「ゼロトラスト」の真実
(背景と考え方、ゼロトラストは性悪説?)
最近、セキュリティの世界で「ゼロトラスト」という言葉がよく聞かれます。
なかばバズワード化している嫌いもあるのですが、それはさておき、今回はこの言葉の背景や意味を考えて見ます。
なかばバズワード化している嫌いもあるのですが、それはさておき、今回はこの言葉の背景や意味を考えて見ます。
1. 境界防御と城塞都市の悲劇
古代の城塞都市は、堅固な防壁で守られ、容易に攻め込むことはできませんでした。出入りはチェックされ、不審な人物は入れません。ですから住人たちは「守られている」前提で、丸腰で生活できたのです。こうした城塞都市を攻め落とすことは簡単ではありません。
古代の人たちは様々な知恵を働かせます。大きな櫓を組んで、城壁を越えようとしたりするのですが、守る側のいい的にされてしまいます。
このように、外界と街の間に壁を築いて守りを固めるやりかたを境界防御と呼びます。日本古来の城におけるお堀もまた、境界防御です。城攻めの基本は、堀を埋めることから始まりますが、大変な仕事となりました。しかし、この境界を一旦越えられてしまえば、無防備な街はあっという間に火の海です。有名な「トロイの木馬」の話では、木馬に潜んで兵士が中に入り、夜陰にまぎれて門を開け、軍勢を導き入れます。人々は油断をしていて、あっという間に街は滅ぼされてしまいます。
古代の人たちは様々な知恵を働かせます。大きな櫓を組んで、城壁を越えようとしたりするのですが、守る側のいい的にされてしまいます。
このように、外界と街の間に壁を築いて守りを固めるやりかたを境界防御と呼びます。日本古来の城におけるお堀もまた、境界防御です。城攻めの基本は、堀を埋めることから始まりますが、大変な仕事となりました。しかし、この境界を一旦越えられてしまえば、無防備な街はあっという間に火の海です。有名な「トロイの木馬」の話では、木馬に潜んで兵士が中に入り、夜陰にまぎれて門を開け、軍勢を導き入れます。人々は油断をしていて、あっという間に街は滅ぼされてしまいます。
ネットワークの世界でも、長年、「境界防御」が主流でした。インターネットと自分たちのネットワークの間に防壁、つまりファイアウォールをおいて、そこで外から攻めてくる通信をブロックする方法です。
外部からファイアウォールを越えることは非常に困難です。Webサーバのように公開されているサービスならば脆弱性などを利用して攻撃できますが、内部のLANに直接入り込むことは、通常できません。
そこで登場するのが、マルウェア、いわゆるコンピュータウイルスです。
外部からファイアウォールを越えることは非常に困難です。Webサーバのように公開されているサービスならば脆弱性などを利用して攻撃できますが、内部のLANに直接入り込むことは、通常できません。
そこで登場するのが、マルウェア、いわゆるコンピュータウイルスです。
電子メールやWebサイトなどを経由して、マルウェアを内部のPCに送り込むことで、内部からセキュリティを破壊することができます。
こうしてネットワークにおける境界防御にも、ほころびが生じてしまいます。もちろん、ウイルス対策ソフトや脆弱性対策を強化することで、そのリスクはかなり下げることができます。
つまり、境界防御に加えて、それ越えて攻撃を受ける可能性がある対象を個別に保護するという考え方が必要になるわけです。これが、いわゆるエンドポイント対策です。万一、敵が入ってきた時のために、各家に、剣や鉄砲を置いておくようなものですね。
こうしてネットワークにおける境界防御にも、ほころびが生じてしまいます。もちろん、ウイルス対策ソフトや脆弱性対策を強化することで、そのリスクはかなり下げることができます。
つまり、境界防御に加えて、それ越えて攻撃を受ける可能性がある対象を個別に保護するという考え方が必要になるわけです。これが、いわゆるエンドポイント対策です。万一、敵が入ってきた時のために、各家に、剣や鉄砲を置いておくようなものですね。
2. 荒野の用心棒
一方、遊牧民や新たな土地を開拓する人々には、城壁がありません。野獣や悪党から身を守るのは自分自身です。
西部劇のように、人々は銃で武装し、これらと対峙しました。
牧場に攻め込んできた悪党に、留守番の人がライフル銃を構える・・・というようなことが現実に起きていたのでしょう。場合によっては腕に覚えがある用心棒を雇って、守ってもらったかもしれません。
西部劇のように、人々は銃で武装し、これらと対峙しました。
牧場に攻め込んできた悪党に、留守番の人がライフル銃を構える・・・というようなことが現実に起きていたのでしょう。場合によっては腕に覚えがある用心棒を雇って、守ってもらったかもしれません。
