ITセキュリティ女子のブログ

  • ゼロトラスト
2021.08.20

ゼロトラストモデルとは?基本モデル、従来モデルと比較してみた

ゼロトラストモデルとは?基本モデル、従来モデルと比較してみた

皆さんこんにちは。長谷川まりです。

セキュリティの考え方の1つ、「ゼロトラスト」。考え方はわかったつもりだけど、基本的なセキュリティの考え方や今までの概念と何が違うの?という疑問をお持ちの方へ。今回は、ゼロトラストの考え方を体系的に捉えていただけるよう、この考え方を概念(モデル)にして、基本モデルや従来モデルと何が違うのかをおさらいしてみたいと思います。

セキュリティの基本モデルとゼロトラストモデル

まず最初に、セキュリティの概念を絵にしてみましょう。セキュリティとは資産を守るためにありますね。真ん中の、大事な資産の周りにセキュリティ対策(監視カメラ、施錠されたドア、金庫)があり、そこにアクセスするための方法(人相、鍵、金庫のパスワード)があります。

セキュリティ概念イメージ図

※セキュリティの概念図


ゼロトラストはどうでしょう?真ん中の、大事なIT資産の周りにセキュリティ対策があり、様々な場所からアクセスする人たちの認証と認可や、サイバー攻撃に対処するためのネットワークトラフィックやファイルの複合的な検査があります。大事な資産の周りにセキュリティ対策があり、アクセス方法があり、アクセス主体があると考えると、根本的な概念のモデルに、ゼロトラストだからといって特別な違いはないと言えます。


ゼロトラストセキュリティイメージ

※ゼロトラストの概念図


では、アクセスしてくる主体から、資産をどう守れるのでしょう?最大のポイントは、アクセスしてくる人やもの全てをその都度検査することにあります。ゼロトラストのお話しの前に、まずは従来のセキュリティ対策の主流である「境界防御モデル」のおさらいをしたいと思います。

境界防御モデルとゼロトラストモデル

境界防御モデルとは、境界内のネットワーク内部に入ることができる人やデバイスは、基本的に信頼できるとする概念です。ネットワークの外と内を境界として信頼の線引きをするため、境界内のネットワーク内部では、各IT資産へのアクセスを許可して認証操作を求められない利便性が確保されます。これは攻撃者も同じで、内部に侵入さえできれば、攻撃者やマルウェアで侵害された端末にも信頼が与えられ、IT資産へのアクセスもできてしまうことになります。この「過剰な信頼」が、「境界防御モデルの脆弱性」と言えます。

これを利用されると怖いのは、侵害範囲がどんどん拡大してしまう点にあります。内部ネットワークに侵入した攻撃者は、どのIPアドレスのコンピュータの、どのサービスが利用可能なのか、ツールやコマンドを使って調べ上げます。そして、重要そうな名前のコンピュータに当たりを付け、サービスのソフトウェア・バージョンを調べ、脆弱性があればリモートから攻撃し、クレデンシャルダンプで認証情報を抜き取り、管理者権限に昇格する、といった具合に、より侵入範囲を広げていきます。


境界防御モデルイメージ図

※境界防御モデルの概念図


なぜこのようなことが起こるのでしょう。現代のコンピュータネットワークは、TCP/IPで構成されており、TCP/IPは攻撃されることを前提には作られておらず、むしろコンピュータ同士をつなげることを目的として作られたフレームワークだからです。攻撃者は、まるで泥棒が家の前まで来て侵入する隙を探し回るように、見えているIPアドレスに対し認証も求められずに、あらゆる攻撃を加えることもできてしまいます。このため、境界防御モデルでは内部への侵入を極力、防がなければなりません。

ただ、サイバー攻撃では対処すべき攻撃量が多過ぎるため、対応しきれないことがあるのが現実です。船に大きな穴が空いて水が勢いよく入ってきているのに、バケツで水を掻き出すのは無理があります。今、セキュリティ人材不足と言われていますが、この作業にたくさんの人を費やしたり、大きなバケツや大型排水ポンプを買うといったように、問題への対処方法を変えないがために、人不足や予算不足に陥っている状態となっているケースもあるかもしれません。本当に解決すべきは水が入ってこないように穴を閉じることです。見えている問題ではなく、その問題の原因に目を向ける必要があります。

そこで注目されているのが、「Always Verify, Never Trust.(常に検証し、決して信頼するな)」をスローガンとするゼロトラストのモデルです。「全て信頼しない」を前提に線引きをせず、全リソース※へのアクセスをセッション単位で多面的に検証し、ポリシーが許すなら、最小の権限のみを与える考え方で、以下を原則としています。(※ゼロトラストではIT資産を「リソース」という言葉で表現します)

ゼロトラストモデルの原則

・内部ネットワークは侵害されていることを前提とする
・アイデンティ(ID+属性情報)とコンテキスト(アクセス関するメタデータ)を認証要素とする
・アクセスは、セッション単位で動的に、多面的に検証する
・最小権限の原則

ゼロトラストモデルの最大の特長は、アクセスを全て検証することで、不正アクセスが起こる可能性を最小限に抑えようという点です。境界型モデルが内部ネットワークのアクセス主体に与える「過剰な信頼」という脆弱性を利用して攻撃を仕掛けてくる現代のサイバー脅威に対して、最適なセキュリティモデルと言えるのではないでしょうか。

まりから一言

ゼロトラストは決して100%のセキュリティを実現できるものではなく、徹底したアクセスの検証と、結果的に与える信頼の量と範囲を最小化し、「侵害されたとしても被害を最小限に留めるモデル」と言えます。侵入を境界で防ぎ、内部を信頼する「鬼は外、福は内」が境界防御のモデルだとしたら、「福も鬼として扱う」のは、信頼という脆弱性を極限まで削ぎ落としたソリッドなモデルと言えるでしょう。
ゼロトラストに計画的に取り組めば、ユーザー利便性、管理性、ツールのサイロ化(連携せず孤立化)といった課題が統合的に解決できます。

次回は、ゼロトラストの原則をどのように現実のITシステムに対して実装すればよいのか、「ゼロトラストアーキテクチャ」について解説していきます。


長谷川 まり

株式会社アシストに入社以来十数年、セキュリティ対策製品担当として活動中。

売れない小説家だった祖父の影響で、文章を書くことが好き。
「役に立つ人間になる」をモットーに、日々真面目で丁寧な仕事を心がけている。

関連している記事

  • ゼロトラスト
2021.09.15

ゼロトラストアーキテクチャとは?主要コンポーネントを図解してみた

ゼロトラストの概念をITシステムに適用するためのイメージを持っていただけるよう、そのアーキテクチャとコンポーネントについておさらいします。

プロフィール


長谷川まり
セキュリティ製品を担当。お客様からの信頼も厚い、お姉さん的存在。

ページの先頭へ戻る