Akamai Diversity

Akamai Japan ブログ

ゼロ・トラストの概念と「ゆでカエル」

ゼロ・トラスト・ネットワーキングとは?

ゼロ・トラスト・セキュリティモデルは、2010年にForrester ResearchのJohn Kindervag氏によって提唱されました。その概念は、従来の信頼モデルである「信ぜよ、されど確認せよ」はもはや有効ではないため、「決して信頼せず必ず確認」すべきである、というものです。

Frog 1.png

これは煮詰めていく(つまり要約する)と、ネットワークは、いかなるユーザーもデバイスも、その所在位置に基づいて信頼されていると仮定してはならない、という意味です。ネットワークの内部か外部かに関わらず、ユーザーとデバイスは、リソースにアクセスしようとするたびに必ず確認する必要があります。「煮詰める」といえば、いわゆる「茹でガエルの法則」におけるカエルはどうなったのでしょうか?

やや残酷な例えで恐縮ですが・・・もし冷たい水の入った鍋にカエルを入れて火をつけると、そのカエルは手遅れになるまで水温の上昇に気がつきません。

これを、ゆっくりと複雑かつ非効率になっていきつつあるネットワーク境界の管理状況に例えることができます。幸い、私達はカエルよりも賢明ですから、熱湯の中にいたらすぐ分かるし鍋から飛び上がって脱出することができますよね!

境界セキュリティモデルがなぜ問題?

昔々、私達は、「宝石をちりばめた王冠」、すなわちビジネスの鍵を握るアプリケーションとデータを、データセンターに保管していました。そして、データセンターをユーザーがアクセスするためのネットワークで囲み、そのネットワークの境界を防御していました。万事うまくいっていました。

ユーザーがインターネットへのアクセスを望んだので、プロキシWebサーバーを追加しましたが、セキュリティ制御を置くことができたので問題ありませんでした。従来のネットワークの外にいるユーザーにも境界線を広げたいと考えVPNを作成しましたが、これも制御できるので問題ありませんでした。それからインターネット上で物を売る必要が出てきたのでDMZを構築しました。 より多くのセキュリティ制御が必要でしたが、これも対応できたため問題ありませんでした。さらにファイアウォールを追加してネットワーク同士を分離し、特定のネットワーク上のユーザーだけが保護されたサブネットにアクセスできるようにしました。これにはさらに複雑なファイアウォールのポリシーが必要でしたが、なんとか対応することができました。

 

BYOD(Bring Your Own Device)の浸透ややEnterprise ITのConsumerilization(消費者化)の進行により、ユーザーが個人所有のスマートフォンやタブレットを使うシーンが増え、プライベートデバイスが職場のゲストWiFiや社内ネットワークに接続できるようにしました。 これにはさらに多くの制御が必要となりました。ウィルスやマルウェアが急増したため、エンドユーザーデバイスとサーバーの両方で、ウイルス対策やマルウェア対策のソフトウェアが必要になりました。また、働き方の多様化が進みユーザーが物理的に分散すると同時に、クラウド(SaaS, IaaS, PaaS)の普及も進行し、データセンター内にあったデータが雲の向こう側へ移動しています。データを保護するためにさらなるセキュリティが必要になりました。

Flog 2.png

しだいに、私達は境界に1つ、また1つと穴を開け始めました。そしてその度に、セキュリティ確保のためにさらに制御を加えました。中世のヨーロッパを彷彿させるようなきれいな城堀(城を囲む堀や水堀)のように美しく完璧だったネットワーク境界は、今や穴だらけの、複雑でセキュリティ管理も非効率きまわりない代物になってしまったのです。

そう、私達はカエルです。今まさに、熱湯の中にいます。鍋から飛び出さなくてはいけません! いまこそゼロ・トラスト・ネットワークモデルを検討する時です。

クラウド上のゼロ・トラスト

アカマイのゼロ・トラストへのアプローチは、ユーザーがアクセスを許可されているアプリケーションのみを公開することです。 ユーザーの所在地は無関係です。本社オフィスに座っているユーザーの方が、コーヒーショップから接続しているユーザーよりも信頼できるということはありません。 アプリケーションの場所も無関係です。社内アプリケーションとクラウドアプリケーションの両方へのアクセスを管理します。 本質的に「内側」も「外側」も関係ありません。ユーザーとデバイスは、暗黙のうちに信頼されているわけではありません。アプリケーションとデータも、保管場所を選びません。

 

私たちは、クラウド内のユーザーを認証し許可を与え、PingOne社やOkta社などのクラウドIDプロバイダーと協力して、Active DirectoryやLDAPなどのディレクトリサービスの統合を行います。アプリケーションの攻撃対象領域(Attack Surface)を狭め、認証されたユーザーだけが対象アプリケーションを見られるようにします。アカマイ・エッジにアクセスを移動し、サイバー攻撃がお客様のインフラストラクチャではなくアカマイの強固なクラウドを対象にするよう構築します。

 

これはアプリケーションアクセスへの対応ですが、インターネット上のリソースにアクセスしているユーザーを保護することもできます。Akamai Cloud Security Intelligence (CSI)プラットフォームは悪質なドメイン、IPネットワーク、およびそれらの悪意のあるドメインをホストしているDNSサーバーを追跡しながら、常に最新の状態に維持されています。あるユーザーが悪意のあるサイトにアクセスしようとしたり、組織のAcceptable Use Policy(AUP)を満たしていない場合は、リクエストをブロックしたり、管理者にアラートを送ったり、より詳細な分析のためにデータを収集できる「一時保管場所(シンクホール)」にリクエストをリダイレクトすることができます。

ゼロ・トラスト・モデルへの移行は少々怖いかもしれませんが、アカマイではご希望のペースで段階的に進めることができます。まずは始めたいユーザーグループとアプリケーションを選び、そこからスタートします。インフラを全て削除したり、新しいハードウェアをインストールする必要はありません。シンプルなことからまず、始めることが肝心です。鍋の中でゆだるのを待っていてはいけません。中の熱湯が冷めることはないのです。

Leave a comment