ゼロトラストとは

 

ゼロトラストとは、IT セキュリティのアプローチの 1 つです。信頼済みのネットワーク境界は存在しないということと、ネットワーク トランザクションはすべて実行前に認証する必要があるということを前提とするものです。

 

ゼロトラストは、「信じるな、常に確認せよ」という原則に基づいており、ネットワークのセグメント化や厳格なアクセス コントロールといったほかのネットワーク セキュリティ手法に依存しています。ゼロトラスト ネットワークでは、「保護領域」が定義されます。これは、重要なデータ、資産、アプリケーション、サービス(それぞれの頭文字を取って DAAS と呼ばれます)を内部に含むものです。保護領域は重要な資産のみを含むため、通常は攻撃対象領域全体よりもはるかに小さくなります。

 

ゼロトラスト セキュリティは、企業ネットワークの境界内部のリソースは信頼できるという古い前提に取って代わり、信頼を脆弱性とみなします。信頼されたネットワーク上のユーザーは、ネットワーク内部を自由に移動したり、アクセス可能なすべてのデータを持ち出したりできるからです。

ゼロトラストが必要な理由

VMware Workspace ONE によるゼロトラスト セキュリティの実現

このダウンロード可能なホワイトペーパーでは、ゼロトラストの概要と、ゼロトラストが最新のデジタルワークスペースの重要な要素である理由を説明しています。

無償ダウンロード 

ゼロトラスト アーキテクチャでは、信頼できるネットワークを構築しようという試みはいっさい行われません。信頼という考え方は完全に排除されます。保護領域が決定したら、ネットワーク トラフィックがその領域の境界をどのように通過するか、どのユーザーが保護対象の資産にアクセスするかを知り、使用されるアプリケーションと接続方法のカタログを作成することで、データを保護するためのセキュアなアクセス ポリシーを作成して適用します。このような依存関係を理解することで、保護領域の近くにコントロールを配置して、マイクロ境界を作成できます。これには通常、セグメント化ゲートウェイと呼ばれる次世代ファイアウォール(NGFW)が用いられます。これは正当なユーザーやアプリケーションからの既知のトラフィックだけを許可します。NGFW はトラフィックに対する可視性を提供し、「だれが、なにを、いつ、どこで、なぜ、どのように」というキプリング メソッドに基づくアクセス ポリシーを定義することで、アクセス コントロールを適用します。これにより、マイクロ境界を通過できるトラフィックを決定し、認可されていないユーザーやアプリケーションを内部に入れないことで、機密データを保護します。


従業員の仕事環境は分散、リモート化しているため、ゼロトラストは特定の場所に依存しません。資産とユーザーは任意の場所に存在できます。オンプレミスでも、1 つまたは複数のクラウド内でも、エッジでも、従業員の自宅でも、IoT デバイスとしてでもかまいません。

 

ゼロトラストの発案者

ゼロトラストを最初に提唱したのは、Forrester Research の VP および Principal Analyst であった John Kindervag 氏です。同氏が 2010 年にこの考え方のモデルを提唱したのは、既存のセキュリティ モデルが、企業ネットワーク内のすべてのものが信頼できるという時代遅れの仮定に基づいていることに気づいたからです。ゼロトラスト モデルの採用は、Google が 2013 年に自社のネットワークにゼロトラスト セキュリティ ポリシーを導入したと発表したことをきっかけに、急速に広がりました。2019 年には Gartner が、SASE(Secure Access Service Edge)ソリューションの中心的要素としてゼロトラストを挙げています。

 

 

ゼロトラスト アーキテクチャの実現方法

ゼロトラストは複雑で費用がかかると思われがちですが、実際には既存のネットワーク アーキテクチャが利用でき、全面的なアップグレードは不要です。ゼロトラスト自体を実現する製品はなく、ゼロトラストのアーキテクチャや環境に適合する製品と、適合しない製品があるだけです。

 

