境界で防御する従来型ネットワークセキュリティからゼロトラストへ：Computer Weekly製品ガイド

高度にネットワーク化されたビジネスは、従来型のネットワークセキュリティを圧迫する。本稿では境界を打ち破る企業ネットワークについて解説する。

[Cliff Saran，Computer Weekly]

　ネットワークにはもはや、確固たる境界（ペリメータ）が存在しなくなった。企業はパートナーとの緊密な関係を確立する必要に迫られ、私物の端末を仕事に使う従業員が増え、ソフトウェアがビジネスエコシステムを相互に結び付ける。

　従来型のネットワークセキュリティは確固たる境界とアクセスコントロールに依存するため、この動的なビジネス環境にはふさわしくなくなった。

関連記事

• Intel SGXをコアとしたコンフィデンシャルコンピューティングの実現
• クラウド時代の認証方式SDP（Software Defined Perimeter）導入事例
• ブロックチェーンはセキュリティの「魔法のつえ」ではない
• 複雑化するデータリスクに対応する統合リスク管理のアプローチ

　ネットワークはペリメータレス化が進み、ネットワークに厳重な障壁を築くことよりも柔軟な接続性が求められている。ネットワーク内部のセキュリティ対策は、何も信頼しないゼロトラストでなければならない。

　ペリメータレスセキュリティについて英Computer Weeklyが取材した専門家は、そうしたアーキテクチャの実現は容易ではないという見解で一致している。だがソフトウェア定義ネットワーク（SDN）とコンテナで確固たる基盤を構築すれば、ペリメータレスセキュリティ戦略を実行できる。

未来はペリメータレスネットワークにあり

　Information Security Forum（ISF）の上級アナリストであるギャレス・ハーケン氏によると、ペリメータレスネットワークとゼロトラストセキュリティは、一部の超巨大組織にとっての未来を表している。Googleの「BeyondCorp」はそうしたネットワークアーキテクチャの好例だ。

動的なネットワーク構成

　ペリメータレスセキュリティは、商取引を加速させる上で不可欠になるとの見方もある。だがTurnkey Consultingのディレクター、サイモン・パーシン氏は「ネットワークの境界喪失は、ダメージを防止する技術と組み合わせなければならない」と強調する。

　ペリメータレスセキュリティにおいて、ネットワークの設計や動作はIT資産が不正なコードなどの脅威にさらされる事態の防止を目的としなければならない。パーシン氏によると、SDNは実行が許可されているプロトコルを認識することによって、ユーザーがそれぞれの役職に求められる正規のタスクの実行を許可する。SDNはネットワークアーキテクチャの内部で、転送プレーンとコントロールプレーンを分離する。

　Airbus CyberSecurityの最高技術責任者パディ・フランシス氏によると、ルーターは実質的に基本的なスイッチと化し、中央のコントローラーが定めるルールに従ってネットワークトラフィックを転送する。

　モニタリングの観点で見ると、パケットごとの統計が各転送要素から中央のコントローラーに送信されることになる。「これで侵入検知システム（IDS）をあらゆる転送要素に応用することが可能になる。結果としてネットワークを横断するデータの流れを全て分析できる」とフランシス氏は言う。

　これにはサーバからサーバへのトラフィックとクライアントからサーバへのトラフィックが含まれ、固定型のネットワークに比べて包括的なモニターが可能になる。

需要への対応

　SDNは動的なネットワークを使ってデータの流れをルーティング命令から切り離し、変化するワークロードの需要に組織が対応できるようにする。

　Ovumの調査ディレクター、マキシン・ホルト氏は「この分離によってセキュリティポリシーをデータの流れに直接適用できるようになる」と解説する。

　Airbus CyberSecurityのフランシス氏は言う。

　「ルーティングコントロールはサービスタイプ（ポート）やアドレスを含むパケットヘッダに基づいてルールを定義するので、インシデントや攻撃に応じて動的に変化するネットワークゾーニングを設定できる」

　ISFのハーケン氏は「SDNはマルウェア感染をネットワークの一区画や一部分にとどめることができる。だが不正なコードが重要なサービスに影響を及ぼす事態は阻止できないかもしれない」と指摘する。

　SDNとIDSの組み合わせによるセキュリティコントロールと並行して、セキュリティ管理者はアプリケーションレベルでセキュリティをカプセル化する機会も手にしている。

ネットワークアプリケーションのコンテナ化

　コンテナはアプリケーション開発者にとって、OSを従来型の仮想マシン（VM）で運用することに伴う大フットプリントを避ける手段になる。これによってアプリケーションの移植性も向上する。

　コンテナは特定のアプリケーションの実行に必要なライブラリや機能で構成される。コンテナで実行されるアプリケーションは、コンテナ化されたアプリケーションと呼ばれる。さらにアプリケーションを解体して、複数のコンテナに機能コンポーネントを分割して実行できるようにし、暗号化されたリンクを介して互いに通信できるようにすることも可能だ。

　「コンテナはセキュリティポリシーを適用する形でワークロードをパッケージ化でき、同時に移植性も確保される。コンテナを暗号化して、情報の保護に利用することも可能だ」（ホルツ氏）

　「コンテナはセキュリティのために開発されたものではない。セキュリティ機能はまだ全般的には成熟していない。それでもアプリケーション間およびアプリケーションとOSの間の分離が実現する」（フランシス氏）

