ゼロトラスト・セキュリティ・アーキテクチャ

※ このBlog 記事は、こちらの記事を翻訳した内容を元に作成しています。

この「イントロダクション」は、5 部構成のブログシリーズの、第1部です。

第1部: 「イントロダクション」　へ

第2部: 「ネットワークのマイクロセグメンテーション」　へ

第3部: 「ソフトウェア定義境界（SDP）」　へ

第4部: 「ID認識型プロキシ（IAP）」　へ

第5部: 「アカマイのゼロトラスト・アプローチ」　へ

イントロダクション～はじめに

　今日、ほとんどのエンタープライズ組織は、基幹業務遂行をサポートするために何年も前に開発された何百ものアプリケーションを運用しています。境界内の誰もが、従来の認証スキームを使ってアプリケーションやリソースにシングルサインオンでアクセスする、という前提でそれが行われています。これらのアプリケーションを開発した人々は、将来これほど急速にユーザー多様化が起こることや、アクセスに関する急速なパラダイムシフトを予測することができなかったため、技術の進歩が市場にもたらす必要条件を想定できませんでした。

　現代の労働力においては、高度な分散化・モバイル化が進んでいます。ユーザーは企業内ネットワークに常駐するだけでなく、家からも、また移動中も、基本的にどこからでも仕事をします。アプリケーションもデータも、クラウド内の企業内ネットワークの外に存在することがますます増えてきます。  

　ユーザーとアプリケーションの両方が有効に機能するために、どの場所からでもどの場所にでも一様なユーザーエクスペリエンスを維持するように努めなければなりません。 ユーザーは、オンプレミスであれクラウドであれ、あらゆる種類のアプリケーションにシームレスかつ安全にアクセスできる必要があります。アクセスのニーズに対処するためには、組織は従来の境界とVPNを超えたその先を見据える必要があります。 

「ゼロトラスト」とは何か？

　「ゼロトラスト・ネットワーキング」という言葉は、2010年に初めて、Forrester社のアナリスト、John Kindervag氏により提唱されました。「ゼロトラスト・セキュリティ」を中心とする概念は過去数十年間、個々のコンポーネントは存在していました。ネットワークセグメンテーション、ファイアウォール、証明書、ACL、会社所有デバイス、VPNなどがそうです。しかし、「ゼロトラスト」というフレームワークは、従来の境界セキュリティモデルを一新するものです。ネットワークアクセスを構築し、セキュリティを確保する代わりに、適切な人にデータを安全に配信することに焦点を当てるという考え方です。

　主たる概念は、ユーザーがネットワーク上のどの場所にいるかに基づいて決して信用してはならない、ということです。「内部」に位置するからといってそのユーザーまたはデバイスが信用できる、という概念はなくします。その代わりにくるのが、ネットワークリソースにアクセスするすべてのリクエストは認証されたうえで認可される必要がある、という概念です。

　この概念を実現するには様々な方法があります。例えばGoogle社では、社内のBeyondCorpセキュリティモデルを公表し、ゼロトラスト概念への認識推進を行ってきました。これにより、同社従業員のほとんどがVPNを使用しなくなり、（同社企業ネットワークを含む）すべてのネットワークをデフォルトで基本「信頼できないもの（Untrusted)」として取り扱っています。

アーキテクチャの概要

　Google社のゼロトラスト・アーキテクチャは、アイデンティティ認証プロキシ（IAP）モデルです。このモデルはまた、弊社Akamaiが自社内セキュリティのために採用するアプローチの一部であり、Enterprise Application Access (EAA) という弊社クラウド製品を用いています。Akamai のゼロトラスト・アーキテクチャは、アイデンティティとアプリケーションのアクセスだけでなく、次の点についても網羅します。

- 多要素認証によるシングルサインオン   

- アプリケーションを隠したままでそれらアプリケーションのパフォーマンスを向上させる   

- マルウェアやフィッシングからエンドユーザーを保護

　これはすべて、インラインデータ検査、ボット管理、ウェブ・アプリケーション・ファイアウォール（WAF）、そして高度な脅威の保護によって、アプリケーションへのアクセスを確保すると同時に、行っています。詳細はこちらの、Akamai の ゼロトラストのセキュリティへのアプローチをご覧ください。

　IAPモデルのほかには、さまざまなベンダーによって推進されたり、エンタープライズ企業によって開発されている、2つの主要なアーキテクチャがあります。

　ゼロトラストへの代替アプローチの1番目は、「ネットワークのマイクロセグメンテーション」です。このモデルは、次世代ファイアウォール（NGFW）を使い、ネットワークをより小さいセグメントに分割するという、従来のファイアウォールのアプローチを拡張する考えです。NGFWで定義されたルールに基づいてアプリケーションや他のリソースへのアクセスを制御できます。ファイアウォールのベンダーは、セグメンテーションゲートウェイ（マイクロ境界内でさまざまなセキュリティ機能を実行するハードウェア）を導入し、マイクロセグメンテーションとゼロトラストに取り組んでいます。

　代替アーキテクチャの2番目は、「ソフトウェア定義境界（SDP）」です。このSDPモデルは、仮想化技術やその他のソフトウェア定義のアーキテクチャの概念を借りたものです。コントローラーがクライアントとゲートウェイ間の信用されたブローカーとして機能し、ネットワーク境界内のゲートウェイ上で終端するトランスポート層セキュリティ（TLS）トンネルを柔軟に確立し、アプリケーションへのアクセスを可能にします。

　これらの3つのアーキテクチャのそれぞれの概要を知ることは、セキュリティロードマップの策定に取り組んでいらっしゃる組織にとって有益だと思います。今後3回にわたり、シリーズとして、記事を投稿しますので、どうぞお楽しみに。