Googleも採用

[高橋睦美ITmedia]

 新型コロナウイルスの感染対策として広がったテレワーク。社員にパソコンなどを用意して環境を整えたまではいいが、いざ全社的にテレワークを始めてみると「VPN(Virtual Private Network)で会社につなげたくても、回線や機器の負荷が高すぎてつながらない」「重たくて仕事にならない」といった声があちこちで聞こえてきた。また、社員の姿が直接見えなくなってあらためて、セキュリティは保たれているのか、いざ問題が発生したときに適切に対応できるか、不安を感じる企業も少なくない。

 そうした中、VPNという「境界防御」の延長線上にある技術ではなく「ゼロトラストセキュリティ」という新しいモデルに基づいてテレワーク環境の構築を進める企業が日本でも登場してきた。実はこのゼロトラストセキュリティという考え方は、約10年前に登場しており、GoogleやMicrosoftといった大手IT企業が採用してきたものだが、テレワーク時代になってにわかに耳にする機会が増えている。

写真はイメージです(提供:ゲッティーイメージズ)

テレワークで顕在化した、境界防御の限界

 これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威がうようよしていて危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方に立脚してきた。

 パソコンやサーバ、業務アプリケーションがLAN内にあり、ゲートウェイを介してインターネットにアクセスすることが前提──といった、インターネット普及期から2000年代後半までのITシステムならば、それがコストパフォーマンスもいいし、セキュリティポリシーやガバナンスを適用させる一番いい方法だった。そして、どうしてもリモートからアクセスする必要がある場合にはVPNという技術を使って、自宅やリモート拠点などを実質的に「内部」と化すことで、同様のセキュリティを担保してきた。

 しかし、クラウドサービスやモバイルデバイスの普及といったここ十年の環境の変化が、境界型セキュリティの限界を徐々に明らかにさせてきた。

 従業員はもはや社内オフィスにいるとは限らない。重要なデータやアプリケーションも、オンプレミス環境に残っているものももちろんあるが、SaaS、IaaSなどさまざまな形でクラウドへの移行を進める企業が増えている。

 こうして境界があいまいになるにつれ、この数年、多くの人がこれまでのセキュリティ対策の在り方、境界型セキュリティの限界をうっすらと感じてきたのではないだろうか。その問題がいよいよ、新型コロナ対策として広がったテレワークにより多くの従業員が境界の外から業務をするようになって、とうとう顕在化したといえる。

 これまでのアーキテクチャでテレワークをする場合、従業員からの通信はVPNを利用していったん内部に集約される。しかし働き方改革の一環とか、管理者のメンテナンスという観点でごく一部が利用するのとは異なり、数百人、数千人という桁違いの利用者がVPNを利用した結果、帯域や機器の負荷が増大してパフォーマンスが低下し、「これでは使えない」と文句が出たり、時間を区切ってローテーションで利用したりするケースもあるという。

 特に顕著な影響が出ているのは、いったん企業のVPNゲートウェイを経由してクラウドサービスを利用する場合だろう。自宅からダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっている。

 既存の対策の限界をあぶり出した要因はもう1つある。サイバー攻撃の高度化だ。攻撃者は、被害者をだましてメールの添付ファイルやWebサイトをクリックさせたり、RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で“弱いパスワード”が設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で信頼されている内部に侵入する。

 こうして一度内部に忍び込んで足掛かりを築いてしまえば、後は攻撃者のやりたい放題だ。信頼されているのだから、共有ファイルサーバやディレクトリサーバへのアクセスも可能になるが、境界型防御では、入り込まれた後のこうした振る舞いには手が出ない。

 このように、IT環境の変化とサイバー攻撃の高度化という2つの理由で徐々に明らかになっていた境界型セキュリティの限界が、新型コロナウイルスの到来に伴い、半ば強制的に突きつけられた状態だ。そして、これに代わるアプローチとして浮上している考え方がゼロトラストセキュリティだ。