コロナ禍で再注目されるゼロトラストセキュリティとは

共通プラットフォーム開発本部エンタープライズクラウド開発第2統括部
西澤和正

2021年6月4日掲載

前回のコラムでは、コロナ禍のセキュリティ対策を踏まえながら、境界モデル（ネットワーク分離）とゼロトラストセキュリティモデルの対比のお話をしました。

既存のアセットからゼロトラストセキュリティを読み解く

情報システム管理者の視点で、慣れ親しんだ要素で少し整理してみます。「アクセス」の要求元のデバイスとは概ね以下のことになります。

・企業貸与のデスクトップまたはノートPC
・企業貸与のモバイルデバイス（スマートフォン、タブレット）
・同等の扱いを承認されたBYOD

企業によっては、Windowsデスクトップは次の二段階で構成されることも多いでしょう。

　・Windows仮想デスクトップ
　・シンクライアントまたは代用としてのBYODデバイス

これらが「アクセス」する資産（データとコンピューティングリソース）とは、以下が挙げられます。

アクセス要求の信頼を実現するために、ゼロトラストセキュリティ対応を謳う製品を眺めてみると次のように分解できると思います。
　・SSL-VPN等リモートアクセスサービス
　・UTM製品
　・無線LAN等ネットワーク機器
　・CASB

結局のところ、従来のネットワークセキュリティを実現する製品群であり、ゼロトラストセキュリティが単一のプロダクト製品で実現するものではないこと、また、すべてのデバイスとアセットにゼロトラストセキュリティを実現することが難しいことは想像ができます。

多くの有識者はゼロトラストセキュリティとは製品ではなく、設計であると説明しています。ゼロトラストセキュリティモデルを実現するために重要なポイントであるのが従来のVPNを置き換えるソリューションとなるのがゼロトラストネットワークアクセス(ZTNA)であり、ネットワークサービスを展開する各社から展開されています。

企業が保有するアプリケーションへのアクセスをZTNA対応ソリューションを介しておこなうように構成することで、ID、コンテキスト、ポリシー遵守を確認し、アクセスを許可することでアプリケーションをネットワーク、つまりサブネットやIPアドレスによらない境界で保護しようという考え方をとっています。

従来のSSL-VPN等のVPN、仮想デスクトップへのリモートデスクトップ接続、Linux等へのSSH等のレガシーな接続を、Cloudflare Accessに置き換えることで、ネットワーク境界の中で踏み台となるWindowsデスクトップのサブネットやIPアドレスに基づいてアクセスを信頼するモデルの依存比率を下げていこうという考え方になります。

ZTNA対応ソリューションは、従来のSSL-VPNの課題を解決しながら、ゼロトラストセキュリティモデルへの移行を促進します。

ゼロトラストセキュリティの段階的実現アプローチと残されるもの

ゼロトラストトラストセキュリティは製品ではなく設計であると先ほど述べました。ZTNA対応ソリューション等を活用しながら、システム管理者は既存の業務システムやオフィス業務の段階的な移行を考えていく必要があります。ある日から組織のシステムはすべてゼロトラストセキュリティに変更しますということは実現が難しく、数年かけて、ニューノーマルに適した設計にシステムを段階移行していくことでゼロトラストセキュリティ実現が可能になります。