近年はサイバー攻撃の高度化により、十分に対策をしていても人為的なミス等で被害を受けてしまうケースが存在します。具体的には、特定の企業(組織)や個人に向けて送信され、メールに添付したファイルを開かせたり、記載されたURLにアクセスさせたりするよう誘導するような標的型メール攻撃により甚大な被害が起きてしまう、といったケースです。高度化したサイバー攻撃に対しても被害が最小化できるセキュリティの考え方が、「ゼロトラスト」の概念です。
本記事では、ゼロトラストとは何か、その重要性、そしてこのアプローチを実現するための主要な技術であるSDP(Software Defined Perimeter)とZTNA(Zero Trust Network Access)について詳しく掘り下げます。
ゼロトラストとは?
ゼロトラストネットワークの定義
ゼロトラストは、「信頼すべき内部ネットワーク=トラストネットワーク」をゼロにする、というセキュリティの概念です。従来のオフィスネットワークやWebアプリケーションにおいては、ファイアウォールによってネットワークを外部と内部に分割する構成が一般的でした。ゼロトラストは、根底から覆すセキュリティモデルです。たとえ内部ネットワークであっても、すべてのユーザとデバイスを潜在的な脅威とみなし、厳格なアクセスコントロールと多要素・多段階のセキュリティ検証を行います。
ゼロトラストのメリット
ゼロトラストの最大のメリットは、セキュリティの向上です。例えば、従来であれば、標的型メール攻撃のようにマルウェアなどが内部ネットワークに入り込んだ場合は被害の拡大を防ぐことが難しい状態でした。ゼロトラストは、外部と内部ネットワークの境界をなくし、すべての情報資産へのアクセスにおいて確認を行います。情報資産に対する適切な権限・端末の状態などが確認され、いずれも満たすことができなければアクセス要求は遮断されるため内部で被害が広がることを防ぐことができます。
ゼロトラストネットワークを実現するには?
ゼロトラストネットワークの実現には、社内と社外を隔てるファイアウォールの代わりにセキュリティを担保する技術が必要です。それには、SDPとZTNAのような技術があげられます。これらは、柔軟でスケーラブルなアクセス管理を提供しながら、ゼロトラストネットワークに必要な様々な機能を提供します。
SDPとZTNAの具体的な特徴や概念についてみていきましょう。
SDP(Software Defined Perimeter)とは?
SDPの概要
SDPは、ソフトウェア定義境界とも呼ばれ、ゼロトラストの概念の中でファイアウォールに代わる新しい『境界』のイメージです。ファイアウォールのような機器ではなく、ソフトウェアによって『境界』を構成します。それゆえに、非常に柔軟性と拡張性があるセキュリティモデルを構築することができます。SDPに必要な要素としては「認証」がキーワードとなっています。認証によってユーザの身元とデバイスのセキュリティ状態を確認し、必要なリソースへのアクセスを厳格に制限します。
SDPの主な特徴とメリット
多要素な認証
SDPは1つの要素(例えばユーザIDとパスワードの組み合わせ)ではなく、多要素な認証を実施します。例えば、ユーザが保持しているデバイス・場所・OSなどの情報についても認証に使用します。具体的には、デバイスに最新のセキュリティパッチが適用されているか、接続場所が海外など、ありえない場所ではないか、といった内容を認証に利用します。これにより、ネットワークに攻撃者が侵入したとしても、不正な活動を極限まで減らすことができます。
柔軟なネットワーク管理
SDPは、ソフトウェアベースの制御を実施するため、ネットワークのどの部分が誰に開放されるかを柔軟に管理することができます。それによって、管理が簡素化され、ネットワークに関する運用工数の削減に貢献します。
多様な働き方の実現
SDPは多要素な認証によりセキュリティを向上させるだけでなく、リモートワークなどの多様な働き方の実現にも役立ちます。認証さえ突破すれば、許可された場所からであればどこからでもアクセスが可能になります。従来はVPNなどの手法を用いていましたが、多要素な認証を実施するためVPNよりもセキュアに環境を提供することができます。そのため、SDPは在宅や客先からのアクセスといった、多様な働くシチュエーションにも柔軟に対応することができます。
ZTNA(Zero Trust Network Access)とは?
ZTNAの概要
ZTNAは、「信頼することは何もない」という考えに基づき、すべてのアクセス要求を厳格に検証し、最小限のアクセス権限のみを与える手法です。SDPのキーワードが『認証』であった一方で、ZTNAは『認可』がキーワードとなっています。『認可』とは、権限を与えることです。受験において、受験票による本人確認が認証、受験の権限を与えられることが認可という風にイメージするといいでしょう。
ZTNAの主な特徴とメリット
きめ細やかな認可
ZTNAはアクセスできるデータやリソースを細分化し、ユーザの身元(認証情報)に応じて彼らがアクセスできるリソースを厳格に制限することが可能です。こちらもソフトウェアベースの制御となるため、ユーザの状況に応じてアクセス権を柔軟に調整することができ、セキュリティと利便性のバランスがとりやすくなっています。
ユーザの行動の監視
ZTNAは、アクセスが許可された後も継続的にユーザの行動を監視し、異常が見られた場合には即座に対応します。これにより、サーバー攻撃の予兆を検知し、被害の拡大を防ぐことができます。
SDPとZTNAの違いとは?
SDPとZTNAの違いは、ゼロトラストセキュリティを構成するうえで役割の違いがあります。先述のように、SDPは認証、ZTNAは認可の機能を持っており、認証と認可は似たような言葉であれど、まったく別の概念です。したがって、SDPとZTNAは、機能自体には大きな違いがあります。しかしながら、それらがセットになることによって強固なゼロトラストセキュリティを実現することができます。具体的には、SDPはネットワーク内のデータやリソースへのアクセスを制御するために多要素な認証を実施します。一方で、ZTNAはユーザの認証情報とユーザの行動に焦点を当て、認証後のユーザに対してアクセス許可を動的に調整することで、継続的なネットワークの防御を実現します。このように、両者は、それぞれ異なるアプローチを採用しながらも、ゼロトラストネットワークの実現に向けて相補的な役割を果たします。
まとめ
ゼロトラストは、現代のサイバーセキュリティにおいて不可欠な要素です。その実現にはSDPとZTNAのような技術が重要であり、これらは互いに補完しあいながら、セキュリティリスクの低減、ネットワークの保護、およびビジネスの柔軟性と効率性を向上させます。ゼロトラストは新しい概念であり、理解が難しい部分もあるため、簡単に導入できるSaaSやクラウド型のサービスを考慮するといいでしょう。
ZTNAのソリューションとして存在しているCloudbric RASは、SaaS型であるため、導入や運用にかかる工数が少なくすることができます。導入の際にはぜひ検討してみてください。
Cloudbric RASの詳細はこちら
https://www.cloudbric.jp/cloudbric-ras/