ゼロトラスト アーキテクチャの導入と維持には、2010 年に Forrester が発表した簡単な 5 段階の手法が使用できます。

  1. 機密データおよびアプリケーションを含む保護領域を特定します。Forrester では、公開、内部、機密というカテゴリを使用する単純な 3 クラスのモデルを推奨しています。保護を必要とするデータは、マイクロ境界内部にセグメント化します。これらは、相互にリンクすることで、より広範囲のゼロトラスト ネットワークを構築することができます。
  2. すべての機密データのトランザクション フローをマッピングして、データがユーザー、アプリケーション、およびビジネス パートナーや顧客との外部接続の間をどのように移動するかを調べます。これにより、ネットワークおよびシステム オブジェクトの依存関係を明らかにして保護できます。この作業により、データ フローを最適化して、全体的なパフォーマンスとセキュリティを改善することも可能です。
  3. 各マイクロ境界について、データとトランザクションが企業全体(および外部のパートナー)を通じてどのように流れるかに基づき、ゼロトラスト アーキテクチャを定義します。これは、Software-Defined Network(SDN)とセキュリティ プロトコルに基づき、物理または仮想 NGFW を使用して実現できます。
  4. ネットワーク設計が完了したら、ゼロトラスト ポリシーを作成します。多くの組織では、キプリング メソッドが用いられています。これは、ポリシーとネットワークに関する「だれが、なにを、いつ、どこで、なぜ、どのように」を考慮する手法です。これにより、きめ細かいレイヤー 7 適用ポリシーを実現して、既知の認可されたアプリケーションやユーザーだけに保護領域へのアクセスを許可することができます。個人用デバイスは、企業所有でも BYOD でも、すべて安全でないとみなされます。
  5. 自動化、監視、保守を通じて、周辺の活動を監視し、異常なトラフィックが流れていないかどうかを判定します。異常なアクティビティが起きている場所を見つけ、周辺のすべてのアクティビティを監視します。ログ トラフィックの検査と分析を自動化して、運用に影響せずにデータが移動できるようにします。

 

 

ゼロトラストの中心原則

「信じるな、常に確認せよ」です。ゼロトラストの中心原則は、ネットワーク内のすべてのものが安全であるという時代遅れの信念を捨てることです。作業環境の変化、あらゆる場所にコンポーネントが存在する可能性があるマイクロサービスベースのアプリケーションの普及、ビジネス プロセスでのコラボレーションの増加によって、安全な境界はもはや存在しなくなっています。テレワーカーは、たとえ VPN で接続されていても、ファイアウォールの内部にいるわけではありません。そして、安全なデバイスは存在しません。スマートフォンもデスクトップも安全ではないのです。

 

ゼロトラストは、テクノロジーでも製品でもありません。それは、ビジネスにとって重要な資産を、覗き見やマルウェア攻撃から保護する手段です。ゼロトラストを実現するための製品としては、NGFW、多要素認証、マイクロセグメンテーションおよび最小限の権限の原則が挙げられます。

 

ゼロトラストのためのアプローチやテクノロジーは 1 つではありません。アーキテクチャは、保護領域のサイズや結果として生じるマイクロセグメンテーションによって異なります。設計者は、対象のアプリケーション、データベース、およびその他のリソースのユーザー体験に、ゼロトラスト ポリシーがどのように影響するかを考慮する必要があります。

 

ゼロトラストを採用する企業は、すべての資産の保護方法を再評価する必要があります。保護が行われる場所が、これまでのネットワーク境界から、保護領域内の個々のシステムやアプリケーションに実質的に移動するからです。ゼロトラストでは、要求がどこから来たか、利用しているネットワークが安全かどうかを判定するのではなく、特定のユーザーやデバイスを認証することで、実際にそのユーザーやデバイスであることを確認します。この場合、ほかの認証に基づいてデバイスを信頼する機能も必要になります。たとえば、既知のスマートフォンの場合、正しいユーザー ID とパスワードが入力されれば、トークンを必要としないといった判断です。

 

ゼロトラストがもたらす課題として、アクセスが制限され、これまで仕事に必要がなくても気軽に使っていたアプリケーションが使用できなくなるため、ユーザーからの抵抗が生じる可能性があります。このため、導入の最初と新規ユーザーのオンボーディングの際に、ゼロトラスト ネットワークの必要性とメリットに関する適切な教育とトレーニングを行うことが重要です。

