ビジネス&テクノロジー

中世から現代へ - ゼロトラストの話

投稿者 Carl Windsor | 2022年4月19日

時を超えたゼロトラスト

中世の君主たちは城壁で囲まれた城に身を置くことで、自らの身と財産を守っていました。堀には跳ね橋が架かり、城への出入口は1つだけでした。少し前までの企業ネットワークは、明確なネットワーク境界をゲートウェイセキュリティで保護する方法を採用していました。

従来のVPNソリューションは、先程の城、堀、跳ね橋の概念によく似ていて、城への出入りを制限する目的で使用されますが、どちらにも共通する次のような欠点があります。

  • 他人になりすました攻撃者がアクセスを手に入れ、大混乱を引き起こす可能性があります(トロイの木馬を思い浮かべてみてください)
  • 境界である壁の内側に侵入してしまえば、攻撃者は城内を自由に歩き回ることができます

 

ゼロトラストの必要性

デジタルトランスフォーメーションにより、テクノロジーにも急速な変化が求められ、明確に定義されたネットワークエッジという概念から、多様なネットワークエッジと本社やプライベート / パブリッククラウドなどの多くの異なる場所に分散するアプリケーションやデータへの移行が進んでいます。このような分散ネットワークでは、リモートアクセスの新しい考え方を採用し、次のような問題点を解決する必要があります。

  • ユーザーが常にオフィスで働く時代ではなくなり、世界中のあらゆる場所でいくつもの種類のデバイスを利用してユーザーが接続するようになりました。しかしながら、仕事をしなければならないことに変わりありません。
  • データやアプリケーションがさまざまな場所に置かれている可能性があります。企業ネットワークがすべてのデータやアプリケーションにアクセスできる唯一の場所ではなくなりました。SaaSとクラウドの拡大に伴い、すべての場所で安全かつ一貫性ある方法でアクセスできるようにすることが極めて重要になっています。
  • ユーザーがこれらのアプリケーションにアクセスできる必要がありますが、リスクを考慮してアクセスを厳格に制御することで、許可されないデータの漏洩やネットワークでのマルウェアの感染を防止する必要があります。

ゼロトラスト:旧から新への移行

あらゆる場所から接続するハイブリッドで働く従業員に、安全で柔軟な接続を提供するために重要なことは、すでにネットワークの内側にいるのであれば、ユーザーを信頼し、すべてのアプリケーションへのアクセスと無制限の移動を許可するという「暗黙の信頼」の考え方から脱却することです。

ZTNA(ゼロトラストネットワークアクセス)は、従業員やパートナーの接続やコラボレーションを許可するために従来のVPNで必要とされてきた過度の信頼を排除することで、アプリケーションアクセスでの従来のVPNテクノロジーの問題点を解決します。ゼロトラストネットワークアクセスソリューションは、明示的な信頼に基づく以下の原則に従うことで、これを実現します。

  • 無条件に信頼することなく、常に検証する:いかなるユーザー、デバイス、アプリケーションのセッションも、検証が完了するまで信頼されることはありません。
  • ユーザーを識別し、デバイスを検証する:アクセスを許可する前に、各ユーザーのアイデンティティ、アクセス要求のコンテキスト、各デバイスの態勢がチェックされます。
  • 必要不可欠なアクセスを保護する:業務に必要な最少のアクセスしか許可されないため、従来のVPNのように広範なネットワークにユーザーがアクセスすることはできません。
  • 態勢を継続的に再評価する:ユーザーとデバイスの態勢は常に見直され、態勢が変化すれば、アクセスも変化します。
  • 場所に依存しない:ユーザーが接続する場所やアプリケーションが存在する場所がどこであっても、ZTNAは同じように動作します。

フォーティネットのZTNAによるユースケースへの対応

組織とユーザーのどちらにとっても、変化への対応には困難が伴います。デジタルトランスフォーメーション、クラウドへの移行、Work-from-Anywhere(場所に縛られない働き方)への移行による目まぐるしい変化で、組織は新たなセキュリティリスクに直面し、ユーザー環境が複雑化しています。フォーティネットのZTNAは、強力なコンテキスト対応のセキュリティを追加して、ユーザーにとってシンプルで直感的な方法で提供することで、これらの問題の解決を支援します。

ユーザーにとってのメリット

  • シンプルさ:接続するVPNやリソースの場所をユーザーが知る必要はありません。オフィスで働く場合と同じ方法でアプリケーションにアクセスすることができます。
  • 完全な透明性:ZTNAは、AD / SAML SSOやネイティブアプリケーションのアクセス方法などの既存の認証方法を使用することで、完全に透過的なユーザーエクスペリエンスを実現します。

組織にとってのメリット

組織にとっての最大のメリットは、このセキュリティポリシーの適用に必要なZTNAプロキシがFortiOSバージョン7.0に組み込まれているために、簡単なアップグレードで利用できるということです。さらには、このテクノロジーはすでに多くの組織や企業で導入済みであるため、インフラストラクチャ全体に一夜にして導入しなくてはならない、ということはありません。特定のユーザーグループやアプリケーションに制御された方法で導入することで、潜在的な混乱を回避できます。

  • 組織の攻撃対象領域の縮小:認証が完了し、許可されない限り、ポート、ワークロード、アプリケーションは見えません。
  • 条件付きアクセス:役割、日時、場所、デバイス態勢などのユーザーのコンテキストに基づき、条件付きでアクセスが許可されます。
  • 動的なコンテキストの認識:アイデンティティに関連するコンテキストがリアルタイムに変われば、ユーザーのエンタイトルメントも変わります。
  • ラテラルムーブメントの防止:マイクロセグメンテーションにより、許可されていないリソースに対する可視性とアクセスを排除します。

Work-from-Anywhere(場所に縛られない働き方)   

オフィスを前提とする働き方から在宅勤務への移行が一気に進み、多くのユーザーが今の働き方の継続を望んでいますが、自宅あるいは外出先のどちらであっても、セキュリティを犠牲にすることなく職務を遂行する必要があることに変わりありません。フォーティネットのZTNAは、テレワークを可能にしつつ、企業のアプリケーションへの安全なアクセスを実現します。

リモートアクセスとBYODの利用の拡大

フォーティネットのZTNAを利用することで、厳格なアクセス制御を維持しつつ、サプライヤー、パートナー、買収の可能性がある企業などを含む広範なユーザーによる企業リソースへのアクセスを制御できます。

ゼロトラストの未来

今回は、ZTNAソリューションを使用して従業員を保護する方法を紹介しましたが、フォーティネット セキュリティ ファブリックの要素がどのように連携してSD-WANSASEを結合し、ゼロトラストエッジを実現しているかを後日ブログで解説する予定です。

 

フォーティネットのZTNAによって、 リモートユーザーがどこにいてもアプリケーションへの安全なアクセスが可能になる仕組みについて、こちらをご覧ください。