米グーグルはテレワークでVPNを使わない

米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/

※ コロナのお陰もあって、テレワークやリモート・ワークが進行していくと、もはや「境界防御」という考え方が、成立しなくなった…。

※ これまでは、「安全な接続体制」を「一元的」「中央管理的」に構築しておいて、そこの「境界で」不正な接続を防御する…、という思想だった…。

※ VPNも、その思想の延長線上にあり、「安全な接続体制の内部」に進入することを、「許可する」ための仕組みだった、と評価できる…。

※ しかし、それではもはや、間に合わなくなった…。というのは、「端末」自体もワーカーが「買い換える」ということや、「複数台保有する」ということが普通の状況になった…。また、接続して来る「場所」も、常に「自宅」からとは、限らない…。近所の「カフェ」かもしれないし、自宅の近所に借りた「ワーク・スペース」かもしれない…。そういう多種・多様な「接続形態」に対応することが、迫られるようになった…。

※ さらには、Emotet(エモテット)みたいな「マルウェア・プラットフォーム」と呼ぶべき「攻撃形態」も出現し、一旦「信頼できる接続」として「内部への進入を許した」が最後、「情報を根こそぎ持っていかれる」というようなものも出現した…。もはや、「内部からの接続」自体、「信頼できるもの」じゃ無い可能性があるんだ…。

※ そこで、発想を転換して、「全ては、信頼できないネットワークである、という前提で」、セキュリティ対策を考えるようになった…。それが、「ゼロトラスト」というものらしい…。

※ 実際には、「認証の発行の山」と、「認証サーバ」の設置で実行するようだ…。「認証ID」は、一回発行したら、ずっとそのまま…、というわけにいかない…。定期的に、その都度「認証ID」を発行し、「認証サーバ」と連携させて、一回一回、認証して行くわけだな…。

※ 実際、ネットバンキングなんか使うと、その都度端末に(オレは、まだガラケー…)、「ワンタイムパスワード」なるものが送信されて来る…。そういうものを、入力したりして「認証」するわけだな…。いわゆる、「二段階認証」というものか…。

『新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。』
『米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「GSuite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。

 同社はこうした社内事情を「BeyondCorp」という取り組みとしてWebサイトや論文で公開している。さらに2017年からはグーグルと同じ手法を一般企業が導入できるよう「Google Cloud」のセキュリティーサービスとして提供してもいる。論文を基にその詳細を見ていこう。

脱VPNの背景に「ゼロトラスト」
 グーグルがVPNを使わなくなった背景には、いわゆる「ゼロトラスト・ネットワーク」の考え方があった。ネットワークは全て危険だと認識し、ネットワークの種類に基づいてアプリケーションへのアクセスを許可しないというのがゼロトラスト・ネットワークである。

関連記事:全てを疑うセキュリティー対策「ゼロトラスト」が9年たって注目される理由
 一般企業においては通常、ファイアウオールなどで守られたイントラネットは「安全なネットワーク」だと考えている。社内アプリケーションは「安全な」イントラネットからならアクセスできるが、インターネット経由ではアクセスできない。だから従業員がリモートから作業するためには、VPNで「安全な」イントラネットに接続する必要がある。

 しかしこうした従来の考え方には弱点がある。ファイアウオールなどによるネットワークの「境界防御」が破られ、「安全な」ネットワークの内側に侵入されると、侵入者によって社内アプリケーションへ好き勝手にアクセスされてしまう問題があるのだ。実際に近年、このようなセキュリティー事件が頻発している。標的型攻撃などによって従業員のアカウントが乗っ取られ、それを踏み台に社内ネットワークへの侵入を許してしまうのだ。

 ゼロトラスト・ネットワークの考え方においては、どのような種類のネットワークであっても信頼しない。グーグルもオフィスの中にはプライベートIPアドレスを使った社内ネットワークを構築しているが、それも「信頼できないネットワーク」として定義している。プライベートIPアドレスが付与されただけでは、社内アプリケーションは利用できない。

端末やユーザーによってアクセス制御
 社内アプリケーションへのアクセスは、社内ネットワークからであっても社外からであっても必ず「アクセスプロキシー(認証サーバー)」を経由させる。このアクセスプロキシーで端末の情報やユーザーの属性をチェックすることで、社内アプリケーションの利用の可否を細かく制御しているのだ。

 例えばアプリケーション開発に使用する「バグ追跡システム」には「開発用端末」を使う「フルタイム」の「エンジニア職種」でなければアクセスできない、経理システムには「非開発用端末」を使う「フルタイムまたはパートタイム」の「経理部員」しかアクセスできないといった具合だ。アプリケーションごとに細かいACL(アクセス・コントロール・リスト)を用意している。

端末の認証にはハードウエア的な手法とソフトウエア的な手法の両方を使っている。グーグルは「Titan」という端末認証用のセキュリティーチップを自社で開発しているほどだ。パソコンやスマートフォン、タブレットといった端末の種類や、「OSのセキュリティーパッチの適用状況」といった端末の状態も細かくチェックする。

