なぜ、今、ゼロトラストなのか ～ 企業ネットワークの変遷

なぜ、今、ゼロトラストの必要性があちこちで話されるのかをまとめた。（前編）

ゼロトラストの概念が出てから10数年が経ち、IT業界・ITセキュリティ業界で「ゼロトラスト」という言葉を最近よく耳にする。

なぜゼロトラストが必要になったのか、企業ネットワークの変遷を踏まえて考える。

SDP（Software-Defined Perimeter）とは

「VPNの課題」のところで説明したように、VPNには①攻撃者もVPN機器に接続できる問題、②攻撃者がネットワーク内を徘徊できる問題がある。

その対応として、SDP（Software-Defined Perimeter）という構成が定義されている。SDPにより、攻撃者からの通信はブロックしつつ、正規利用者のみに予め許可されたサービス（アプリケーション）へのアクセスを提供することが可能になる。

SPA（Single Packet Authorization）とは

SDP（Software-Defined Perimeter）において、制御を行うサーバはインターネット上に公開される必要がある。しかし、インターネットに公開されることは、正規利用者以外にも、攻撃者からもアクセスできることを意味する。

そのための対応として、通信の最初の最初の段階で、正規利用者と攻撃者を見分ける方法が考えられてきた。

ここでは、初期のアイデアである「ポートノッキング」と呼ばれる認証方式をまず説明したあと、その発展形であるSPA（Single Packet Authorization）について説明をする。

VPNの課題

昨今、ランサムウェアによる被害のニュースが増えているが、その原因として大きく2種類あるように思う。

①正規利用者のユーザID・パスワードが盗用されたケース

②ネットワーク機器（特にVPN機器）の脆弱性（設定ミスも含む）を悪用されたケース

よく語られている対策は次のとおり。

①については、パスワードの使いまわし（複数のサービスで、同じIDと同じパスワードの組み合わせで利用する）をしないとか、他要素認証を利用するのが良いと言われている。

②については日々のメンテナンスが重要であると言われている。

上記の対策は確かに重要であるが、VPN機器を攻撃者に狙われやすくさせている、VPN機器固有の課題とは何であろうか。

ゼロトラストが、ファイアウォールでは実現できない理由

結論

ゼロトラストでは、通信の内容も含めて、信頼して良いかを確認する必要がある。しかし、従来のネットワークセキュリティ対策の代表であるファイアウォールでは、通信の内容を十分に確認することができない。

通信の内容を確認するためには、従来Webサイト閲覧のセキュリティ対策として利用されていたプロキシをベースにしたゼロトラスト製品を使う必要がある。