「ゼロから学ぶ」ゼロトラストセキュリティ#09：実装編4「Akamai Technologies」

境界型セキュリティと真逆の考え方で守るゼロトラスト。この概念を具体化する製品が続々と登場するものの各社で開発方針が異なり、どの企業も「うちのが一番！」と張り合っている状況です。
そんな企業のひとつ「Akamai Technologies（アカマイ）」のゼロトラスト戦略について紹介します。

Akamai Technologiesの考えるゼロトラストセキュリティ

ゼロトラストモデルを提唱した、アメリカの調査会社「Forrester Research」が、2020年9月、「Zero Trust eXtended Ecosystem Platform Providers, Q3 2020」を公開。ゼロトラストソリューションを提供するベンダーのうち、優れたベンダーとして15社を発表しています。
その15社の中でもAkamai Technologiesは、リーダー企業として選出されています。

引用：The Forrester Wave™: Zero Trust eXtended Ecosystem Platform Providers, Q3 2020

キーワードはクラウドと脱VPN

そんなAkamai Technologiesはこう断言しています。
「ユーザー・アプリケーション・データの場所を問わず安全なアクセスを確保する施策とは、クラウドへの移行である」。
また、併せてVPNの廃止も強調しています。
かつては、特に、取引業者などハイリスクなユーザー用にグループを作成し、VPNを介してアクセスを許可していた企業が多数を占めていました。
Akamai Technologiesは、ゼロトラストセキュリティの原則に基づいて、特定のユーザーグループ用のVPNは廃止し、すべてのユーザーグループにアクセスを許可することから着手すべきだとしています。

Akamai Technologiesの描くゼロトラストモデル構成例

引用：ゼロトラスト・セキュリティ　リファレンスアーキテクチャ

Akamai Technologiesのゼロトラストモデルのキーワードは、クラウドと脱VPNです。同社は、毎日2.2兆のDNSクエリを処理する巨大なプラットフォームを有し、創業以来クラウドネイティブな企業であることからもその理由が理解できます。
Akamai Technologiesによるゼロトラストモデル構成例でも、肝になっているのがAkamai Intelligent Edge Platformです。全ユーザーがこのプラットフォームを介して企業アプリケーションやWebにアクセスすることで安全性を確保します。

Akamai Technologiesが提案するゼロトラスト実装ステップ

包括的で実現可能、かつクラウドネイティブなゼロトラストモデルを実現する方法として、Akamai Technologiesでは次の8つのステップを推奨しています。

• ステップ1：アプリケーションの事前確認
  使用するアプリケーションがプロキシサーバーの要件を満たしていることを確認します。
• ステップ2：プロキシの設定
  アプリケーションおよびアクセス特権やセキュリティ設定を認識するようにプロキシサーバーを構成します。
• ステップ3：検証とテスト
  テストラボのグループメンバーを決め、認証が正常に機能するか、適切に多要素認証が設定されているか、すべてのアプリケーションでシングルサインオンが機能するかを確認します。
• ステップ4：高度なセキュリティの検討
  SQLインジェクションやクロスサイトスクリプティングなどインジェクション攻撃に対するWeb Application Firewall（WAF）や高度な防御機能など、従来の境界型防御では実装できなかった機能を検討します。このとき、テストラボのメンバーは、新しい機能がアプリケーションの機能を阻害していないかを確認することが重要です。
• ステップ5：パフォーマンスの低下を検証
  この段階で、パフォーマンスの低下の有無を検証します。正確に計測するためにテストラボでの検証開始前にもパフォーマンスを計測しておきます。
• ステップ6：外部ユーザーの登録
  外部ユーザーを登録してアプリケーションを提供します。従来とはアクセス方法が変わるため、外部ユーザーグループのVPNは廃止することになります。
• ステップ7：アプリケーションをCNAMEエントリーに追加
  アプリケーションをCNAME（正規名）エントリーとして追加します。外部・内部に関わらず、全ユーザーが、プロキシを使用してアプリケーションにアクセスできるようになります。
• ステップ8：VLANに移行
  隔離されたVLANにアプリケーションを移行できます。移行しないと、引き続きIPアドレスで直接アプリケーションサーバーにアクセスできるため、ネットワーク境界内のマルウェアに対して脆弱になります。

Akamai Technologiesの製品でゼロトラストを実装した企業

実際にAkamai Technologies製品を実装してゼロトラストモデルを取り入れた企業について、導入理由を紹介します。
コロナ禍により予定よりも前倒しでテレワークの実現が要求されたものの、AkamaiのEAAを活用し、部分的にもスタートさせることができたと言います。

2011年に国内の建材・住宅設備メーカー5社が合併して誕生した、株式会社LIXIL。ITインフラが老朽化していたことに加え、買収により関連企業が増えることによってネットワークも複雑化していました。
このような理由から、ユーザーIDはシステムごとにバラバラ、外出先からのアクセスにVPNが必須でシームレスではないなど、多くの課題を抱えていたと言います。
このような問題をLIXILが解決するための柱としたのが、ゼロトラストの考え方です。

一方、既存システムを改修してゼロトラストモデルを実現するには、莫大なコストがかかります。そこで、Akamai Technologiesの「EAA（Enterprise Application Access）」に注目しました。
EAAは、ネットワーク全体へのアクセス許可ではなく、許可されたユーザーとデバイスのみが、必要な社内アプリケーションにアクセスできるようにするクラウドベースのサービスです。
場所やアプリケーションの種類を問わず、すべてのユーザーに安全なアクセスを提供できることから、LIXILのような、仕様の異なるシステムの混在という問題を抱えていた企業には最適な選択となったようです。

また、LIXILは数あるベンダーの中からAkamai Technologiesを選んだ理由として、EAAがAkamai Technologiesのサービス基盤上で動作していることが大きなポイントであったと述べています。
結果、セキュリティを高めると利便性が落ちると言われる中、その両方を高めることに成功しています。

「ゼロから学ぶ」ゼロトラスト#10」では、「Okta」のゼロトラスト戦略について紹介します。

【執筆：編集Gp　コンドウマリ】