これまでの企業ネットワークでは、インターネットとLANを中継する場所にファイアウオールを設置し、ここを「境界」として不正な通信が社内に入らないようにするのが常識だった。ゼロトラストネットワークではこの常識を転換させる。

 これまではインターネットを「危険な場所」とし、そこから攻撃が侵入しないようにして社内ネットワークを「安全な場所」として守ってきた。社内ネットワークの通信はすべて「信頼できるもの」とする。一方、ゼロトラストネットワークはすべての通信を「信頼できないもの」とする考えだ。

従来は境界で防御する

 従来方式はインターネットと社内ネットワークを結ぶ場所(境界)で防御を固めるので「境界防御」と呼ばれる。

従来の「境界防御」モデル
[画像のクリックで拡大表示]

 具体的には社内ネットワークとインターネットの境界にファイアウオールを設置する。そしてファイアウオールが社内と社外の間の通信を制限する。これにより社内と社外を明確に分ける。

 一方社内同士の通信では特に制限を設けない。ファイルサーバーを検索したりパソコンやサーバーで空いているポートを調べたりといったことが自由にできる。

社内同士の通信も制限

 このため境界防御には限界があると以前から指摘されてきた。その1つがファイアウオールを突破されると無防備になってしまう点だ。攻撃者やマルウエアの侵入を許すと、被害が一気に広がってしまう。マルウエアに感染したデバイスを社内に持ち込むことで被害が拡大するケースもある。「2009年から2010年にかけて発生した大規模攻撃において境界防御を採用しているシステムが侵入を許した反省から、ゼロトラストネットワークへの取り組みが始まった」(アカマイ・テクノロジーズの金子春信シニアプロダクトマーケティングマネージャー)。

表面化した境界防御モデルの課題
[画像のクリックで拡大表示]

 もう1つが企業システムの構成が大きく変わった点だ。Webの利用が始まった1990年代はクラウドサービスは存在せず、ネットワークに侵入するには物理的に屋内にあるネットワーク機器にパソコンなどをつなぐ必要があった。「ネットワークが社内にあることがセキュリティー対策の1つになっていた」(シスコシステムズの田井祥雅セキュリティ事業担当執行役員)。

 しかしクラウドサービスが普及したことで、必ずしもネットワークが社内にあるとは限らなくなった。データセンターをクラウドサービスに移管するだけでなく、SaaS(Software as a Service)の利用も進んでいる。また境界で通信を制限しているので、ファイアウオールに負荷が集中している。

 リモートアクセスも盛んだ。社内ネットワークにVPN(Virtual Private Network)装置などを設置して社外の機器をインターネットVPNを利用してつなぐケースが増えている。新型コロナウイルスの影響でテレワークが推奨された結果、リモートアクセスの利用者は急増した。そのため多くの企業でVPN回線が逼迫し、VPN装置への負荷が集中した。高価なVPN装置への追加投資を余儀なくされた企業も多かったはずだ。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。