　「コンテナは、その実行をコントロールする権限を与えることも可能で、アップデートやロールバックも簡単にできる。アプリケーションは必要とするサービスしか持たず、細かいパーミッションを設定できることから、攻撃表面は小さくなる」（同氏）

　「それぞれのアプリケーションは自己完結型になる。つまり、不正なコードが同じ物理マシンあるいはVMで他のアプリケーションやデータにアクセスすることはできない」（ハーケン氏）

　コンテナはDevOpsと組み合わされることが多く、この2つはアジャイルで変化の速いITの展望に適している。コンテナの中の不正なコードは速やかに隔離できる。

　「不正なコードがデータへのアクセスや抽出・改ざんを試みることを想定して、暗号化のような従来のコントロールを実装し、機密性や情報資産の正統性を保つ一助とすることもできる」とハーケン氏は話す。

ネットワーク分離とアプリケーションパーティショニング

　サイバーセキュリティの課題や外部からのプレッシャーが増す中で、(ISC)2の欧州、中東、アフリカ担当サイバーセキュリティディレクター、メリージョー・デレーウ氏は、IT資産にエアギャップ（訳注）を実装することが非常に重要になったと指摘する。それは物理的な対策のこともあれば、ソフトウェア抽象化レイヤーの形態を取ることもある。

訳注：セキュリティを確保したいコンピュータやLANをインターネットなどから物理的に隔離すること。

　ハーケン氏によると、玄関口を厳重にして内部の安全を守るという考え方をペリメータレスネットワークに当てはめることはできない。つまりネットワークインフラの可視化と管理が極めて重要になる。

　Foresight Cyberのマネージングディレクター、ウラジミール・ジラセック氏によると、ゼロトラストネットワークとソフトウェア定義データセンター、コンテナ化のパラダイムは、自動化と資産管理、自己修復ポリシー、アプリケーションパーティショニングを通じて極めて高いレベルのセキュリティを実現する。

　だがどんなITやサイバーセキュリティにも言えることだが、特異な技術を不慣れで気まぐれな担当者がうかつに運用すれば、失敗は目に見えている。

　「企業が先端技術の恩恵を受けるためには、自分たちのプロセスを再考し、可能な限り人為的な要素を取り除く必要がある。特注のものではなく、業界標準への移行を進めることによってセキュリティポリシーを考え直し、新技術の使用と管理、モニターについて担当者の研修を行う必要がある」

現代のコンテナ化

　モダンなコンテナは「LXD」（訳注）で実現する。LXDをサポートする単一のLinuxをホストハードウェアで実行し、このLinuxでコンテナエンジンを実行する。このエンジンがLinuxを複数のコンテナに複製し、各コンテナがLinuxアプリケーションを実行する。

訳注：LXDはLinuxで動作するコンテナシステム。「Xen」や「KVM」などのハイパーバイザーのように利用できるが、ハイパーバイザーよりもオーバーヘッドが少ない。

　BCS Security Community of Expertiseのメンバーで、情報保護コンサルタント会社Trusted Management（現Trusted Cyber Solutions）のディレクター、ピーター・ウェンハム氏によると、従来のようなハイパーバイザーとVMのアプローチと同様に、コンテナ化エンジンの構成と基盤となるLXD対応のLinuxを介して、さまざまなコンテナを相互接続することも可能なはずだという。

　「専用のサービスVMとコンテナ化されたアプリケーションを運用するメリットは、あるアプリケーションが悪質なソフトウェアに感染したとしても、基盤となるVMやLinuxカーネル、コンテナエンジン（LXD）が他のVMやコンテナを保護する点にある」（ウェンハム氏）

　仮想LANを組み合わせれば複数のネットワークを構築できる。結果的にデータの流れを隔離して、悪質なソフトウェアがネットワーク全体に拡散する可能性を縮小あるいは排除できる。

　現代のコンテナ化は自己修復機能を提供することも可能だ。ISACAの元役員で、Symantec最高技術責任者オフィスのストラテジスト兼エバンジェリスト、ラムセス・ギャレゴ氏によると、これは予防的コントロールから是正コントロールへの移行を意味する。

　例えば不正なコードがコンテナに感染するといった問題が発生しても、これで元の状態に戻せると同氏は指摘する。

　(ISC)2のデレーウ氏はこう言い添えた。「コンテナ化の成功は、全社的な普及の成否に懸かっている。組織はSDNコンテナと暗号化を組み合わせることで、無防備な状態にある会社のネットワークを不正なコードが自由に横断する事態を防止できる」

多層ネットワーク設計

　ウェンハム氏によると、多層ネットワークアーキテクチャは

• データストレージ層
• アプリケーション対アプリケーション層
• フロントエンドユーザーアクセス層
• 非武装地帯（DMZ）層

で設計できる。

　「VM／コンテナ化とSDNに暗号化が加わればデータフローの盗聴を防ぐことが可能になり、セキュリティを強化できる」と同氏は言う。

　データストアを暗号化すれば、悪質なソフトウェアによってデータが流出する事態を防止できる。ただし暗号化は万能ではない。「ファイルを暗号化するランサムウェアは、それが平文であってもそうでなくても無関係にファイルを暗号化してしまう」とウェンハム氏は指摘している。