ネットワーク境界が消えた世界:どのようにセキュリティを確保するのか?

Securing Networks in a Perimeterless World

2021/09/07 SecurityBoulevard — 従来から、ネットワークには境界線があると理解されているが、それは死んだと言っても過言ではない。かつてファイアウォールは、サイバー・セキュリティの頂点だと考えられていた。ネットワークの周囲に、十分な強度のファイアウォールを設置すれば、内部の全てが安全になると考えられていた。

残念ながら、それは事実ではないが、この考えが広まった理由は容易に理解できる。人類は何千年もの間、敵を寄せ付けないために壁を築いてきた。ネットワーク・ファイアウォールは、かつて都市や要塞の安全性を保っていた城壁や欄干の、デジタル的な延長線上にあると考えられていた。しかし今日では、そのようなデジタルの壁は、かつてないほど効果を失っている。

すでに、境界線の概念は崩壊している。あらゆる組織において日常的に行われているのは、ベンダー/サプライヤー/顧客などとの、ネットワークの外側での商取引である。個人的なデバイスの使用も横行しており、従業員は個人所有のスマホやタブレットを仕事に使い、セキュリティ保護されていない Wi-Fi ネットワーク経由で、企業のネットワークにログインしている。また、企業運営に IoT は欠かせないものとなり、本社の壁外にも独自の脆弱性が存在するようになった。これらの理由から、従来のネットワーク境界の認識はもはや有効ではなく、企業はネットワーク・セキュリティに対する新たな認識を必要としている。

SASE と新しい境界線の理解

SASE (Secure Access Service Edge) という言葉は、Gartner が提唱したものであり、企業のセキュリティに対する取り組み方を根本的に変えるものだ。Secure Access とは、コンピュータ/スマートフォン/IoT インフラなどのデバイスが、ネットワークに安全に接続する必要があることを意味し、Service Edge とは、これらのデバイスがネットワーク・エッジの向こう側、つまりネットワーク境界外に存在することを意味する。

ゼロトラストと同様に、SASE はソフトウェアやハードウェアにおける、特定のソリューションではなく一連の原則のことである。基本的に、ネットワーク上のあらゆるアクターは、そうでないと証明されるまでは、潜在的な攻撃者であると想定される。今日おいて、アクターとは、ユーザーだけではなく、マシン/プロセス/モバイルデバイス/サーバー/アプリケーションなどの、企業ネットワークにアクセスする数十種類のエンティティのことを指す。ここ数年で、一般的な企業ネットワークに接続するエンティティの数は大幅に増加しており、ゼロトラストの考え方を採用することが、これまで以上に重要になってきた。

企業ネットワークに接続するデバイス数が、爆発的に増加した要因の1つとして、IoT (Internet of Things) が急激に拡大し、データを監視/測定/収集する、新たな接続デバイスが加わった点が挙げられる。また、COVID-19 の流行により、リモートワークへの移行が加速し、自宅の Wi-Fi から個人所有のバイスで接続する社員が増えたことで、ネットワークのフットプリントがさらに拡大している。さらに、ベンダー/パートナ/サプライヤーなどのサードパーティが、企業ネットワークへのアクセスを必要とする場合もあり、攻撃者たちは新たな突破口を得ることになるだろう。これらの要素を考えると、ネットワークを安全に認証する能力は不可欠であり、必要以上の権限を与えてはならないことが解ってくる。

PKI と最小特権の原則

SASE モデルでは、ネットワークに接続する各 ID に対して、最小特権の原則を適用していく。つまり、各エンティティに対して許可されるものが、ネットワーク領域へのアクセスおよび、職務の遂行に必要な機能の実行に、制約されることを意味する。現実的な言葉で言えば、人事部はソースコードへのアクセスを必要とせず、プログラマーや開発者は従業員の個人情報へのアクセスを必要としない。そして、彼らが必要としない以上、彼らのアカウントにはアクセスが許可されない。SASE の技術的なパートには、これ以上のニュアンスが含まれるが、このように考えておけば良いだろう。

個々のユーザー・アカウントの権限を制限することは、簡単に聞こえるかもしれないが、アプリケーション/サーバー/IoT デバイスなどについてはどうだろう。ネットワークにアクセスするエンティティに対して、適切なパーミッションを設定するために、企業にとって必要とされるのは、堅牢で信頼性の高いデジタル ID ソリューションである。ネットワーク上のエンティティによる、データ要求/コマンド発行/ゲートウェイ・アクセスが生じるとき、システムが明確に認識すべきは、それが誰であり、また、そのアクションを実行する権利を持っているかどうかである。エンティティがサーバーであろうと、従業員の個人的なデバイスであろうと、パブリック・クラウド上で実行されているワークストリームであろうと、許可を得るための積極的な認証が行われる必要がある。

現時点において、PKI (Public Key Infrastructure) は、完全に信頼できるデジタル ID を確立できる唯一のテクノロジーである。それはユビキタスなものであり、デジタル証明書を用いてユーザー/サーバーなどの ID の正当性を認証し、これらのエンティティ間の通信が安全であることを検証する。これらの証明書は、最小特権の原則を確立するための重要な要素である。たとえば、何らかの ID が、ネットワーク環境内で何かをしようとするときは、その証明書が必ず認証されなければならない。この継続的な検証プロセスは、どの ID も自動的に信頼されるものではなく、その権利と権限の証明を逐一提供する必要があることを意味する。

PKI と SASE の推進

ネットワークの境界は、従来からの意味合いでは、もはや存在していない。そのため、多くの人が、ID が新しい境界であると言っている。企業がゼロトラストや SASE の原則を採用し始めると、ID の認証/管理を、高い信頼性で効率よく実施することの重要性が増してくる。PKI により、今日の企業が最小特権の原則を容易に遵守することが可能になり、また、適切な権限を持たない者からネットワーク資産を守ることが可能になる。今日のポスト境界線の世界において、電子証明書の総合的な信頼性は SASE の中核であり、セキュリティの重要な要素となる。

冒頭から「ネットワーク境界は死んだ」とは強烈ですね。でも、たしかに、境界防御では太刀打ちできなくなっています。そして、ID を境界として捉える、ゼロトラストの世界へと、私たちは移行していくことになるのでしょう。よろしければ、「セキュリティを押しつけるな!ネットワークさんが怒ってます!」も ど〜ぞ。

%d bloggers like this: