法人組織において「ゼロトラストとは何なのか？」と問われた場合、明確な回答は難しいでしょう。ここでは、ゼロトラストについて、その始まりから、理解しておくべきゼロトラストの本来の意味を解説します。

セキュリティモデルの変遷

ゼロトラストの歴史的背景から説明します。2007年頃、セキュリティ組織「Jericho Forum」はホストの信頼性に基づくセキュリティモデル（トラストモデル）を提案しました。このトラストモデルは、ホスト自体で防御力が確保されれば、境界制御が不要になるという考え方でした。これによって安全なホストの実現という観点に関心が集まったものの、当時すべてのホストを管理・制御できている組織は多くはなく、ネットワーク経由の攻撃または大規模なDDoS攻撃などを想定した場合、ネットワーク制御なしでは管理されたホストも攻撃に見舞われる可能性があります。

Jericho Forumのアイデアからさらに、集中管理型のセキュリティ制御ですべてのセキュリティを管理するモデルも考えられました。このモデルは、ネットワークアクセス制御（NAC）の前身と見なされましたが、集中管理を行う制御箇所自体がDDoS攻撃等の標的にされる欠陥をはらんでいました。他方、集中管理型のセキュリティ制御で未管理のホストを保護できるという改善点も認識されており、このモデルが先駆となり、後にNACが実現しています。NACでより精確かつ可用性のあるホスト管理が実現できるにもかかわらず、NACが持つ別の課題によって、導入していない法人組織も存在します。しかしながら、NACが実効性のあるセキュリティ対策であることに変わりはありません。

そうした中、Jericho ForumのトラストモデルやNACをもとに変化したセキュリティモデルがゼロトラストと言えるでしょう。ゼロトラストはホスト自体に防御力を確保するのでなく、「信頼できない限り一切の活動を許可しない」という原則にもとづいており、これはファイアウォールで”Deny-All”を設定する30年前への回帰とも言えます。ファイアウォールでは、ルールの最後に多くの場合で”Deny-All”が設定されており、これが最善の対策とされてきました。そして長らく重要視されているもう1つのルールは、必要最小限の権限以外は一切許可しない「最小特権の原則」という考え方です。

議論されるセキュリティ技術とソリューション

ゼロトラストに関してはいくつかのセキュリティ技術やソリューションが議論されるでしょう。その中でも有効なセキュリティ技術として「マイクロセグメンテーション」に期待が寄せられています。これは通信が必要な特権領域を明確化し、そうした特権領域を増やすことで、通信をnorth-south trafficに限定しないというアプローチです。north-south trafficとは、末端から外部ネットワークや基幹に向かう方向の通信を意味しており、一般的な例としてはインターネット、Webサーバ、アプリケーションサーバ、データサーバの通信が挙げられます。一方で、east-west trafficは、ネットワーク内での末端から末端に向かう方向の通信を意味しています。マイクロセグメンテーションは、本来ネットワーク内で末端から末端に攻撃が拡大するのを防ぐため、east-west trafficを分離し、セグメント化する中で進化してきました。例えば開発用Webサーバから本番サーバへの通信の分離とセグメント化などがあり、この技術はたとえ同一レイヤーであっても無条件には信頼できないという考えに基づいています。

さらには「不正侵入検知防御システム（IPS）」や、サイバー攻撃に対する事前予防（検知）の仕組みである「EPP（Endpoint Protection Platform）」も重要です。EPPはエージェント化されたホストで防御力を実現し、IPSはインラインでネットワークに設置され、管理やエージェント化されていないホストを仮想パッチで防御することで脆弱性の悪用を阻止します。これはホストAとホストBの通信を許可する場合、IPSまたはEPPの観点で、AとBのセキュリティ状態は相互に適合性があるいうことになります。

