ITセキュリティとITリスクの世界

皆さんは、ゼロトラスト・ネットワークと言う言葉を聞いたことがあるでしょうか？

もちろんと言う方は、おそらくネットワーク関連のセキュリティ周りの人でしょう。

 

ゼロトラスト・ネットワークの考え方自体は、2010年頃にフォレスタリサーチのキンダーバーグ氏の言い始めたことの様に記憶しますが、日本で話題に上る様になったのは、2018年頃だったと思います。

 

一言で言えば「Verify and never trust」と言うことなのですが、「ネットワーク上の全てにおいて、検証なしに信用はしない」と言う意味です。
決して、ファイヤウォール単体の話ではありません。
次世代ファイヤウォールを入れればおしまいと言うわけではないのです。

 

大まかにユーザーの認証（SAML 2.0認証が多い）から始まって、使用している端末機器（パソコンとか、タブレット、スマートフォン、複合機などネットワークの末端にいるものすべて）の正当性の確認（証明書の確認）から、利用できるサービスの限定、ネットワークのセキュリティ区分による分割、此処のネットワーク機器をどの様に守るのかまで、非常に幅の広いネットワークと個々の機器のセキュリティ課題全てと、ログの監査、機器の正当性担保のための監査、人間系の不正操作への対処まで含む概念と考えていただければ、そんなに外れていません。

 

見落としがちなのが、前回書いた「性弱説」の観点です。
「性弱説」について詳しくは前回の記事に譲るとして、今まで日本企業のほとんどが境界型のセキュリティ概念で、ネットワークを組んでいました。
そのために一度境界を跨いで侵入したウイルスや、悪意を持った人間にはやりたい放題でした。これをマイクロセル化として、個々の機器にインターネット上に晒されてる状態と同じ注意を持って、個々でもセキュリティー上のハードニングをしようと言うのが実態のイメージに近いです。

 

ファイヤウォールで守っていても、境界内のネットワークもインターネット上に晒されていると同じ心構えでシステムのお守りをするには、どうしたら良いのかと書けば、もう少しイメージしやすいでしょうか？
あるいは、ギリシア神話で言う「トロイア戦争」をイメージしてもらえると良いかもしれません。トロイア（イーリア）は、頑強な城壁と河川などの天然の要害で守られた都市だった様です。
ギリシア神話では10年にもわたって戦争を繰り返し、10年間城壁は攻勢を跳ね返し続けてきました。この城壁が所謂ファイヤウォールです。
このファイヤウォールさえ突破できれば、トロイアの陥落は造作もないと考えたギリシア側は皆様ご存知の「トロイの木馬」を作り、その中に兵士を隠すことで突破します。このトロイの木馬の中に何か隠されているのではないかと、検査して事故を未然に防ぐことをしないのが、今までの境界防御型の考え方でした。

 

城壁を越えたものは、それが本当に大丈夫なのか？

城壁の内部でも要所要所に関所を置いて確認をすべきではないのか？。
これがゼロトラストネットワークの考え方（ゼロトラストアーキテクチャ）です。

 

ところで、現在境界型セキュリティで運用されているシステムやネットワークを、ゼロトラスト・ネットワーク化するのは、途方に暮れるくらい非常に大変です。
第一に頻繁に発表されるセキュリティパッチを、個々の業務システムに当てるだけで不可能に近いくらい困難で、非常に大変なのです。
また内部ネットワークで制限されていなかったがために、本来なら認めるべきでない通信プロトコルをバンバン使っています。

 

こう言う状態なので、ゼロトラスト・ネットワーク対応した端末側のネットワークと、ゼロトラスト・ネットワーク対応した業務システムのゾーンと、ゼロトラスト・ネットワーク化が困難な現行業務システムとの通信をどの様にするのかが一番大きな課題となります。
またゼロトラスト化について来れないアプリケーションベンダ（結構名前の聞こえた大手のほとんど全て）をどうなだめすかすのかとか、パッケージの外側に作った拡張部分の稼働確認とセキュリティをどの様に担保するのとか、最終的に画面転送（DVI）でやるのかとか、コストがかかることばかりです。
しかしながらこの対応をしないとネットワークに侵入された際に、桁が違うコスト負担と、レピュテーションリスクと言う経営を危うくするリスクがあるので、やり切るしかありません。

 

ギリシア神話にあるシシュポスの神話（アルベール・カミュが書いた事で、有名になっている）の様に私の属するリスクマネジメント系の人間は、毎日「岩を押し上げ続ける」苦行をするしかないのですが、その一端がこのITセキュリティの世界なのです。