従来型ネットワークセキュリティからの解放

高度にネットワーク化されたビジネスは、従来型のネットワークセキュリティを圧迫する。本稿では境界を打ち破る企業ネットワークについて解説する。

[Cliff Saran，Computer Weekly] PC用表示関連情報

LINE

Hatena

　ネットワークにはもはや、確固たる境界（ペリメータ）が存在しなくなった。企業はパートナーとの緊密な関係を確立する必要に迫られ、私物の端末を仕事に使う従業員が増え、ソフトウェアがビジネスエコシステムを相互に結び付ける。

　従来型のネットワークセキュリティは確固たる境界とアクセスコントロールに依存するため、この動的なビジネス環境にはふさわしくなくなった。

　ネットワークはペリメータレス化が進み、ネットワークに厳重な障壁を築くことよりも柔軟な接続性が求められている。ネットワーク内部のセキュリティ対策は、何も信頼しないゼロトラストでなければならない。

　ペリメータレスセキュリティについて英Computer Weeklyが取材した専門家は、そうしたアーキテクチャの実現は容易ではないという見解で一致している。だがソフトウェア定義ネットワーク（SDN）とコンテナで確固たる基盤を構築すれば、ペリメータレスセキュリティ戦略を実行できる。

未来はペリメータレスネットワークにあり

　Information Security Forum（ISF）の上級アナリストであるギャレス・ハーケン氏によると、ペリメータレスネットワークとゼロトラストセキュリティは、一部の超巨大組織にとっての未来を表している。Googleの「BeyondCorp」はそうしたネットワークアーキテクチャの好例だ。

動的なネットワーク構成

　ペリメータレスセキュリティは、商取引を加速させる上で不可欠になるとの見方もある。だがTurnkey Consultingのディレクター、サイモン・パーシン氏は「ネットワークの境界喪失は、ダメージを防止する技術と組み合わせなければならない」と強調する。

　ペリメータレスセキュリティにおいて、ネットワークの設計や動作はIT資産が不正なコードなどの脅威にさらされる事態の防止を目的としなければならない。パーシン氏によると、SDNは実行が許可されているプロトコルを認識することによって、ユーザーがそれぞれの役職に求められる正規のタスクの実行を許可する。SDNはネットワークアーキテクチャの内部で、転送プレーンとコントロールプレーンを分離する。

　Airbus CyberSecurityの最高技術責任者パディ・フランシス氏によると、ルーターは実質的に基本的なスイッチと化し、中央のコントローラーが定めるルールに従ってネットワークトラフィックを転送する。

　モニタリングの観点で見ると、パケットごとの統計が各転送要素から中央のコントローラーに送信されることになる。「これで侵入検知システム（IDS）をあらゆる転送要素に応用することが可能になる。結果としてネットワークを横断するデータの流れを全て分析できる」とフランシス氏は言う。

　これにはサーバからサーバへのトラフィックとクライアントからサーバへのトラフィックが含まれ、固定型のネットワークに比べて包括的なモニターが可能になる。