ネットワークの世界に戻ると、これは、インターネットのような規制のないネットワークに直結されているモバイルデバイスやクラウドサービス、十分な保護がないホームネットワークや公衆Wi-Fiのような環境でのテレワークといったものにあたります。
当然、こうした環境ではPCやスマホといったデバイス自身に防御力が必要になります。つまり、エンドポイント対策を確実に行っておく必要があるのです。まさに、それぞれのデバイスに「用心棒」が必要になるわけです。
当然、こうした環境ではPCやスマホといったデバイス自身に防御力が必要になります。つまり、エンドポイント対策を確実に行っておく必要があるのです。まさに、それぞれのデバイスに「用心棒」が必要になるわけです。
3.多民族国家、そしてボーダーレスな世界
古代の都市国家のように狭い地域に閉じた世界では、同じ民族、同じ文化を基本とした均一性を前提とした統治が行われていました。
価値観はほぼ共通で、暗黙のルールが多く存在する世界です。しかし、交通の発達とともに、交易が活発化し、新たな土地の開拓を通じて、様々な人たちが共存する社会ができあがります。
民族や文化も異なる人々の間では、もはや「暗黙のルール」は存在できません。つまり、こうした社会では明文化されたルールや、緻密な合意形成が必要になるわけです。たとえば、それが一昔前の(実は今でも?)日本とアメリカの違いと言えるかもしれません。
価値観はほぼ共通で、暗黙のルールが多く存在する世界です。しかし、交通の発達とともに、交易が活発化し、新たな土地の開拓を通じて、様々な人たちが共存する社会ができあがります。
民族や文化も異なる人々の間では、もはや「暗黙のルール」は存在できません。つまり、こうした社会では明文化されたルールや、緻密な合意形成が必要になるわけです。たとえば、それが一昔前の(実は今でも?)日本とアメリカの違いと言えるかもしれません。
ネットワークの世界で考えれば、閉じた社内ネットワークは、均質な世界であり、アクセスが暗黙に受け入れられる情報やサービスが多く存在します。
一方で、インターネットや公衆ネットワーク、複数の組織が乗り入れるネットワークは、様々なポリシーに基づいて管理されるデバイスが共存しており、
互いのアクセスや情報のやりとりには、そうしたポリシーの確認や調整(認証、アクセス制御など)が厳密に要求されます。
また、こうしたプロセスが不当に阻害されないような仕組みも必要でしょう。これが、「ゼロトラスト」という考え方なのです。
通信やアクセスにおいて「暗黙の前提」(信頼、つまりはトラスト)をおかず、基本的な認証や権限の確認とアクセス制御を厳密に適用すること。
そして、それが確実に出来ることを保証することが、「ゼロトラスト」の基本となるのです。
一方で、インターネットや公衆ネットワーク、複数の組織が乗り入れるネットワークは、様々なポリシーに基づいて管理されるデバイスが共存しており、
互いのアクセスや情報のやりとりには、そうしたポリシーの確認や調整(認証、アクセス制御など)が厳密に要求されます。
また、こうしたプロセスが不当に阻害されないような仕組みも必要でしょう。これが、「ゼロトラスト」という考え方なのです。
通信やアクセスにおいて「暗黙の前提」(信頼、つまりはトラスト)をおかず、基本的な認証や権限の確認とアクセス制御を厳密に適用すること。
そして、それが確実に出来ることを保証することが、「ゼロトラスト」の基本となるのです。
つまり、「ゼロトラスト」とは、何か特別なことをするわけではなく、
セキュリティの基本に立ち返り、忠実にやろうよ、ということなのですね。
セキュリティの基本に立ち返り、忠実にやろうよ、ということなのですね。
4.ゼロトラストの背景と考え方
もう、おわかりかもしれませんが、ゼロトラストはIT環境の進化に伴う必然の流れです。
クラウド利用の普及や、オンプレミスとクラウドの融合は、企業システムが持っていた「境界」を崩しつつあります。
クラウド利用の普及や、オンプレミスとクラウドの融合は、企業システムが持っていた「境界」を崩しつつあります。
モバイルやテレワークの普及によって様々なデバイスが企業ネットワークの外で活動し、それらが企業ネットワークと有機的に結びつくことで、これまた「境界」を無きものとしつつあります。
これらは、すべてビジネス上の要請から生じた変化ですから、逆戻りは不可能です。もはや、ネットワーク全体の「均質性」を保てる企業は少ないと言えるでしょう。
