ゼロトラスト Googleが選んだ最強のセキュリティー（勝村幸博）

『ゼロトラスト Googleが選んだ最強のセキュリティー』2021/6/18
勝村 幸博 (著)

　米グーグルが、自社のシステムに全面採用した最強のセキュリティー「ゼロトラスト(Zero Trust)」。「何も信頼しない」ですべてを守る次世代セキュリティー「ゼロトラスト」の基本的な考え方や登場の背景を解説した上で、「ゼロトラスト」を構築するために必要な技術やクラウドサービス、最近のサイバー攻撃の手口などを紹介してくれる「ゼロトラスト」の入門書です。
　さて「従来のセキュリティー」の考え方は……
「（前略）これまで主流であったセキュリティーの考え方は「境界防御」と呼ばれる。この考え方では社内ネットワークは信頼できる、インターネットは信頼できないとして明確に区別する。」
　……要するに「関所でのチェックを通過すれば、社内ネットワークのコンピューターに自由にアクセスできる」というもので、ゼロトラストに比べてシンプルで分かりやすい一方、いったん内部に攻撃者の侵入を許すと、社内ネットワーク全体が被害を受けてしまうものでした。
　これに対して「ゼロトラスト」が注目されている背景としては……
「ゼロトラストが注目されているのは、従来の境界防御が限界に達してきたからだ。業務に使うシステムをクラウドサービスに移行する「クラウドシフト」や、利用者が社外に出てインターネットを使って自宅などで働く「リモートワーク」に代表される働き改革、そして手口が巧妙かつ執拗になり、防ぎ切れなくなった昨今の「サイバー攻撃」が背景にある。」
　……という状況があり、「ゼロトラスト」への動きは、グーグルが大規模サイバー攻撃を受けたことがきっかけで、本格的に始まったようです。次のように書いてありました。
・「ゼロトラストが急速に広まったきっかけは、米グーグルがゼロトラストを自社のネットワークに全面的に採用して、その有効性を明らかにしたからだ。同社は大規模サイバー攻撃で大きな被害を受けたことをきっかけに、約８年をかけて自社のネットワークの全面刷新に取り組み、構築したネットワーク「ビヨンドコープ（BeyondCorp）の技術的詳細と成果を2014年以降に論文として公表した。」
・「（前略）これに呼応したセキュリティベンダー各社が、ゼロトラストに利用できる製品やサービスを積極的に提供し始めた。ゼロトラストの導入ハードルが大きく下がり、ゼロトラストの導入機運が一気に高まったのだ。」
　　　＊
　この「ゼロトラスト」は、クラウドサービスを利用して行うのが現実的なようで、次のように書いてありました。
「（前略）セキュリティー機能を提供する各種のクラウドサービスを適切に組み合わせて利用すれば、社内ネットワークに接続しなくても機器やデータ、利用者を守る環境を整えられる。インターネットに接続さえすれば利用できるクラウドサービスは、境界による防御を当てにしないゼロトラストに適している。」
　……現在は、「クラウドシフト」が進んでいますが、むしろその方がセキュリティーレベルが向上するというのが常識化しているようです。
「クラウドサービスのサーバーは堅牢なデータセンターに置かれ、事業者による管理や監視も充実している。現在では一般の企業のオフィス内に置くよりも、クラウドサービスに業務データを置くほうがセキュリティレベルは高いと考えるのが一般的になっている。クラウドサービスの利用拡大に伴うクラウドシフトにより、これまで社内ネットワークで守ってきたデータの多くが社外に出ることになった。これにより、境界防御の前提の１つが崩れた。」
　……なるほど。確かにそうですね……。
　そして「ゼロトラストで必要となるセキュリティーの技術」には、次のようなものがあるのだとか（本書内では、もっと詳しい解説があります）。
・アイデンティティー＆アクセス管理（IAM）：利用者の認証やアプリケーションへの認可管理など
・アイデンティティー認識型プロキシー（IAP）：社内業務アプリケーションへの外部からのアクセス手段提供など
・エンドポイント・ディテクション＆レスポンス（EDR）：端末へのサイバー攻撃防御など
・クラウド・アクセス・セキュリティー・ブローカー（CASB）：利用者のクラウドサービスの利用状況可視化など
・情報漏洩防止（DLP）：重要ファイルの外部送信監視など
・セキュアWebゲートウエイ（SWG）：利用者のインターネットアクセス管理・制御など
・セキュリティ情報イベント管理（SIEM）：機器やクラウドサービスのログ解析でサイバー攻撃の予兆や異常検出など
・多要素認証（MFA）：複数の認証要素での認証など
・モバイルアプリケーション管理（MAM）：端末で実施するアプリケーション管理など
・モバイルデバイス管理（MDM）：端末管理など
・リスクベース認証：端末の認証の基準や方法を動的に変更する認証方法
　　　＊
　そしてゼロトラストの実現方法の一例としては……
「まずは利用者をきちんと管理して、厳格な認証・認可が可能な体制を整える。そして端末を遠隔から管理および保護できるようにしてから脱VPNを図る。また、境界という守りがない分、セキュリティ情報イベント管理（SIEM）などでセキュリティーレベルの向上を図る」
……などがありますが、ゼロトラストに必要とされるすべてのサービスを一挙に導入するのは難しいので、移行しやすいシステムやアプリケーションから移行するのが現実的なのだとか。
『ゼロトラスト Googleが選んだ最強のセキュリティー』について、総合的に概説してくれる入門書でした。この他にも「主なサイバー攻撃の手法」など、参考になる情報が多数あります。「ゼロトラスト」やセキュリティーに興味のある方は、ぜひ読んでみてください。
　　　＊　　　　＊　　　　＊
　なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。
＜Amazon商品リンク＞