いたずらなマーケティングメッセージが混乱を招く

ここまでゼロトラストにつながるセキュリティモデルの変遷、それに関連するセキュリティ技術について解説しました。さらにゼロトラストを理解する上で知っておきたいのが、「ゼロ」および「トラスト」の意味を融合させることで生じる問題です。これらの意味とマーケティングメッセージによって、「何も信頼しないという条件でなければゼロリスクを実現できない」という誤解を持たれることがあります。ごく例外的な環境を除けば、信頼は単純にバイナリのように0と1で明確になるものではありません。例えば、「モノのインターネット （Internet of Things、IoT）」の場合、MRI装置がネットワークデバイスとしてパッチ未適用であり、エージェント化されていない場合を考えてみます。このMRI装置を信頼できない限りゼロリスクを実現できないため、一切使用しないとするのは非現実的です。完全に信頼できなくとも一定のリスクを考慮し、ある程度の信頼を置きながら使用を認めざるを得ない状況は存在します。他方で「一切を信頼するという盲目的状況を回避する」という見方も重要です。盲目的な信頼を回避し、いったん前述の”Deny-All”を大前提とした上で、その条件の範囲内で最小権限の原則を実践していくという考え方です。

つまりゼロトラストとは何なのか？

ゼロトラストは特定のソリューションや製品を表す名称ではありません。つまり、ゼロトラストのラベルが付いた製品を多数購入したところで、セキュリティ対策が万全になるわけでないのです。ゼロトラストとはセキュリティモデルやその設計指針と見なすべきでしょう。大前提は”Deny-all”、そして最小権限の原則、NAC、マイクロセグメンテーションなど、これらの技術やアプローチの一部もしくはすべてを含むものが「ゼロトラストの枠組み」と言えます。一方、セキュリティアーキテクチャの取り組みは決して簡単なものではありません。むしろセキュリティ分野の中では最も高度かつ困難な課題を担う業務だと言えます。セキュリティアーキテクチャの業者では、全領域を見渡しつつ、ネットワークの階層、未管理のホストへの対応、分離・セグメント化・隔離のルール、さまざまな要素を考慮する必要があります。ゼロトラストの枠組みの導入は検討すべきですが、ただしゼロトラストだけを強調したようなマーケティングは、実効性が伴わないリスクがあり注意が必要です。ゼロトラストについてはChase Cunningham氏のブログエントリ「Zero Trust On a Beer Budget」も参考になります。

ゼロトラストの実現をサポートするソリューション群

ゼロトラストをもとに、法人組織のおけるセキュリティ全体を設計していく場合に役立つソリューションは以下のとおりです。

サイバー攻撃の事前予防（EPP：Endpoint Protection Platform）：事後対処（EDR：Endpoint Detection and Response）を統合し、簡単かつ迅速なインシデント対応を実現する法人向け総合エンドポイントセキュリティの新製品「Trend Micro Apex One」

ワークロードの保護(仮想、物理、クラウド、およびコンテナ)：ネットワークセキュリティ: 侵入防御 (IPS/IDS)、ファイアウォール、システムセキュリティ: アプリケーションコントロール、変更監視、ログ検査、不正プログラム対策（機械学習型検索、振る舞い検知、ランサムウェア対策）およびWebレピュテーションによる「Trend Micro Deep Security™」

ネットワーク侵入防御システム（Network IPS）：最善の侵入防御を提供して、ネットワークの場所を問わずにさまざまな脅威をワイヤースピードで防御して重要なデータと評判を守る「TippingPoint」

ネットワークの脅威を監視：入口、出口、ネットワーク内部で標的型攻撃を検出して対応する「Deep Discovery ファミリ」

参考記事：

• 「Decrypting What Zero Trust Is, And What It Likely Isn’t」
  by Greg Young (Vice President for Cybersecurity)
  翻訳： 与那城 務（Core Technology Marketing, Trend Micro™ Research）

  ---

  
  本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
  ソース：https://blog.trendmicro.co.jp/archives/22733