ゼロトラストネットワーク

はてブテクノロジーカテゴリでちょっとバズってた以下記事を見て
 blogs.itmedia.co.jp 今はこんな技術があるんだなーとしみじみレガシー案件のおっさんSIerには中々難しい、、、ひとまず色々調べた内容をまとめる。 
 
 

専用線

日々の生活・業務においてインターネットは切り離せないものとなっています。

しかし常にネットーワークに繋がっていることで色々な脅威に晒されているわけです。

これら脅威から守るための手法としてまず専用線という概念が登場しました。

専用線があることで本社と拠点をパブリックネットとは異なる経路で接続することができ非常に高いセキュリティを持ちます。

しかし、専用線は物理的なネットワーク回線であるため距離が遠いほど費用を要しますしあまりリーズナブルとは言えません。

 

<<専用線イメージ>>

f:id:lawrence-twin:20200324224706p:plain

 

VPN

物理的な専用線を構築するのには高額がかかりますが、代わりの代替方法としてVPNという考え方普及しました。Virtual Private Networkの略で仮想化されたプライベートネットワークのことを指します。VPNを利用することで内部ネットワーク上のホストとして利用できるかのようになります。

VPNを利用する方法としては、クライアント側にVPNクライアントアプリをインストールしておくことで利用できるなど専用線と違って準備が容易です。

しかし、VPN専用線と比較して以下のデメリットが挙げられます。

・セキュリティ脅威を0とはならない。

・通信速度が遅くなることがある。

・製品によってはコストが高くなる。

 

 

<<VPNイメージ>>

f:id:lawrence-twin:20200324225335p:plain

 ※VPNにも色々手法があるので上記はあくまで一例

 

ゼロトラストネットワーク

最近ではVPNの代わりとして注目されつつある技術です。
ゼロトラストネットワークとは性悪説に基づいたセキュリティアプローチの一種です。
従来のネットワークセキュリティはファイアウォールなどを設置して特定の入り口に対してチェックを行っていましたが、一度内部に侵入されるとホストが乗っ取られさらに次のホストへ乗っ取ってとどんどん感染が広がる可能性を孕んでいます。
どんなに入口を固めたとして、何らかの手法で突破されてしまいいずれ内部が脅かされる可能性がありますので、ネットワークは一切信用できないものという前提を置いたものがゼロトラストネットワークセキュリティです。
 
【図解】コレ1枚でわかるゼロ・トラスト・ネットワーク・セキュリティ ZTN1.png
ゼロトラストネットワークは、すべてのトラフィックが信用できないという前提にのっとって各アクセスを検査していく手法を指します。
 
例えば、
・接続してきたホストが信用できるホストかどうか
・接続しているデバイスが信用しても良いデバイスかどうか
・外部に漏洩しているIDを利用していないかどうか
・デバイスマルウェアに感染していないかどうか
 
ただ、上記であげた「信用できる。」という定義は難しく
一度信用すればそれで良いというわけではないです。
信用とは動的なものであり、参照するたびに信用できるか、できないのかは変わっていくものです。
 これらを評価する方法として、AIによる「信用スコア」というものが用いられることがあります。「信用スコア」とは、単一の情報だけでなく様々なデータ、アクセス、操作履歴などをもとにそのユーザが信用できるかどうかをスコアとして可視化します。
 

なぜ今ゼロトラストネットワークが必要なのか

ゼロトラストネットワーク自体は2010年にForrester Research社のキンダーバークさんが提唱したセキュリティアプローチであり考え方自体はごく最近というわけではないです。しかし、最近ではコロナウイルスによる影響によりテレワークやリモートワークを余儀なくされています。またこれにより外部ネットワークから内部ネットワークへのトラフィックが各段に上がっており今後セキュリティ対策についてはより高いレベルが求められてくることとなります。
そうするとVPNだけでは限界がありゼロトラストネットワークの技術が求められつつあります。
 

ゼロトラストネットワークに関する商品・製品

Googleが採用している技術「BeyondCorp」というではゼロトラストネットワークが実現できているとのこと。
しかし、簡単に実現できたというわけではなくGoogleとしての巨大なプラットフォーム、リソースがあってこそ実現できたものであり一般企業で実現するためにはパワーが必要だということ。
 
ほか、Microsoftが提供するMicrosoft 365の技術でも実現可能のようです。
こちらはAzure Active Directoryのプライバシポリシー設定?によって
ゼロトラストネットワークが実現できるそうです。
 
例えばNHKテクノロジーズさんの導入事例では以下のような技術を採用しているとのことです。

「まず、メールの脅威可視化と排除には、フィルタリング サービスである『 Office365 ATP P2 』を使います。続いて、PC への侵入検知と隔離は、エンドポイント セキュリティの『 Microsoft Defender ATP 』が有効です。不正入手された ID とパスワードによってアクセスされた場合でも、『 Azure AD Premium P2 』と『 Azure ATP 』によって、クラウド・オンプレミスの両方でなりすましの検知と防止が可能となります。さらに、不正操作を監視する『 Microsoft Cloud App Security 』と機密文書を自動暗号化する『 Azure Information Protection P2 』によって、情報流出を防ぎます。Microsoft 365 E5 には、本当に多様なツール・サービスが揃っているので、これらを段階的に導入し、使いこなしていくことが第一のステップであると考えています」(穂積 氏)。

 

オライリーでは ゼロトラストネットワークについて以下の書籍も出しているようなので時間があったら見てみようと思います。