ゼロトラストネットワークとは？ なにができるのか？

2020年新型コロナウイルスのパンデミック以降、テレワークやオンライン会議など、ビジネスの常識も変わった。当然、その変化に応じたセキュリティ対策も求められるようになる。よく聞くところでは「テレワークにはVPNが必須である」「いや、ゼロトラストネットワークを導入すべきだ」といった議論がある。

しかし、これらの議論は表面的なものや特定製品やソリューションからの視点のものが見受けられる。VPNを導入すればいい、ゼロトラストネットワークにすれば解決、と安易な結論にもなりがちだ。

ここでは、ゼロトラストネットワークとはどういうものなのか、それがどんな機能や防御を提供してくれるのかを考えてみたい。

パンデミックがもたらしたオフィスネットワークへの影響

ゼロトラストネットワークが注目された背景は、まずパンデミック以降の業務環境の変化だ。ロックダウンや緊急事態宣言などによって、人々の仕事環境は従来のオフィスからテレワーク、自宅やホテル、共有ワーキングスペースなどへ、一気に広がることになった。

ここで最初に注目されたのがインターネットVPN（以下 VPN）だ。専用のプロトコルでパケットを暗号化し、特殊なルーティングで通信を保護することでオープンなインターネット上であっても仮想的な専用線経路（ネットワーク）を構築する技術であるが、使用人数にあわせた設備や回線を準備する必要がある。

そのため、VPNはよりセキュアな通信が必要な用途、特定部署など限られた使い方が多かった。パンデミック対応で急きょすべての従業員にVPN環境を適用する使い方が広がったが、企業によってはコスト的に対応できないところもでてくる。

そこで、VPNを利用せず自宅から業務サーバーに接続させる方法のひとつとして、ゼロトラストネットワークが注目され始めた。

侵入前提のセキュリティ対策

ゼロトラストネットワークは、特定製品やソリューションに依存したネットワークの名称というより、ネットワーク設計上の考え方の一つであり、VPN同様に以前から存在した。したがって、パンデミックで生まれたソリューションではない。本来は、アンチウイルスソフトによるエンドポイントセキュリティ、ファイアウォール等による境界防御（壁を設置して防ぐ）では、高度な攻撃は防げないという発想から生まれたものだ。

現在の攻撃手法はこの境界を超えてくるものが常態化しており、アンチウイルスソフトで検知されないマルウェアは当たり前になっている。パターンファイルをクラウド管理して新種の検知率を上げても、マルウェア亜種は機械的に自動生成されるのでパターンファイル更新は追いつかない。パターンマッチングではなくAIで検知を試みる手法があるが、それもAIを使ってAI検知を回避するマルウェアが出てくる。

ファイアウォールを高度化してきめ細かく攻撃を遮断するようにしても、アカウントを乗っ取られたり、正規ユーザーが騙されて受信、実行してしまったマルウェアの被害は防げない。フィッシングなどでアカウント情報を得ることができれば、システムやプログラムの脆弱性をついたり、マルウェアを駆使しなくても侵入できてしまう。

ゼロトラストの意味

このような状況に対処するため、「侵入前提のセキュリティ」という考え方が広まった。イントラネット環境では、ログイン認証やファイアウォール、アンチウイルスをいくら工夫しても侵入は防ぎきれない（もちろん防げる攻撃は多数存在するのでそれらが無駄、やめていいということではない）として、内部に侵入があるどうかわからないので、侵入されている前提で、不審なファイルや操作ログ、アクセスログを分析調査する考え方だ。

ゼロトラストネットワークの基本的な考え方は、このような分析や調査を組み込んだネットワークである。ただし、パンデミック以前は、イントラネットの範囲をオフィス内に限定できていた。インターネットからアクセス（イントラネットにとっては外部からの攻撃であることが多い）とオフィス内からのアクセスは分離して考えることができ、外からのアクセスについては従来の認証やファイアウォール、アクセス制御技術が使えた。

テレワークがデフォルトになると、この境界が崩れる。業務システムが稼働するイントラネットといえど、インターネットと同じにアクセスされるという前提が必要となる。あるいは、イントラネットではなくインターネット上で業務システムを稼働させるという考え方といってもいい。

ゼロトラストネットワークでは、そのアクセスは適正なのかを毎回疑うこと（ゼロトラスト）が重要な管理ポイントとなる。

ゼロトラストネットワークに求められる機能

適正なアクセスか、ということを具体的に見ていくと、アクセスはどこからか（位置情報）、スマートフォンやタブレットなどモバイルデバイスからモバイルネットワークを使ったものか、自宅PCからプロバイダーの回線を使ったものか、そして、それは誰なのか、といったことになる。まず、業務用のアカウントより、公開Webサイトアクセスにしてくる人、ECサイトの会員アカウントを対象として考える。これらのアカウントに対して業務システムにアクセスできる人、操作できる人（アカウント）を見極める作業ともいえる。

技術的に核となるのは、認証技術、リスクベースのアクセス制御、エンドツーエンドの暗号化、ログやトラフィックの監視・分析技術だ。

認証は、IDパスワード以外にデバイスの識別子、アクセス場所、場合によっては、操作そのもの、データの種類や量といったものも要素として適正か正当なものかを確認する必要がある。この認証情報に連動して細かいアクセス制御が必要だが、静的な許可リスト（ホワイトリスト等）だけでなく、操作状況や認証条件によって追加認証（多要素認証、多段認証）やリスクベース認証（相手やTPOに応じて認証方法を変えたり増やしたりする認証）を行う。

業務ネットワーク自体がインターネットを経由し、社内もインターネット相当と考えるので、通信の保護のために暗号化処理が必要だ。イントラネットとインターネットが分離できる環境では、暗号化通信はインターネット部分だけでよかったが、ゼロトラストネットワークでは、正当なユーザーのデバイスから最終的な接続先であるサーバーやシステムまですべての経路が暗号化（エンドツーエンドの暗号化）される必要がある。

監視や制御の対象は、ユーザーやデバイスだけではない。サーバーやアプリケーション、データも100％の信頼はできないものとする。そのアプリケーションはマルウェアでないか、正規のものに見えていてもマルウェアに汚染されていないか、改変されていないかといったチェックを行う。インストールが正当なものかも含めて管理できる仕組みも必要だ。データも正しいものか、そこに複製があっていいのか、誰がいつ作ったものか、といったポイントを見る。

ゼロトラストネットワークにできないこと

ゼロトラストネットワークの導入は、許可されていない操作、アプリの実行、許可されていないデバイスの接続、不審なファイルのコピーや外部送信、不審な外部との通信、といった事象を検知するのが目的だ。ただし、正規のデイバス、正規のアカウントを利用された場合、利用状況だけで不正の判断は難しい。

結局のところ、ゼロトラストネットワークは対策技術そのものではなく管理ポリシーだ。なにを不正とするか、なにを不審とするかは、組織が守るべき対象と業務プロセスに依存する。守るべき情報資産を明確にし、それぞれのリスク分析を行い必要な対応、対策が定まっていないと決められない。ソリューションとして「ゼロトラストネットワーク」システムを導入しても、どこでなにをチェックして、なにを異常とするかは各企業が設定し、管理しなければならない。

逆にいえば、既存の業務システムやネットワークを、保護されていないネットワーク上で稼働させる前提で必要なシステムや対策、ルールを導入したものがゼロトラストネットワークだといえる。