2020年11月01日
ゼロトラストネットワーク
~社内だからといって安全なネットワークとは限らない!?~
ゼロトラストネットワークとは
「ゼロトラスト」とは言葉の通り、トラスト(信頼)がゼロ(ない)、つまりすべてのものを信頼しないという考え方です。そして、ゼロトラストネットワークとは、ネットワーク上の通信はすべて信頼できないものとし、その上で安全性を確保するという考え方です。このセキュリティの担保には様々な方法があります。例えば、システムへアクセスする際の認証には下記の要素が用いられます。
要素 | 例 |
---|---|
デバイス | 承認されたパソコンやスマートフォンからのアクセスを許可する |
付与された役割や権限 | 処理の承認者のみにアクセス権を与える |
ネットワーク接続元 | 特定のIPアドレスからの接続のみを許可する |
ゼロトラストという言葉自体は以前から存在していましたが、大きく2つの理由により昨今注目を集めています。1つ目は、Google社がゼロトラストネットワークに関するサービス※1を提供し始めたことです。2つ目は、コロナ禍において加速したリモートワークの推進により、家庭内ネットワークを通じた業務が増加したことによるものです。
ゼロトラストネットワークの活用例
オフィスの外から企業内ネットワークに接続する場合、VPNがよく使われます。VPNはVirtual Private Networkの略称であり、企業内ネットワークと企業外ネットワークの間を安全に接続し、あたかも企業内ネットワークにいるかのように企業外ネットワークから接続できる仕組みです。ふたつのネットワーク間の通信はVPNにより暗号化されます。そのため、第三者に通信内容を閲覧されないという点で安全であると言えます。ただし、企業内ネットワークに外から接続できるということは、企業内ネットワークの境界を広げていることにもなるため、VPN接続している部分以外でのセキュリティの担保が必要になります。例えば、下記の不正アクセスを許す可能性が高まります。
- 個人で契約している家庭内ネットワークのなかに侵入されて接続情報を窃取される
- 攻撃者が企業内ネットワークに接続できた場合、VPN接続部分も含めたネットワークに接続されたすべてのデバイスに影響を及ぼし、そのセキュリティリスクが高まる
一方で、昨今の企業におけるITシステムはクラウド上で動作するものが増えてきています。クラウドへのアクセスは一般的にはインターネットを経由します。この性質上、クラウドにおけるネットワーク境界は曖昧になる傾向があり、セキュリティを担保する範囲の決定が難しくなります。
そこで、ゼロトラストネットワークの考え方に基づいてクラウド上で動作するシステムへのアクセスを制御することで、システムが稼働するネットワークの安全性を高くできます。
例えば、表 1の要素を使ってクラウド上のシステムへのアクセスを制御すると、図 2のような環境を構築できます。
図2:ゼロトラストネットワークにおける接続例
(クリックして拡大できます)
結果として次のようにネットワークの安全性が高まります。
- あらかじめ認可されているデバイスのみのアクセスを許可することで、接続元である家庭内ネットワークに侵入者を許したとしても、その侵入者による企業内システムへのアクセスを防ぐ
- 認可されているネットワークからのアクセスのみを許可することで、たとえデバイスが盗難にあったとしても信頼されていないネットワークからシステムへアクセスされることを防ぐ
ゼロトラストネットワークの今後
ゼロトラストネットワークにより、企業のシステムを安全に利用できる環境を構築できます。ただし、ゼロトラストネットワークの仕組みがあれば完全に安全なネットワークを構築できるというわけではありません。システム利用者や使用しているデバイスは変化していくため、適切にメンテナンスをしていく必要があります。これらの作業をサポートする仕組みやサービスも登場しており、構築のハードルは下がりつつあります。
昨今、リモートワークでビジネスを進める機会が増えており、これまでのシステムのセキュリティのあり方について考え直す必要があるのではないでしょうか。セキュリティレベルが高いことはユーザーの利便性を制限するというトレードオフも否定できませんが、ビジネスを守る選択肢の一つとしてゼロトラストネットワークという考え方が活用できるかもしれません。
2020年11月
最新の記事
年別
ITの可能性が満載のメルマガを、お客様への想いと共にお届けします!
Kobelco Systems Letter を購読