ゼロトラストの実現方法に関するまとめ

ゼロトラストセキュリティとは一体なんなのか、このまとめ記事で引用を中心に解説してみます。VPNからの脱却や実現の1歩目まで広く解説します。

FC2USER939003ZUT さん

52 PV

グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。

そもそも誰が考案したかというのはwikipediaにのっていました。またゼロトラストが生まれた背景も併記があります。

ゼロトラストはForrester ResearchのアナリストJohn Kindervag(ジョン・キンダーバグ)により提唱された概念である。

従来のセキュリティ対策ではネットワークの境界で攻撃の遮断が可能であり、境界内は信頼できる事を前提としていたが、標的型攻撃や内部犯行の広がりによりこうした前提は崩れており、攻撃者が内部に侵入してくるのを前提とした対策が必要となる。

それに対しゼロトラストは従来型のセキュリティ対策よりも「性悪説」に基づいており、組織内ネットワークであっても、ユーザがデータやリソースにアクセスする際、ユーザが利用しているデバイスの信頼性とユーザ自身の信頼性とを動的に評価してデータやリソースへのアクセス認可を行う。

そしてゼロトラストを実際に実現した例として有名なのがGoogle社の「BeyondCorp」プロジェクト。

BeyondCorp では、人や端末がネットワークの内側にいるか外側にいるかではなく、IDや端末が信頼されているかどうかに基づいて計算を行い、個々のサービスへのアクセスを必要に応じて許可します。

従来から使用されてきた VPN はこれよりも安全性が低いため、Google では使用していません。

VPNはどこがなぜ問題なのかは次のようにありました。

VPNは、信頼されたネットワーク上のリソースにアクセスする従業員のための「城と堀」のセキュリティ戦略のために設計されました。20年後には、この境界線ベースのセキュリティ・モデルは老朽化しています。ダイナミックなマルチクラウドやハイブリッド環境を運用する企業では、境界線はすべて蒸発しています。管理されていないBYODな端末を使用するモバイル従業員の増加と、企業の機密リソースにアクセスするサードパーティ(請負業者、B2B パートナー、開発者)の増加は、複雑さを増し、セキュリティとネットワークのリーダーがリモートアクセスの新しいアプローチを調査する原因となっています。

その上で、VPNを使ったペリメタモデルからゼロトラストモデルへの移行については多要素認証やリスクベース認証の導入から開始する企業が多いようです。

FOXコーポレーションはゼロトラストアプローチに取り組むために、多要素認証を用いたリスクベース認証とAPIのアクセス管理を追加することを決定しました。

  • 1