ゼロトラストネットワークの実現に向けて

近年、ゼロトラストネットワークによるセキュリティ対策を推奨するセキュリティ企業が増えています。ゼロトラストネットワークとは、内部ネットワークといえども信頼しないことを基本とするネットワークモデルです。ゼロトラストネットワークの考え方自体は2010年にForrester Research社により提唱されたもので、新しい考え方ではありませんが、近年、境界での防御の限界も見えてきており、導入のための環境も充実してきたため、推奨されるようになってきているようです。2019年以降、導入を希望する企業が増えるものと思われるため、注目する必要がある技術です。
実装に向けた方法はさまざまありますが、今回はセキュリティ企業数社の提唱するモデルを見ていきます。

掲載は記事の公開日順です。

PaloAlto社

2014年の時点で、既に内部ネットワークも次世代ファイアウォールであるPaloAltoで、通過する通信内容をアプリケーション、ユーザー、コンテンツごとに分類することを提唱していました。
PaloAlto社のファイアウォールはIPSとしても動作するL7ファイアウォールとみなせますので、セグメントをまたぐ攻撃についても高い確度での保護が可能となります。
最近は、Trapsという脅威解析サービスと連携した次世代エンドポイントセキュリティ製品も推奨しています。Trapsはサンドボックス解析機能を備えたクライアント保護を目的とし、安全であることを確認するまではファイルを実行させない機能を持っており、ゼロトラストネットワークの構築に有効と考えられます。

Microsoft社

Microsoft 365を用いることで、ゼロトラストネットワークの実現を提唱しています。Azure Active Directoryの機能を利用し、条件付きアクセスポリシーを活用することでユーザー、デバイス、場所、およびセッションのリスクに基づき動的にアクセス制御を行います。
Microsoftにおけるゼロトラストの狙いは、モバイル活用社会を前提でユーザーの生産性を保ちつつ、企業の資産を守ることにあります。侵害される可能性や自動回復機構も踏まえながらクラウドシステムに持続可能な強靭さ（レジリエンス）を提供します。

Symantec社

Integrated Cyber Defense（統合サイバー防御）というSymantec社のセキュリティ製品を管理する製品において、ウイルス対策（Endpoint Protection）、Webアクセス保護（Network Security）、電子メール保護（Email Security）、クラウド管理（Cloud Security）の4製品を統合管理・制御することで、ゼロトラストネットワークを構築します。ゼロトラストの実装では、オンプレミスとクラウドの両方でデータに誰がアクセスしているかを最大限把握する保護機能を使用し、データはユーザーに関するすべてのリスク要素とデバイス認証が評価された場合にのみ利用が可能になります。

上記は一例であり、今後も様々なサービスがセキュリティ企業より提供されると思われます。既存のネットワークのポリシーやファイアウォールルールの変更や、ネットワークの運用方法の工夫でもゼロトラストネットワークの狙いを実現できる可能性がありますので、検討してみてはいかがでしょうか。

《参考情報》