ゼロトラスト セキュリティは、暗黙の信頼は常に脆弱性を生むという考えから生まれた概念で、「信頼せず、常に検証する」という戦略でセキュリティを設計することが求められます。もっともシンプルな形は、ID およびデバイスの厳格な検証手順を使って IT リソースへのアクセスを制限することです。

ゼロトラスト ID（ZTI）とゼロトラスト アクセス（ZTA）によって、場所や種類を問わずすべてのデバイスやユーザーをデフォルトで信頼しないようにするとともに、ゼロトラスト ネットワーク アクセス（ZTNA）によって、検証済みのユーザーとデバイスに、ネットワーク全体ではなく限定された特定のネットワーク セグメントへのアクセスを許可します。

ゼロトラストでは、保護されたリソースへのアクセスを許可する前に、ユーザーとデバイスに対して厳格なセキュリティ制御を行います。ゼロトラストの ID 認証および認可で最小権限の原則（PoLP）を適用し、パケットが送信される前に、特定の機能に必要な最小限の権限を付与します。

このような手法が必要になった理由として、ネットワーク リソースへのアクセス方法が変化したことが挙げられます。ネットワーク境界や VPN のみによるアクセスの時代は終わりました。モバイル ユーザーが増加し、在宅勤務が普及するにつれて、ユーザーのための新しいセキュリティ手法の検討が求められていると同時に、コンテナやマイクロサービスによるコンピューティングの分散化によって、デバイス間の接続も増加しつつあります。

したがってゼロトラストでは、デバイスの ID、デバイスの健全性、ユーザー認証を組み合わせた信頼性に基づいてアクセスを許可するために、場所を問わずデバイスの ID と整合性を確認する相互認証が必要になります。

ゼロトラスト ネットワーク アーキテクチャでは、ネットワークのトポロジーや使用方法の変化に伴い深刻化してきた 2 つの弱点に対処できます。従来、ネットワーク セキュリティは、企業ネットワークの「内側」と「外側」を明確に区分する境界によって定義されていました。このアプローチでは、通常、ネットワーク境界の「内側」に存在するユーザーやデバイスに広範囲のアクセスが許可され、特定のネットワーク セグメントのデバイスから、企業ネットワークの境界内にあるすべてのネットワーク セグメントを確認できるようになっていました。

最近は、クラウドやモバイル、エッジ、IoT など、コンピューティング デバイスとアクセスが広く分散し、境界が曖昧になっているため、境界の防御はますます困難になっています。ZTNA では、ネットワーク境界の内側にあるものも外側にあるものもすべて信頼しないことを前提としているため、トランザクションと接続はアクセスのたびに認証されます。認証されると、アクセスが極端に制限されているマイクロセグメント化されたネットワークが構築されます。ゼロトラスト ID のベースとなるのは、IP アドレスではなく仮想マシン名などの論理属性です。

ゼロトラストには、ベンダーや請負業者など外部の第三者からのアクセスの制限、IoT デバイスの分離、モバイル化が進む従業員への安全なリモート接続の提供など、多くのユースケースがあります。

ベンダーや請負業者に向けたゼロトラスト

悪名高い標的型攻撃のような、「信頼できる」第三者が原因のセキュリティ侵害はこれまでにも数多く発生しています。外部組織に広範囲のアクセスを提供すると、悲惨な結果を招きかねません。ゼロトラストでは、この問題を 2 つの方法で解決します。まず、多要素認証やその他の ID およびアクセス管理（IAM）プラットフォームを使用して厳格な認証を行い、ネットワーク内でのアクセス権限を定義する許可カテゴリを各外部組織に割り当てます。さらに、セグメンテーションによって、第三者のアクセスをタスクやトランザクションを実行するうえで必要なネットワークの部分だけに限定できます。

ゼロトラストと IoT

2023 年には 150 億台近くの IoT デバイスが登場すると予測されており、IoT デバイスの成長はますますエスカレートしています。IoT デバイスはいたる所にあるため（そして多くの場合はセキュリティ機能が限られているため）、IoT によるネットワーク リソースへのアクセスを検討する際には、ゼロトラスト アプローチを採用する必要があります。たとえば、IoT デバイスをその目的のためだけに設計された単一のネットワーク セグメントに分離し、侵害された IoT デバイスのアクセスや、より機密性の高いほかのネットワーク資産への水平方向の拡散を制限することができます。

