VPN不要のアクセス制御へ Akamaiがたどり着いた「ゼロトラスト」の本質:現場で成功するゼロトラスト実装ガイド【後編】
サイバー攻撃の被害を契機に、ゼロトラストの実装に乗り出したAkamai Technologies。初期の試行錯誤から、VPN不要のアクセス制御実現に至るまでの道のりは、段階的な導入と柔軟な発想の重要性を示している。
社内外の通信とユーザーを常に検証し、必要最小限の権限だけを与えるという考えに基づくセキュリティモデル「ゼロトラスト」。前編「『ゼロトラスト』を根付かせるには? 実装を成功させる“7つのステップ”」では、ゼロトラストの基本的な考え方から、専任チームの立ち上げや実装アプローチの選定、段階的な導入に至るまで、導入を成功させるための7つのステップを紹介した。
後編となる本稿は、実際にゼロトラストを導入した企業の一例として、コンテンツ配信ネットワーク(CDN)やセキュリティツールを手掛けるAkamai Technologiesの例を取り上げる。セキュリティ被害をきっかけに模索を始めた同社。どのように試行錯誤を重ねてゼロトラストを実現したのか。
被害をきっかけにゼロトラストを実装
米マサチューセッツ州ケンブリッジに本社を置くAkamai Technologies(以下、Akamai)は、2009年に発生したサイバー攻撃によってデータ侵害を受けた。「オーロラ作戦」と呼ばれるこの攻撃を受けたことを契機に、ゼロトラストの導入検討を開始した。
「当時は指針となるロードマップがない中で、われわれは企業ネットワークとユーザーをどう守るかを模索していた」と、Akamaiの元CSO(最高セキュリティ責任者)アンディー・エリス氏は振り返る。
Akamaiは当初、マイクロセグメンテーションを用い、社内ネットワーク内の横断的な感染拡大(ラテラルムーブメント)を抑制しようと試みた。しかし、通信が許可されたアプリケーション間でラテラルムーブメントが頻発し、思うように進まなかった。「バックアップサーバが全システムと通信する環境では、ネットワークを細分化するのは非常に困難だ。そこから侵害が生じる」とエリス氏は指摘する。
Akamaiのチームはまず、ドメイン管理者アカウントの保護を強化し、アクセスレベルごとに異なるパスワードを設定した。さらに、デバイス単位のハードウェア認証を実装するために標準規格「X.509」証明書の採用も検討した。
「しかしわれわれは依然としてネットワーク視点にとらわれていた。その後チームは転換点を迎え、問題はネットワークではなくアプリケーション側にある、と気付いた」。エリス氏はそう続ける。
Akamaiは、従業員が自社CDNのログインポイントから、内部アプリケーションへ安全にアクセスする方法を模索していた。その狙いは、エンドユーザー端末を企業ネットワークから完全に切り離すことにあった。エリス氏率いるチームは、ファイアウォールのポートを開放し、アプリケーションを一つずつ手動で統合し始めた。だが作業は遅く単調で、システム管理者の不満が高まっていた。
プロジェクトの途中でスタートアップ企業Soha Systemsを知り、その仮想ゲートウェイ技術を試験導入した。仕組みは、ファイアウォールとアプリケーションサーバの間にVMを挟み、アプリ側とCDNベースのシングルサインオン(SSO)サービスを接続するというものだ。
エリス氏らは、Soha Systemsのコネクターが従業員や外部委託先に対し、ユーザー単位およびアプリケーション単位で細かなロールベースアクセスを提供できることを確認した。しかもVPN(仮想プライベートネットワーク)は不要で、Webブラウザ経由のアクセスが可能だった。仮に攻撃者が認証情報を奪っても、閲覧できるのは当該ユーザーに許可された限定的なアプリとサービスにとどまる。
AkamaiはSoha Systemsの技術を採用し、最終的に同社を買収して自社サービス「Enterprise Application Access」に統合した。これにより顧客は、自社のゼロトラスト環境を構築する過程でVPNトラフィックを段階的に削減できるようになった。
「全てを一度にやる必要はない。一歩一歩の積み重ねにより、最終的にはビジネス全体を変革できるはずだ」。エリス氏はそう述べ、Akamaiのゼロトラスト導入が数年にわたる段階的な取り組みであったことを強調した。
Copyright © ITmedia, Inc. All Rights Reserved.