なぜ、今、ゼロトラストの必要性があちこちで話されるのかをまとめた。(前編)
ゼロトラストの概念が出てから10数年が経ち、IT業界・ITセキュリティ業界で「ゼロトラスト」という言葉を最近よく耳にする。
なぜゼロトラストが必要になったのか、企業ネットワークの変遷を踏まえて考える。
初期の企業ネットワーク
まず、従来の企業ネットワークがどういうものであったかを振り返る。
インターネットの利活用が少なかった時代、ITシステムを提供するサーバ類は、データセンタ内に設置されていた。そして、データセンタ内に設置されているシステムにオフィスからアクセスできるようにWAN(Wide Area Network、広域通信網)回線を用いて接続されていた。また、従業員やデータセンタ内のサーバがインターネットを利用できるように、そして、データセンタに設置してある公開サーバ(公式ホームページ等)にインターネットからアクセスできるように、データセンタにインターネット回線が引かれていた。
このようなネットワーク構成の中、従業員は毎日オフィスに出社し、オフィスの中でPCを操作していた。
⏩
もし、業務委託先の企業から社内ネットワークにアクセスしてもらう必要がある場合は、自社データセンタと委託先企業との間で専用線を敷設することで、インターネット上の脅威が入らないように対策を取っていた。
ただし、委託先企業の社内ネットワークは委託元からは管理ができず、セキュリティ対策が十分に取られているかわからない。そのため、委託先リスク評価などを通じてセキュリティ対策状況を確認しリスク低減を図っているが、完全に自社と同レベルであることを保証することはできないため、ある程度のリスクを取ることにはなる。下図では、それが分かるように「信頼せざるを得ないネットワーク」として色分けして記載している。
これらの構成においては、攻撃者が潜んでいる可能性があるインターネットと、信頼できるネットワークである社内ネットワークの接点は、データセンタにあるインターネット回線の1ヶ所のみであった。そのため、この1ヶ所のみを厳重に保護すれば、社内ネットワークをインターネット上の脅威から保護することができた。
⏩
企業ネットワークの構成の変化
インターネットの利活用が進むと、ネットワーク構成にも様々な変化が現れる。そして、その変化に適切かつ柔軟に対応するためには、ゼロトラストの考え方が良いという認識が広がってきた。
企業ネットワークの構成の変化① 在宅勤務
ネットワークの利活用の1つ目は、在宅勤務の増加である。2020年に予定されていた東京オリンピックやコロナ禍発生以前より、一部の企業では週1~2回の在宅勤務が行われていた。それがコロナ禍により、オフィス勤務からリモートワークに切り換えざるを得ない状況に陥り、一気に在宅勤務が増加した。
加えて、「企業ネットワークの変化②」で見るように、サーバ(アプリケーション)がインターネットに出ていくことにより、従来は社内ネットワークにいないとシステムが使えなかった(社内ネットワークに接続してから、データセンタ内にあるシステムを使う)ものが、システムがSaaSやクラウドに移行したことで、インターネットに接続さえできれば日常業務に必要な主要システムが使えるようにもなってきた。
その結果、従業員はオフィスに行く必要がますますなくなり、インターネットがある場所であればどこからでも仕事ができる環境が充実化している。
余談
もし、コロナ禍がなかったとしたら、日本では東京2020オリンピック開催期間中の混雑を避けるための一時的なリモートワークで済んでいた可能性はある。
また、コロナ禍が過ぎ、オフィス勤務に戻すという選択をする企業が増えてくることも想定できるが、在宅勤務の快適さ・効率の良さを経験した社員が離反するケースもあり、100%オフィス勤務という方針にする組織は人材の確保が難しくなると予想される。
その結果、多くてもオフィス勤務日数の割合は6~7割程度になるのが多いのではないだろうかと予測している。経費削減のため、すでにオフィススペースを縮小している企業もあり、そのような企業では全員が出社すると収容しきれないという問題もある。
在宅勤務では、社外に持ち出された社内PCがインターネット経由でデータセンタに接続することで、社内ネットワークに接続される。つまり、信頼可能な社内PCとデータセンタとの間に、信頼すべきではないインターネットが入った構成になる。図に表すと下図のように、インターネットの中に、信頼する必要がある社内PCが飛び地で存在するようになった。
⏩
企業ネットワークの構成の変化② クラウドへの移行
変化①ではユーザがインターネットに出ていったが、サーバもインターネットに移行し始めている。
クラウドシフトという言葉が流行ったように、SaaS(Service as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)というインターネット越しのサービスでITシステムを提供する業者が増えている。これらのサービスは、利用した従量に応じた支払いのみで利用できることから、IT費用削減のためにこれらのサービスに切り替えている企業が増えている。
例えば、AmazonのAWS(Amazon Web Service)やGoogleのGCP(Google Cloud Platform)、MicrosoftのAzureといった大手のクラウドサービス上にサーバを移動させるケースが増えている(IaaS)。
また、これらの企業が展開するデータベースサービスなどを利用すれば、専用のサーバを建てずに、システム構築に必要な機能を賄うことが可能である(PaaS)。