テレワーカーに向けたゼロトラスト

会社の方針やパンデミックなどの理由で、従来のネットワーク境界の外で働く従業員が増えています。ZTNA は、従業員への安全なアクセスを提供し、攻撃対象領域を縮小して、すべての従業員が VPN からでもスターバックスの公衆 Wi-Fi からでも、仕事に必要な会社のデータ、サービス、リソースに安全に接続できるようにします。

ゼロトラスト セキュリティの基本原則は、「信頼せず、常に検証する」です。場所、IP アドレス、ネットワーク アクセスの方法にかかわらず、どのようなデバイスもどのようなユーザーも信頼しません。ネットワーク上のすべてのやり取りは、発信元がどこであろうと常に検証が必要になります。また、多くのネットワークはオンプレミスのインフラストラクチャ、クラウド、リモート ユーザー、モバイル ユーザーなど相互に接続されたゾーンで構成されているため、ネットワーク アクセスは目的の達成に必要な最小限のセグメントに限定する必要があります。

VMware にとってゼロトラスト セキュリティとは、より堅牢でダイナミックな設計によってより深く包括的な信頼を確立する、最新のセキュリティ アーキテクチャを構築することを意味します。

より包括的なゼロトラスト アプローチを実現するために、VMware はゼロトラスト アーキテクチャの 5 つの柱を提供します。

1.デバイスの信頼

デバイス管理、デバイス インベントリ、デバイス コンプライアンス、デバイス認証などのソリューションを実装することにより、認可されていないユーザーがデバイスへのアクセスを取得してそのアクセスを悪用するリスクを大幅に軽減できます。

2.ユーザーの信頼

ユーザーの信頼は、パスワード認証、多要素認証、条件に基づいたアクセス、動的な評価で構成され、ユーザーが実際に認可され検証されたユーザーであることを「証明する」ことを目的としています。

3.通信/セッションの信頼

通信/セッションの信頼を確保するためには、「最小権限によるリソースへのアクセス」という原則に基づいて、ユーザーに付与するアクセス権を制限し、特定の作業を行うために必要な最小限の権限を適用します。

4. アプリケーションの信頼

アプリケーションの信頼を確保するために必要な要素として、シングル サインオン（SSO）、分離、そしてあらゆるデバイスからアプリケーションにアクセスできるようにするツールがあります。

5.データの信頼

データの信頼は、VMware のゼロトラスト モデルの最後の柱です。データの信頼を確保する戦略として、暗号化や不変性による保存データの保護、データ完全性（データの完全性を頻繁にチェック）、DLP（データ損失防止）、データの分類などがあります。

ゼロトラストの 5 つの柱はそれぞれ、可視化と分析、および自動化とオーケストレーションのアーキテクチャ層によって支えられています。

• 分析と自動化
  
  ゼロトラストの 5 つの柱は、分析と自動化に役立つ包括的なセキュリティ アプローチを提供します。この 5 本柱のアプローチに、分析と自動化のソリューションを加えることで、組織のセキュリティの状態についてインサイトに富んだデータを得ることができます。
  
  ログの探索機能、すべてのログの一元的なリポジトリ、監視のためのダッシュボード、トラブルシューティングのための統合されたコンソールなど、ゼロトラストの 5 つの柱を支えるソリューションが提供する機能によって、真の分析と自動化が実現します。
• 自動化とオーケストレーション
  
  強力なゼロトラスト ポリシーを適用するには、このより安全な環境を実現するためのプロセスとポリシーが必要です。自動化とオーケストレーションによって、冗長な手動プロセスを自動化/オーケストレーションされたアプローチに移行することで、このプロセスはより現実化しやすくなります。
  
  デバイスでのコンプライアンス エンジンの保持、API による外部プログラムとの統合、コンテキストベースのワークフローによる自動修正といった戦略はすべて、ゼロトラストへのより自動化された安全なアプローチを実現します。
  