クラウドのサービスとしても提供
 グーグルは2017年から、自社が「脱VPN」をなし遂げるために開発したソフトウエアなどをクラウドのサービスとしても提供している。アプリケーションへのアクセス制御に使うプロキシーである「Cloud Identity-Aware Proxy(Cloud IAP)」や、アクセス制御の詳細を管理する「Cloud Identity and Access Management(IAM)」などで、同社は端末やユーザーの属性、状態などに基づくアクセス制御のソリューションを「コンテキストアウェア アクセス」と呼んでいる。

 またグーグルは2019年から、SIEM(セキュリティー情報イベント管理)のクラウドサービスも始めている。セキュリティー関連のログデータを容量無制限で保管し、グーグルの検索技術を使って瞬時に危険な情報を検出できるのを特徴とする。当初は独立した子会社であるクロニクル(Chronicle)を通じて販売していたが、クロニクルは2019年にGoogle Cloudに合流している。

関連記事:容量無制限とセキュリティーログの検索性で差異化、グーグルのSIEM
 こうしたクラウドサービスの提供によって、一般企業であってもグーグル並みのアクセス制御やセキュリティー管理ができるお膳立てはされている。しかしユーザー企業が「脱VPN」を果たす上で最も難しいのは、社内アプリケーションのゼロトラスト対応といった移行作業だろう。グーグルもゼロトラスト・ネットワークを構築するのに8年の時間を要したと述べている。

 サイバー攻撃の高度化によってゼロトラスト・ネットワークの考え方が必須になった中、安全な社内ネットワークの存在が前提になっているVPNが時代遅れになったのは間違い無い。またリモートワークの生産性向上のためにも脱VPNが望ましい。ユーザー企業にとってはアプリケーションの改修も含めた、難しい対応が迫られていると言えそうだ。』

VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ?
https://www.itmedia.co.jp/business/articles/2008/10/news007.html 

『テレワークで顕在化した、境界防御の限界
 これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威がうようよしていて危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方に立脚してきた。

 パソコンやサーバ、業務アプリケーションがLAN内にあり、ゲートウェイを介してインターネットにアクセスすることが前提──といった、インターネット普及期から2000年代後半までのITシステムならば、それがコストパフォーマンスもいいし、セキュリティポリシーやガバナンスを適用させる一番いい方法だった。そして、どうしてもリモートからアクセスする必要がある場合にはVPNという技術を使って、自宅やリモート拠点などを実質的に「内部」と化すことで、同様のセキュリティを担保してきた。

 しかし、クラウドサービスやモバイルデバイスの普及といったここ十年の環境の変化が、境界型セキュリティの限界を徐々に明らかにさせてきた。

 従業員はもはや社内オフィスにいるとは限らない。重要なデータやアプリケーションも、オンプレミス環境に残っているものももちろんあるが、SaaS、IaaSなどさまざまな形でクラウドへの移行を進める企業が増えている。

 こうして境界があいまいになるにつれ、この数年、多くの人がこれまでのセキュリティ対策の在り方、境界型セキュリティの限界をうっすらと感じてきたのではないだろうか。その問題がいよいよ、新型コロナ対策として広がったテレワークにより多くの従業員が境界の外から業務をするようになって、とうとう顕在化したといえる。

 これまでのアーキテクチャでテレワークをする場合、従業員からの通信はVPNを利用していったん内部に集約される。しかし働き方改革の一環とか、管理者のメンテナンスという観点でごく一部が利用するのとは異なり、数百人、数千人という桁違いの利用者がVPNを利用した結果、帯域や機器の負荷が増大してパフォーマンスが低下し、「これでは使えない」と文句が出たり、時間を区切ってローテーションで利用したりするケースもあるという。

 特に顕著な影響が出ているのは、いったん企業のVPNゲートウェイを経由してクラウドサービスを利用する場合だろう。自宅からダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっている。

 既存の対策の限界をあぶり出した要因はもう1つある。サイバー攻撃の高度化だ。攻撃者は、被害者をだましてメールの添付ファイルやWebサイトをクリックさせたり、RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で“弱いパスワード”が設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で信頼されている内部に侵入する。

 こうして一度内部に忍び込んで足掛かりを築いてしまえば、後は攻撃者のやりたい放題だ。信頼されているのだから、共有ファイルサーバやディレクトリサーバへのアクセスも可能になるが、境界型防御では、入り込まれた後のこうした振る舞いには手が出ない。