 

 

テレワーク環境のセキュリティに対するゼロトラストの役割

コロナウィルスの世界的パンデミックにより、自宅で仕事をする従業員の数が大幅に増えました。多くのアナリストは、脅威が去った後でも、引き続き多くの組織で、仕事のために出勤する必要がない従業員の在宅勤務(WFH)が推進されると予想しています。

 

リモートでシステムにアクセスするユーザーが増えるにつれて、テレワーカーやそのデバイスに対するサイバー攻撃や、テレワーカーを通じた企業システムへの攻撃も増えると予想されます。

 

このため、テレワーク化の進展により、企業ネットワークでのサイバー犯罪やランサムウェアのリスクは増加します。

 

在宅勤務をする従業員の増加に伴い、テレワーカーに対する、あるいはテレワーカーを通じた攻撃も増えるでしょう。サイバー犯罪者は、増加するテレワーカーを好適なターゲットとして狙っています。このため、企業ネットワークとデータに対するリスクは通常よりもはるかに増加しています。多くの組織が、ゼロトラスト セキュリティ モデルをすでに導入しているか、導入を計画しています。その目的は、すべてのユーザーと、ユーザーがアクセスに使用するデバイスを認証するとともに、各ユーザーの権限を、それぞれの仕事に必要な最小限にまで減らすことです。

 

これにより、セキュリティ スタックのほとんどの部分で従業員の責任が減少します。ゼロトラストでは、従業員は安全が証明されない限り本質的に安全でないとみなされるからです。小規模な組織でも、たとえば内部と外部を問わずすべてのユーザーに多要素認証を強制することで、ゼロトラスト セキュリティ ポリシーを導入できます。

 

テレワーク従業員の増加に対処する必要がある多くの組織は、Web ベースのゲートウェイ フロントエンドを使用してこれを実現しています。保護領域へのすべてのアクセスは、発生元を問わず、このゲートウェイを通る必要があります。ゲートウェイは、認証を実行したり、アクセスを許可する前に、デバイスや OS に最新のセキュリティ パッチが適用されていることを確認したりする場合もあります。

 

在宅勤務の従業員は通常複数のデバイスを仕事に使用しているので、ゼロトラスト セキュリティはデバイスやネットワークに依存しないことが重要です。テレワーク化の流れは止まることはないので、ゼロトラストが今後も普及し続けるためには、新しいデバイスや不明なデバイスでもセキュアな接続を実現できる能力が鍵となります。

 

 

 

ゼロトラストに関連する VMware の製品、ソリューション、リソース

VMware Horizon 7

VMware Horizon® 7 は、オンプレミス、クラウド、ハイブリッドクラウド環境、またはマルチクラウド環境で、仮想デスクトップとアプリケーションを単一のプラットフォームからエンドユーザーに配布し、容易に管理できるようにします。

VMware のゼロトラスト セキュリティ

VMware Workspace ONE は、ゼロトラストの条件に基づいたアクセス コントロールと業界をリードする最新の管理機能を組み合わせて、IT 部門がユーザーのデジタルワークスペース、アプリケーション、エンドポイントをプロアクティブに保護できるよう支援します。

内部ファイアウォールによる攻撃対象領域の縮小

VMware の Service-Defined Firewall は、マルチクラウド環境全体で East-West トラフィックとワークロードを保護する、専用内部ファイアウォールです。

エンタープライズ ネットワークとセキュリティの新しいアプローチ

エンタープライズ ネットワークとセキュリティを次のレベルへと進化させるには、データセンターからクラウド、エッジに至るまで、分散環境のあらゆる要素をソフトウェア レイヤーで接続することが必要です。

VMware のテレワーク ソリューションとテクノロジー

VMware は、セキュアで拡張性に優れたデジタル時代の最先端を行くテクノロジーを提供しています。現在、そしてこれから求められるテレワークに必須なソリューションを実現し、お客様の柔軟な働き方の実現を支援します。