ゼロトラストのベスト プラクティスに役立つツールやテクノロジーはいくつかあります。ここでは、ゼロトラストの導入を成功させるためにもっとも重要なものを紹介します。

• なにも信頼せず、すべてを認証
  
  すべてのデバイスが侵害されていることを前提とし、検証されていないデバイスは決して信頼しません。ZTI ツールが ID コントロールをエンドポイントにプッシュし、デバイスが最初に登録されていることを確認してから、企業リソースへのアクセスを許可します。また、デバイス登録により、アクセスを許可されたすべてのデバイスの識別と確認が容易になり、デバイスが ZTNA のセキュリティ要件を満たしていることを確認できます。


• ネットワークのマイクロセグメンテーションの採用
  
  ゼロトラスト ネットワーク アーキテクチャでは、リクエストの都度、ネットワーク内の小さなセグメントへのアクセスをその 1 回に限り許可します。またその許可は、各ネットワーク セグメントへのアクセスの認可が検証されたユーザーにのみ付与されます。ユーザーおよびデバイスの認証は、マイクロセグメントのレベルで行われます。各マイクロセグメントへの接続は、「Need-to-know」モデルに基づいて許可されます。DNS 情報や内部 IP アドレスのほか、内部ネットワーク インフラストラクチャの可視ポートの情報も転送されません。

ゼロトラスト アーキテクチャ内の各セグメントにアクセスするには、ユーザーは ID およびデバイスの厳格な検証手順にパスする必要があります。すべての通信セッションは、セッションの確立に先立って AAA（認証、認可、アカウンティング）が必ず行われます。

ゼロトラスト ID を実現するためには、ネットワーク ID を論理属性に基づくものにしなければなりません。この論理属性は、多要素認証（MFA）、Transport Layer Security（TLS）証明書、アプリケーション サービス、論理ラベル/タグの使用などにより提供されます。

• 最小権限の原則（PoLP）に基づくアクセスの制限
  
  PoLP では、特定のタスクを実行するために必要な最小限の権限とアクセスを付与します。読み取りアクセスしか必要としないユーザーに、読み取り/実行のアクセス権は付与しません。
  
  PoLP はユーザーとデバイスに等しく適用されるため、IoT デバイス、コネクテッド アプリケーション、マイクロサービスにも、トランザクションを完了するために必要な最小限の権限レベルのみを付与する必要があります。
  
  
• 多要素認証（MFA）の導入
  
  MFA はコンシューマー バンキングや金融分野の Web サイトで普及していますが、ゼロトラスト環境の一部としても最適です。MFA では、原則として、ユーザーは以下のうち少なくとも 2 つを提示する必要があります。


• 知識情報。パスワード、PIN、フレーズなど、ユーザーが記憶している秘密の情報です。
• 所持情報。スマートフォンやスマート カードなど、ユーザーが所持するデバイスやトークンで 1 回限り使用可能なコードを生成または表示し、知識情報と一緒に提示します。
• 生体情報。生体情報には、指紋、顔、網膜などのスキャンが含まれます。

2 つ（またはそれ以上）の要素でユーザーが本人であると認められた場合にのみ、認証されます。

ゼロトラスト ネットワークを維持するために、IT 部門は以下を行う必要があります。

• ネットワークにアクセスするすべてのユーザーおよびデバイスと、それらのユーザーやデバイスが業務上必要とするアクセス権限について、明確に把握します。
• ネットワーク セキュリティ ポリシーを常に最新の状態に保ち、ポリシーの有効性を定期的にテストして、脆弱性を見逃さないようにします。
• 異常な動作や不審な動作がないかネットワーク トラフィックを常時監視するなど、コンプライアンスを継続的に監視します。
• トラフィック フロー レベル、およびプロセス/データ コンテキスト レベルでの可視化により、通常のトラフィック フローをマッピングし、不規則な通信パターンをより的確に把握します。

VMware Service-Defined Firewall を使用することで、単一の管理画面に詳細を表示し、包括的なポリシー制御を行うことができるようになります。

ゼロトラスト ネットワーク アーキテクチャを包括的に実装するためのソリューションとして、VMware は VMware Service-Defined Firewall を提供しています。VMware Service-Defined Firewall は、マルチクラウド環境全体にわたって East-West トラフィックを保護する、VMware NSX 上に構築された分散型/スケールアウト型の内部ファイアウォールです。