全ての通信を信頼しない「ゼロトラストセキュリティ」への注目が集まっている。しかし、企業が実際に注力しているセキュリティ対策は、実際のゼロトラストからはほど遠い。なぜなのか。
全ての通信を信頼しない「ゼロトラストセキュリティ」(以下、ゼロトラスト)は、ネットワークが既に侵害されていることを前提とするセキュリティモデルだ。一方で、多くの企業におけるゼロトラストの取り組みは、その理念を十分に反映しているとは言い難い。コンサルティング企業Enterprise Management Associates(EMA)が2024年11月に発表した調査結果によれば、企業はゼロトラストの基本原則を軽視している状況が垣間見えた。こうした乖離はなぜ起きてしまうのか。ゼロトラストの実践にはどのような課題があるのか。
EMAは企業でゼロトラストに携わっているITおよびセキュリティの専門家270名を対象にアンケートを実施し、ゼロトラストの取り組みに影響を与える要因を調査した。その結果、企業はラテラルムーブメント(攻撃拡大)対策よりも、リモートアクセスのセキュリティ確保を重視する傾向が明らかになった。
米国国立標準技術研究所(NIST)が刊行したゼロトラストに関するレポート「NIST SP 800-207 Zero Trust Architecture」によれば、権限を持たないユーザーからの攻撃を防ぐには次の3点が重要だ。
ゼロトラストでは、不正アクセスを防ぐために、ネットワーク接続要求を厳密に認証および承認する必要がある。従来の境界型セキュリティでは、ファイアウォールなどで区切った内部のネットワークを「信頼ゾーン」として扱い、信頼ゾーン内の従業員やデバイスの通信からさまざまなリソースへのアクセスを許可していた。これに対して、ゼロトラストでは信頼ゾーンを廃止することでラテラルムーブメントを防止すると同時に、ネットワークの遅延や転送速度などパフォーマンスの劣化を最小限に抑えることを目指している。
こうしたゼロトラストの考え方は、従来の境界型セキュリティの限界にも起因している。以下のような理由から、境界型セキュリティは効果が乏しくなっている。
そのためNISTは、「信頼ゾーンの廃止」と「ラテラルムーブメントの制限」をゼロトラストの原則として掲げており、これを軽視するアーキテクチャは、最終的にはセキュリティのリスクを軽減できないと警鐘を鳴らしている。
EMAの調査結果では、企業のITチームやセキュリティチームはユーザーの認証とアクセスの承認に関心を寄せているものの、ネットワークの内側で起こる事象は十分に調査していない傾向が示されている。
不正なリモートアクセスの排除を優先している企業では、ラテラルムーブメントを抑制することは難しい傾向にある。実際に、「不正なリモートアクセスの排除を優先する」と回答した担当者は、「ネットワーク全体でのゼロトラストの実現は難しい」と考えていることも明らかになった。
ゼロトラストの仕組みと、大半の企業におけるゼロトラストの導入実態との間に食い違いが起きる要因は、主にマーケティングの問題にある。ゼロトラストの専門家は、ゼロトラストは企業が購入してインストールできる製品ではなく、アーキテクチャの概念だと指摘することが多い。だが、ベンダーが販売するのは製品であり、アーキテクチャそのものではない。
リモートアクセス技術の「ZTNA」(Zero Trust Network Access)製品を販売するベンダーの多くは、「VPN」(仮想プライベートネットワーク)などの従来型のリモートアクセス技術を置き換える手段として自社製品を提案し、それによってゼロトラストを実現できると売り込んでいる。しかし、ベンダーが、ZTNAはゼロトラストの原則に沿っている、とうたっているとしたらそれは正確ではない。ZTNAがネットワーク内側の信頼ゾーンに与える影響は限られており、ゼロトラストの全体的なアプローチを包含するものではないからだ。
そのため、企業にとってはネットワークの内側の信頼ゾーンを減らす取り組みが依然として必要だ。ゼロトラストは継続的な取り組みであり、製品を購入すればそれで終わりというものではない。
ゼロトラストの要素の一つであるマイクロセグメンテーション(ネットワークを複数のセグメントに分割する技術)の実装方法は複数ある。
一例として、数台のネットワークセキュリティアプライアンスを横方向のゲートウェイとして使用する方法がある。これらのゲートウェイにきめ細かいポリシーを用意し、ネットワークセグメント間の横方向の通信を制限する。
マイクロセグメンテーションを提供するベンダーに目を向けるのも一つの手だ。データセンターやクラウドサービスにハイパーバイザーベースの機能を利用してオーバーレイ(既存のネットワークに仮想的なネットワークを構築する技術)を提供するベンダーが存在する。マイクロセグメンテーションを強制するためにサーバやクライアントのデバイスにセグメンテーションエージェントを提供するベンダーもある。
しかし、これらのアプローチは管理が複雑になりやすい。ネットワーク構成は変化し続けるという性質を考えると、運用が難しくなる可能性がある。EMAの調査では、マイクロセグメンテーションは頻繁な変更や例外対応が発生するため、自社のリソースに負担が掛かると考える企業が存在する。「マイクロセグメンテーションの設計と実装は複雑過ぎる」と回答した企業もいる。企業の実情としては、ラテラルムーブメントを軽視しているのではなく、マイクロセグメンテーションの実装が難しいことから後回しにしている状況が伺える。
さらに言えば、本稿で挙げたポイントのみではゼロトラストの原則を完全に体現することはできない。ゼロトラストを実現するには、認証、承認、信頼ゾーンの縮小だけでなく、IDサービスのモダナイゼーション、ユーザーやネットワークの継続的な監視と分析も必要だ。
企業がラテラルムーブメントを最小限に抑えるためには、ゼロトラスト関連の製品を提供するベンダーもこれらの課題に対処する必要がある。さらに、企業が講じる対策が部分的・断片的なものに終始せず、ゼロトラストの原則全てに確実に対処できるように、ゼロトラストのマーケティングには慎重な姿勢で取り組むべきだ。
米国Informa TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