その他、SaaSとしては、CRMのSalesforceや、社内ワークフローのServiceNow、ファイルサーバ機能のBoxやOneDrive等、従来データセンタ内に構築していたアプリケーションやサーバの乗り換え先が充実してきている。
クラウドサービスは様々あるが、これらのサービスはインターネット越しに利用するものであり、従来はデータセンタ内に置いていたサーバがインターネットに出ていったことで、企業ネットワークの構成が変化した。
ちなみに、クラウドへのアクセスは、社内ネットワークから一旦インターネットにでて、クラウドに接続するケースも多いが、クラウド上のアプリケーションへのアクセスを社内ネットワークからのみに限定できるように、データセンタからクラウドに対して(仮想)専用線を接続していることも多い。
以上をまとめると、社内ネットワークは以下の図で表すような構成になる。
余談
以前は「クラウドにデータを保存するのは危険」と言われ、データの処理にクラウドを使うだけに留めていた企業もあったが、クラウドのセキュリティ向上と利便性の高さを天秤にかけて、クラウドにデータを保存するようにもなってきている。
⏩
余談(クラウド移行によるメリット)
サーバをクラウド上に構築することは、使用量に応じた費用を支払うだけで利用できるため、企業にとって費用削減というメリットがある。
- (クラウドサービスの提供業者が用意するため)物理的な機器の購入にかかる初期投資が少なく済む(固定費の変動費化)
- (使用した従量に応じた課金のため)構築初期の利用者数が少ない段階では少ない月額で利用できる(スケーラビリティの最適化)
- (クラウドサービスの提供業者が対応するため)ハードウェアの経年劣化の対応が不要(システムの更改費用の平準化)
- (クラウドサービスの提供業者が対応するため)SaaSであればOSおよびアプリケーション自体の、PaaSであればOS自体のメンテナンスが不要になる。
余談
日本では、SaaSを含めたパッケージ製品に、既存の自社プロセスを作り込もうとするため構築費用が増加するとともに、バージョンアップ時の対応費用も増加している。
Japan as Number Oneと言われていた80年代なら、自社プロセスが世界の先頭を走っているといえたかもしれないが、他の先進国から大きく遅れを取った現在の日本の既存プロセスが戦闘を走っているわけがない。いい加減、目を覚まして、パッケージ製品に作り込まれた「ベスト・プラクティス」に自社プロセスをあわせるようにするべきだと思う。
⏩
企業ネットワークの構成の変化③ オフィスからの直接インターネット接続(ローカルブレークアウト)
コロナ禍で対面での会議が難しくなったこともあり、Zoomを始めとしたオンライン会議が増えている。オンライン会議では音声と映像の通信が発生するが、どちらも必要とする通信量が多い。その結果、拠点を結ぶWAN(広域通信網)回線や、データセンタからのインターネットへの回線の容量が逼迫し、通信が遅いという問題が出た。
通信量を減らすため、オンライン会議では発表者以外はビデオをOFFにするケースもある。極端な例では、インターネット回線での音声が途切れるので、資料投影はパソコンからの接続で閲覧するが、音声は電話回線で入らざるを得ないというケースもあった。
ただ、このような対策は従業員の利便性の低下、言い換えると、業務効率の低下を招く。そこで、WAN回線やデータセンタのインターネット回線の増速、周辺のネットワーク機器の上位モデルへのアップグレードに踏み切る企業もある。
一方で、SD-WAN(Software-Defined WAN、ソフトウェアによって定義されたWAN)技術を活用する企業も出てきている。SD-WANは、物理的なネットワーク機器で構成されたネットワーク上に、ソフトウェアを使って仮想的なネットワークを構築するSDN(Software-Defined Networking、ソフトウェアで定義されたネットワーク)の技術をWANに応用したものである。
オフィス等の各拠点にはすでにWAN回線が設置されているが、それに加えてインターネット回線を敷設した上でSD-WANを利用することで、利用用途(宛先のアプリケーション)に応じて、最適な通信経路(従来のWAN、インターネットへの直接接続)に振り分けることが可能になる。
SD-WANの活用例としては、オンライン会議や、インターネット上のWebサイトへのアクセスはオフィスから直接インターネットへ出し、社内システムへのアクセスはWAN回線に回すことが可能になる。(オフィス等の拠点から直接インターネットに出ることは「ローカルブレークアウト」「インターネットブレークアウト」と呼ばれる。)
ローカルブレークアウトにより、課題であったWAN回線やデータセンタのインターネット回線の逼迫を緩和することが可能になる。
社内ネットワークの構成図にSD-WANを書き込むと下図のようになる。
⏩
企業ネットワーク構成の変化のまとめ
社内ネットワークの状況は、データセンタのインターネット回線を境界に社内ネットワークとインターネットが物理的に分割されていた時代から大きく変化し、インターネットを社内ネットワークから分離して考えることが困難な状況になっている。
その結果、インターネットとの出入り口を把握することが困難であり、従来の境界点を基準にセキュリティを考える「境界型防御」ではヌケモレが発生しやすくなる。
そこで、「インターネットは危険、社内ネットワーク内の通信は信頼できる」という前提から、「社内ネットワーク内の通信も含めて、すべての通信が危険である」と前提へのパラドックスの転換が必要になってくる。
そして、後者につけられた名前が「ゼロトラストネットワークアーキテクチャ(ZTNA、Zero Trust Network Architecture)」である。
0 件のコメント:
コメントを投稿