-02-19 06:00

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 引き続き「機動戦士ガンダム」の世界と「ゼロトラスト」の考え方に基づくセキュリティ対策を比較しながら理解を深めていきたい。具体的には、このアニメの世界におけるモビルスーツ(MS)を中心とした技術開発や攻防と、現代のサイバー攻撃やセキュリティ対策の相関性などを比較することで、サイバー攻撃やセキュリティ対策にそれほど詳しくない人にも状況の重大さや脅威を感じていただければと考えている。

攻撃手法の巧妙化と内部ネットワーク防御手法の進化

 サイバー攻撃は、攻撃者が圧倒的優位という状況が続いている。つまり、防御側のわれわれは、やられっぱなしの状況と言われてもなかなか反論がしにくい状況だ。それでも、攻撃を防御する仕組みは、少なからず進化を続けている。まず代表的なものは、セキュリティ対策の代名詞と言っても過言ではないファイアウォール(FW)だ。FWは、その名の通り防御壁として、かつてインターネットなどの危険な外部ネットワークから内部ネットワークを安全にすることに成功した。

 その後、攻撃手法が巧妙化して行く中で、FWだけでは攻撃がすり抜けられてしまうことが多くなり、内部ネットワークに多層的な防御構造を作ることで、防御力を高めることによる防御構造強化の必要性が叫ばれた。特に、2011年に国内で多発した標的型攻撃事件によって、一般企業であっても社会的な責任を果たすために多層防御が必須と言われるようになった。この頃の日本は、個人情報保護法の完全施行後に大きな事件が無く、セキュリティ対策への投資意欲も一段落していたタイミングであった。しかし、標的型攻撃をターニングポイントとして、次世代型FWやサンドボックスなどの新しいセキュリティ対策製品の普及が進んだ。

 現在は、FWに始まった内部ネットワーク防御のさらなる拡張策として複数のセキュリティ対策製品やネットワーク機器などのアラート情報やログを総合的に管理するSIEM(セキュリティ情報イベント管理)の導入も珍しいものではなくってきている。さらに、2019年にGartnerが提唱したSASE(クラウドベースの新しいセキュリティ対策フレームワーク)など、内部ネットワークの防御をさらに拡張・強化する流れも出てきており、内部ネットワークの防御は現在もセキュリティ対策の主役であり続けている。

内部ネットワーク防御とは異なるもう一つの潮流

 このような内部ネットワークを守るという流れと少しコンセプトが異なるのが、本稿のテーマである「ゼロトラストセキュリティ」だ。これは内部ネットワークの防御ではなく、そこに接続するエンドポイント(PCやサーバーなど)の防御や個々のIDベースでの認証を重要視するという考え方で、ここ数年は大きく取り上げられてきた。その要因は、クラウドの本格的な普及に加え、特に2020年からのコロナ禍と呼ばれる状況において、テレワークが一般的になったことが大きい。

 テレワークにおいて、家庭などオフィスの外部から内部ネットワークにアクセスするためには、VPNなどから接続するのが通常の方法だ。しかし、コロナ禍以前のほとんどの企業や組織では、全従業員規模の社外からのアクセスを想定していなかった。そのため、多くの従業員がいる大手製造業などで、活動自粛要請のあった時期に、「ネットワークリソースがひっ迫」という事態が散見された。

 そのため、外部からVPN経由で内部ネットワークにアクセスすることなく業務を行うための方策として、ゼロトラストセキュリティの考え方は非常に適合しやすかった。また、その場合は、内部ネットワークにアクセスしないので、内部ネットワークで守られていないことも意味する。クラウドなどは昔と比べ物にならない程、利用範囲を拡大している。このクラウドも守るべき対象がそもそも内部ネットワークに存在しない。つまり、現在の業務システム環境は、内部ネットワークを幾ら防御しても守るべきものがそこに無いという状況へと変わってきている。

 これまでのエンドポイントは、内部ネットワークの中で守られている存在であり、セキュリティ対策はそれを前提とした。しかし、エンドポイントがそのまま内部ネットワークの外に出ることは、丸裸の状態で危険な戦場に居る一般人のような状況だ。ゼロトラストセキュリティという概念は、この状況を打開するためのセキュリティ対策とも言える。ゼロトラストは、従来の内部ネットワーク防御とは一線を画す考え方で、エンドポイントやIDベースの防御を重要視している防御概念である。この概念によって、現在は内部ネットワークの防御の仕組みに依存しないセキュリティ対策を構築する必要性が叫ばれているのだ。

多層防御とゼロトラストの攻守の対比
多層防御とゼロトラストの攻守の対比

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]