ゼロトラストとは何か?

まず勘違いをしてはいけないのは、ゼロトラストとは、特定の製品を指しているものではないということです。

とあるメーカーが提供している、ゼロトラストソリューションをひとつ導入すれば万事解決、というわけではありません。実現するための技術は多岐にわたります。

ゼロトラストとは、セキュリティの戦略のひとつの考え方であると捉えるべきです。

では、ゼロトラストの考え方というのは、どのようなものでしょうか?

そのまま翻訳すれば、一番重要な本質が見えます。「何も信用しない」ということがゼロトラストの考え方のベースにあります。

しかし、これを理解するためには、これまでは「何を信用していたのか?」という背景の理解が必要となります。

境界防御モデル

従来の企業や組織、そして家庭のセキュリティの基本的な考え方は、インターネットのような誰でも自由に利用できるネットワークを外部とみなします。そして、それと対極的に、企業や組織、家庭内のネットワークを内部とみなします。

外部は危険、内部は安全。そう考えて、内外を繋ぐポイントである境界部分の守りを厳重に固める、というものです。

ファイアーウォールやIDS、IPSのような機器がその境界防御の考え方を実践してきました。

従来は、そこに注力することで、サイバー攻撃から企業や組織を守っていたのです。

状況の劇的な変化

以前はそれでも良かったのもしれません。いくつかの課題はありましたが、確かに境界防御モデルは長い間、一般的に用いられるセキュリティモデルとして機能していました。

ですが、昨今のIT環境の激変がそれを過去のものとしたのです。

そのひとつがクラウドです。現在、程度の大小こそあれど、ビジネスにクラウドを活用していない組織は殆ど無いといえるでしょう。

クラウドは、組織から見て、インターネットの先にある各クラウドサービスプロバイダが提供する基盤に、アプリケーションやデータを構築したり保持します。

クラウドサービスプロバイダとは、AWSやMicrosoft Azureといったような、IaaS、PaaS事業者であったり、サービスそのものをクラウドで提供しているSaaS事業者などを含みます。

これは、守るべき対象が境界内に存在しなくなってしまったという、大きな変革です。

当然ながら、境界の防御をいくら固めたとしても、蚊帳の外であるファイアーウォールでは、クラウド上のアプリケーションやデータを守ることは決してできません。

また、もう一つの大きな変化の柱は、コロナ禍を契機に急速に普及した、リモートワークです。

従来、組織のオフィス内にあったパソコンが当然のように外部に持ち出されるようになりました。パソコンのような機器はエンドポイントとも呼ばれますが、エンドポイントはサイバー攻撃者の攻撃対象として頻繁に狙われます。最も重要視しなくてはならない箇所であるといえます。

その守るべき対象も境界の壁を越えて、外部へ出ていっています。これもクラウドと同様、境界防御では手の届かない所に、守るべき対象が移動している、ということに他ならず、これでは意味をなしません。

他にもそもそも持ち歩いて、外部で利用されるためのものである、スマートフォンやタブレットなどのモバイルデバイスの普及などの理由もありますが、こういった近年のIT環境の劇的な変化により、境界型防御のセキュリティモデルは崩れ去ったのです。

そしてゼロトラストへ

ではどうすれば良いのか?その答えは、これまでの境界型防御モデルに反する考えを元に産み出されました。

もはや外部も内部もない、全てのアクセスを個別に疑ってかかるという考え方、それがゼロトラストの「何も信用しない」ということです。

全ての接続元が正しいユーザーであるか?許可するアクセスの範囲は適切で過剰なものはないか?接続元はマルウェアなどに汚染されてはいないか?

といったさまざまなな要素を常時監視して、流動的にそれをリアルタイムに変化させる、というのがゼロトラストの基本的な考え方です。

一度アクセスが安全だと確認したとしても、それが永続的に安全とは限りません。そのため、今この時点で安全か?というのを、無条件に信用せず、常に疑うことも必要となります。

このように、これまでどのような信頼を元にセキュリティを構築していたのか、という背景を理解し、状況の変化を受け入れないとゼロトラストは理解できません。

さまざまなゼロトラストを実現するためのソリューションを検討する前に、この基本的な考え方を理解する必要があります。

前述のように、ゼロトラストは単一のソリューションでは実現できません。この基本的な考え方をさまざまななアプローチで実現します。

そのため、ゼロトラストを実現することは、複雑なように思われがちです。

各ソリューションがどういう方法で、「何も信用しない」ことを実現しているのか、という点に注目してみてください。そうすれば、ゼロトラストへの根本的な理解が深まるはずです。

テクノロジー