 このように、IT環境の変化とサイバー攻撃の高度化という2つの理由で徐々に明らかになっていた境界型セキュリティの限界が、新型コロナウイルスの到来に伴い、半ば強制的に突きつけられた状態だ。そして、これに代わるアプローチとして浮上している考え方がゼロトラストセキュリティだ。』
『内側も外側と等しく「常に信頼しない」
 ゼロトラストセキュリティとは、米国の調査会社フォレスター・リサーチのアナリストが提唱した考え方だ。内部に潜む脅威を前提に、またクラウドやモバイルなど外部にあるリソースの活用を念頭に置き「あらゆるものを信頼できない」という前提で、常に確認しながら扱おうという姿勢だ。

 ゼロトラストの考え方では、社員であろうと、一度認証を済ませたデバイスであろうと、内部ネットワークにあるリソースであろうと無条件では信頼しない。IDベースで認証を行い、機器のセキュリティ状態のチェックなどを継続的に行って常に状況を確認し、適切かつ必要最小限のリソースへのアクセスのみを許可するというアプローチだ。

  また、一度信頼できると判断した相手でも、5分後には信頼できない状態になっているかもしれない、という前提に立ち、継続的にチェックを行うこともゼロトラストのポイントだ。いつ、何が行われたかのログを収集して振る舞いや疑わしい動きなどを確認し、必要なアップデートなどが適用されているかもチェックする。

 ゼロトラストセキュリティを構成する要素を具体的に挙げてみると、

認証、認可、アクセス制御の仕組み
(境界に設置していた多層防御を補う)エンドポイントセキュリティの強化と検知・対処の仕組み
(境界に設置していたネットワークセキュリティを補う)クラウドベースのプロキシ、ファイアウォールなど
これらのログを統合管理する仕組み
 ──などが挙げられる。すでに何らかの形で導入済みの機能もあるだろうが、ゼロトラストセキュリティのポイントは、こうした機能をクラウド基盤で提供することで、オンプレミス環境では実現が難しかった拡張性、可用性を備えた形で、内と外との区別なくセキュリティ対策を実現することだ。

Googleの「BeyondCorp リモート アクセス」の例。ゼロトラストの考えに基づいたもので、VPNを使わなくても社内向けアプリにアクセスできる=Google Cloudのブログより
 考えてみれば、これまでの境界型セキュリティは、外部に対するゼロトラストを前提に、外部からのリクエストやアクセス、リソースは「信頼できないもの」として扱い、相手を確認(認証)したり、内容をチェックしたりしていた。ゼロトラストセキュリティではこれらを内部にも広げ、相手が何であろうと誰であろうと、同等のチェックを行うものといえるだろう。LANや企業内ネットワークという考え方を先にするのではなく、クラウドやインターネットという概念を第一に考えると、自ずとこうした考え方に行き着くのかもしれない。

 こうした合理的な考え方に基づき、海外ではGoogleやMicrosoftといったIT大手がゼロトラストセキュリティのアプローチを採用し、従業員が社内にいようと社外にいようと、またどんなデバイスを使っていても、セキュリティを担保する仕組みに移行してきた。この流れは日本国内でも徐々に広がっており、LIXILなどが“脱VPN”を進めている。

 ただ、ゼロトラストのアプローチを検討するには、いくつか留意すべきポイントがあるように思う。

まずは、ITアーキテクチャの整理やクラウド移行、テレワーク導入といったITの全体像を見据えながら検討することだ。「これからはゼロトラストだ」と張り切ってポイントソリューションを導入しても、境界型防御との整合性がとれなかったり、対策が抜け落ちた範囲が生じたりと、ちぐはぐな状態になる恐れがある。そうすると、これまでのセキュリティの歴史を繰り返すかのように、単なるバズワードで終わってしまうかもしれない。全体像を把握し、「このアクセスはどうやって保護するのか」「このユーザーはどういう状態にあるのか」を検討することが重要だ。

 また、何か1つソリューションを導入したらゼロトラストが実現できるかというと、そういうわけではない。これもセキュリティ製品の歴史でたびたび繰り返されてきたことだが、「これを買えばゼロトラスト」という宣伝があれば、むしろ疑いの目で見たほうがいい。

 もう1つ、文化や考え方を変えるには時間がかかる。境界型セキュリティは、戸口をしっかり閉めて泥棒が入り込まないようにするという、人間にとって直感的に分かりやすいイメージで捉えることができた。これに対し、ゼロトラストの考え方はちょっと抽象的だ。場所を問わないという意味で、自社の文化や働き方、労務規定などともすりあわせながら進めていく必要がある。

 予算や運用といった現実を考えても、段階を踏んで、できるところからゼロトラストを導入していくことがベターだろう。ただ、そうした移行期間こそ、捨て去るつもりで無防備な状態になった資産が実は生きていたり、境界防御で守る領域とゼロトラストベースで守る領域とでセキュリティギャップが生まれたり、試験的に動かし始めた環境が思った以上に多くのリソースにアクセスできる状態になっていたり──と、攻撃者にとっては狙い目になる恐れもある。あれもこれもとさまざまなタスクがある中では大変なのは重々承知だが、だからこそ常に慎重に、確認しながら取り組むのがいいだろう。』