もちろん、「境界防御」が死んだというのは言い過ぎです。なぜなら、より狭い範囲で均質性を維持しうる状況は残るからです。また、企業のファイアウォールをなくしてインターネットに直結すれば、さらに多くの危険を招き入れることになってしまいます。これらの中にはエンドポイント対策をすり抜ける脅威も存在しますから、最初のフィルタとしての境界は、依然として機能します。
企業内でも他のネットワークとの通信を制限することで保護すべきリソースは存在するでしょう。
つまり、ゼロトラストの考え方を適用する度合いは、対象によって変化するのです。
これらは、すべてビジネス上の要請から生じた変化ですから、逆戻りは不可能です。もはや、ネットワーク全体の「均質性」を保てる企業は少ないと言えるでしょう。
もちろん、「境界防御」が死んだというのは言い過ぎです。なぜなら、より狭い範囲で均質性を維持しうる状況は残るからです。また、企業のファイアウォールをなくしてインターネットに直結すれば、さらに多くの危険を招き入れることになってしまいます。これらの中にはエンドポイント対策をすり抜ける脅威も存在しますから、最初のフィルタとしての境界は、依然として機能します。
企業内でも他のネットワークとの通信を制限することで保護すべきリソースは存在するでしょう。
つまり、ゼロトラストの考え方を適用する度合いは、対象によって変化するのです。
当然ながら、ゼロトラストで重要になるのは、エンドポイント(エンドツーエンド)での対応です。
特に、インターネットや公衆ネットワークでは、必要な防御機構はすべてエンドポイントで機能する必要があります。また、これらが企業内のシステムにアクセスする際は、認証はもとより、アクセスに必要な要件を満たした状態にあるかどうかを厳密にチェックするようなことも必要になるでしょう。もしくは、外から危険を持ち込む可能性を前提に、影響を受ける範囲の企業内リソースに対してエンドポイント対策を強化することが必要になるかもしれません。最近流行のEDR(Endpoint Detection and Response)のようなツールは、こうした要請に基づくものです。
一方、エンドポイントでの対応の必要性は、「境界」がどの程度機能するかによって変わります。「境界」を設定出来る環境では、それを補完する形でエンドポイント対策を考えるべきでしょう。
特に、インターネットや公衆ネットワークでは、必要な防御機構はすべてエンドポイントで機能する必要があります。また、これらが企業内のシステムにアクセスする際は、認証はもとより、アクセスに必要な要件を満たした状態にあるかどうかを厳密にチェックするようなことも必要になるでしょう。もしくは、外から危険を持ち込む可能性を前提に、影響を受ける範囲の企業内リソースに対してエンドポイント対策を強化することが必要になるかもしれません。最近流行のEDR(Endpoint Detection and Response)のようなツールは、こうした要請に基づくものです。
一方、エンドポイントでの対応の必要性は、「境界」がどの程度機能するかによって変わります。「境界」を設定出来る環境では、それを補完する形でエンドポイント対策を考えるべきでしょう。
5.ゼロトラストは「性悪説」か?
ちょっと余談になりますが、ゼロトラストを「性悪説のセキュリティ」という人がいます。しかし、筆者はそうは思いません。そもそも、「性悪説」という言葉の哲学的な意味はさておき、「人を見たら泥棒と思え」的にネガティブな使われ方や捉えられ方をしている言葉を当てはめるのは適切ではないでしょう。
セキュリティの専門家の中でも、この言葉を嫌う人が少なくありません。とりわけ人を対象とするセキュリティに関連して、この言葉をうっかり使うと、互いの信頼感を大きく損ない、前向きな気持を阻害してしまう可能性があるからです。
セキュリティの専門家の中でも、この言葉を嫌う人が少なくありません。とりわけ人を対象とするセキュリティに関連して、この言葉をうっかり使うと、互いの信頼感を大きく損ない、前向きな気持を阻害してしまう可能性があるからです。
「ゼロトラスト」の考え方は、「暗黙の信頼」は行わないということです。きちんと手順を踏んで信頼しようということなので、基本的にニュートラルであり、善でも悪でもありません。
人と人との間で誠実なやりとりを重ねることで信頼が生まれていくのと同様に、「ゼロトラスト」でも、システムやデバイス、ユーザ同士が信頼を確立するための基本的な手続きを忠実に実行しようということなのです。
人と人との間で誠実なやりとりを重ねることで信頼が生まれていくのと同様に、「ゼロトラスト」でも、システムやデバイス、ユーザ同士が信頼を確立するための基本的な手続きを忠実に実行しようということなのです。
