インフラ設計

ゼロトラストネットワークとは何か?境界防御モデルと違うの?

 こんにちは。
 今回は、最近話題のゼロトラストネットワークの概要について記事にします。
 ゼロトラストネットワークは、一言と言えば「誰も信用しないネットワーク認可の仕組み」です。
 ネットワーク的には新しい概念になりますので、基礎的なところを中心にご説明します。


この記事でわかること

・ゼロトラストネットワークの概念

・既存の境界モデルとの考え方の違い



Contents
  1. ゼロトラストネットワークとは何か?
    1. 境界防御モデルとは?
    2. ゼロトラストネットワークでは何がちがうのか?
  2.  ゼロトラストネットワークではスコアで評価する
    1. 人の正しさ確認
    2. 端末の正しさ確認
    3. アプリケーションの正しさ確認
  3. ゼロトラストネットワークのメリット
  4. まとめ

ゼロトラストネットワークとは何か?

 冒頭でも触れたとおりゼロトラストネットワークは、「誰も信用しないネットワーク認可の仕組み」です。

 まずは既存のネットワークセキュリティのベースである境界防御モデルとの違いを説明します。


境界防御モデルとは?

 従来のネットワークは、境界防御モデルと呼ばれる考え方でセキュリティを確保しています。



 境界防御モデルとは、ネットワーク全体でセキュリティの階層構造を構成し、外側から順番に接続元の妥当性などを確認して、最終的にENDまで接続させる構成です。

 言葉ではわかりずらいかもしれませんが、図にすれば簡単です。



 一番外のクライアントを起点にして通信が、FWやプロキシサーバ(DMZ)を通過して、目的のアプリケーションを実行するサーバまで届きます。

  最終的なゴールであるサーバを含めFWやDMZは、セキュリティ的に各々役割を持っています。例えばIPアドレスは正しいか?であったりクライアント証明書は正しいか?などです。

  このように途中機器で各々役割を持ち階層構造を作りセキュリティを保持するのが、境界防御モデルです。

  境界防御モデルはわかりやすく素晴らしい構成思えますが、欠点があります。それは、「境界防御モデルは階層の中に入ったものはチェックしない」ことです。

 例えば「FWで接続元IPアドレスを確認」している場合は、基本的にそれ以降の階層で接続元IPアドレスをわざわざ確認しません。そのため、直接DMZ階層などから不正なIPアドレスの端末を接続した場合は、接続元IPアドレスの不正が検知されません。

 なぜなら上位階層(ここではFW)で既に正当性が正しく検知されていることが前提となっているためです。

 そのため、内部的なセキュリティリスクがどうしても残存してしまいます。社内のシステムエンジニアは最初からDMZの中にいるためです。これは境界防御モデルの限界ともいえます。


ゼロトラストネットワーク 境界防御の限界を超えるためのセキュアなシステム設計 [ Evan Gilman ]
created by Rinker

ゼロトラストネットワークでは何がちがうのか?

 ゼロトラストネットワークは、境界防御モデルのこの問題をクリアします。

 ゼロトラストネットワークは、誰も信用しないネットワークです。そのため、ENDにいるAPサーバもDBサーバも自分以外を一切信用しません。

 だから自分で自分を守るのがゼロトラストネットワークです。


 ゼロトラストネットワークでは違います。

 各サーバが全てのセキュリティ対策を個々に行います。
 なぜなら誰も信用しないからです。


3階層サーバの時の例

 もしかしたらWEBサーバが誰かハッキングされているかもしれません。
 APサーバに悪いSEが不正なツールをリリースしているかもしれません。
 だから無防備ではいれないのです。

 その結果、各サーバ事にセキュリティ対策を行うことになります。


 ゼロトラストネットワークではスコアで評価する

 ゼロトラストネットワークでは、接続元が正しいのか?サーバやアプリケーションにアクセスして良いのかスコアで評価します。


 このスコアの算出の元は、「人」、「端末」、「アプリケーション」の3つです。この3つの評価し、スコア算出した結果を元に接続認可します


人の正しさ確認

 「人」では、アカウント・パスワードや指紋・静脈認証などです。より本人と不可分なものの方が高スコアにするようにします。例えばアカウントやパスワードは、盗まれる可能性がありますが、静脈認証をコピーすることは難しいです。


端末の正しさ確認

 「端末」では、IPアドレスはもちろん、OSバージョンやウィルス対策ソフトの更新状態などを基準スコアを出します。誰も信用していのでチェックは厳しいです。
 場合によっては、普段は日本から接続しているのに、ある時アメリカから接続してきたらスコアを落とすなんてもあります。偽端末にIPアドレスのっとられているかもしれないからです。


アプリケーションの正しさ確認

 「アプリケーション」は、アプリケーションで実行しているアプリの正当性確認です。例えば端末内モジュールのハッシュ値と原本サーバ内のハッシュ値比較という方法もあります。


ゼロトラストネットワーク 境界防御の限界を超えるためのセキュアなシステム設計 [ Evan Gilman ]
created by Rinker

ゼロトラストネットワークのメリット

 ゼロトラストネットワークのメリット

 ゼロトラストネットワークの大きなメリットは、セキュリティの向上です。社内のシステムを強固なセキュリティで保ちます。
 ここにセキュリティを保っているため、あるアプリが不正アクセスしても、別のアプリが不正アクセスされる可能を減らせます。

 そのことによりセキュリティの都合でテレワークが難しかった会社でもテレワークが可能となる可能性あります。

 またゼロトラストネットワークは、ユーザ側の負担を少なくセキュリティ向上が可能です。あくまでも既存の認証方式の組みわせで対応するためです。

 ただ一方でシステム開発としては、個々のアプリケーションやサーバ間のすべての通信ケースを抽出する必要があります。
 業務的なものもそうですし、OSや製品が自動通信含めてです。これを抽出しないと個々のアプリやサーバ単位に通信許可ができません。このあたりは、結構シビアな設計になります。


まとめ

 上記のとおりゼロトラストネットワークは、既存の境界防御モデルより強固なセキュリティ実現できる期待のアーキテクチャです。

 まだまだ開発途上であり、標準もないものですが、よりよい社会を作れる技術ではないかと期待しています。

  • この記事を書いた人

marusuke1216

30代のシステムエンジニア。 インフラ関連の案件中に従事している。 資格は、ネットワークスペシャリスト、PMO等を保有。

-インフラ設計