「ゼロトラスト」ということ…。

米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/

※ コロナのお陰もあって、テレワークやリモート・ワークが進行していくと、もはや「境界防御」という考え方が、成立しなくなった…。

※ これまでは、「安全な接続体制」を「一元的」「中央管理的」に構築しておいて、そこの「境界で」不正な接続を防御する…、という思想だった…。

※ VPNも、その思想の延長線上にあり、「安全な接続体制の内部」に進入することを、「許可する」ための仕組みだった、と評価できる…。

※ しかし、それではもはや、間に合わなくなった…。というのは、「端末」自体もワーカーが「買い換える」ということや、「複数台保有する」ということが普通の状況になった…。また、接続して来る「場所」も、常に「自宅」からとは、限らない…。近所の「カフェ」かもしれないし、自宅の近所に借りた「ワーク・スペース」かもしれない…。そういう多種・多様な「接続形態」に対応することが、迫られるようになった…。

※ さらには、Emotet(エモテット)みたいな「マルウェア・プラットフォーム」と呼ぶべき「攻撃形態」も出現し、一旦「信頼できる接続」として「内部への進入を許した」が最後、「情報を根こそぎ持っていかれる」というようなものも出現した…。もはや、「内部からの接続」自体、「信頼できるもの」じゃ無い可能性があるんだ…。

※ そこで、発想を転換して、「全ては、信頼できないネットワーク、アクセスである、という前提で」、セキュリティ対策を考えるようになった…。それが、「ゼロトラスト」というものらしい…。

※ 実際には、「認証の発行の山」と、「認証サーバ」の設置で実行するようだ…。「認証ID」は、一回発行したら、ずっとそのまま…、というわけにいかない…。定期的に、その都度「認証ID」を発行し、「認証サーバ」と連携させて、一回一回、認証して行くわけだな…。

※ 実際、ネットバンキングなんか使うと、その都度端末に(オレは、まだガラケー…)、「ワンタイムパスワード」なるものが送信されて来る…。そういうものを、入力したりして「認証」するわけだな…。いわゆる、「二段階認証」というものか…。

『新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。』『米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「GSuite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。』

※ 警告により、Xtechの記事の転載を削除しました。

※  Xtech 、ちょっとやりすぎなんじゃないか?

※ 修正するの、大変だ…。おまけに、WordPress.comのエディターが、投稿時は、classicタイプとかで、古いもののようで、操作のやり方なんか、とっくに忘れてしまっていた…。

※ いやいや、難儀した…。

※ ほぼ、別記事に差し替えた…。

VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ? https://www.itmedia.co.jp/business/articles/2008/10/news007.html 

『テレワークで顕在化した、境界防御の限界 これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威がうようよしていて危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方に立脚してきた。

 パソコンやサーバ、業務アプリケーションがLAN内にあり、ゲートウェイを介してインターネットにアクセスすることが前提──といった、インターネット普及期から2000年代後半までのITシステムならば、それがコストパフォーマンスもいいし、セキュリティポリシーやガバナンスを適用させる一番いい方法だった。そして、どうしてもリモートからアクセスする必要がある場合にはVPNという技術を使って、自宅やリモート拠点などを実質的に「内部」と化すことで、同様のセキュリティを担保してきた。

 しかし、クラウドサービスやモバイルデバイスの普及といったここ十年の環境の変化が、境界型セキュリティの限界を徐々に明らかにさせてきた。

 従業員はもはや社内オフィスにいるとは限らない。重要なデータやアプリケーションも、オンプレミス環境に残っているものももちろんあるが、SaaS、IaaSなどさまざまな形でクラウドへの移行を進める企業が増えている。

 こうして境界があいまいになるにつれ、この数年、多くの人がこれまでのセキュリティ対策の在り方、境界型セキュリティの限界をうっすらと感じてきたのではないだろうか。その問題がいよいよ、新型コロナ対策として広がったテレワークにより多くの従業員が境界の外から業務をするようになって、とうとう顕在化したといえる。

 これまでのアーキテクチャでテレワークをする場合、従業員からの通信はVPNを利用していったん内部に集約される。しかし働き方改革の一環とか、管理者のメンテナンスという観点でごく一部が利用するのとは異なり、数百人、数千人という桁違いの利用者がVPNを利用した結果、帯域や機器の負荷が増大してパフォーマンスが低下し、「これでは使えない」と文句が出たり、時間を区切ってローテーションで利用したりするケースもあるという。

 特に顕著な影響が出ているのは、いったん企業のVPNゲートウェイを経由してクラウドサービスを利用する場合だろう。自宅からダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっている。

 既存の対策の限界をあぶり出した要因はもう1つある。サイバー攻撃の高度化だ。攻撃者は、被害者をだましてメールの添付ファイルやWebサイトをクリックさせたり、RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で“弱いパスワード”が設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で信頼されている内部に侵入する。

 こうして一度内部に忍び込んで足掛かりを築いてしまえば、後は攻撃者のやりたい放題だ。信頼されているのだから、共有ファイルサーバやディレクトリサーバへのアクセスも可能になるが、境界型防御では、入り込まれた後のこうした振る舞いには手が出ない。

 このように、IT環境の変化とサイバー攻撃の高度化という2つの理由で徐々に明らかになっていた境界型セキュリティの限界が、新型コロナウイルスの到来に伴い、半ば強制的に突きつけられた状態だ。そして、これに代わるアプローチとして浮上している考え方がゼロトラストセキュリティだ。』
『内側も外側と等しく「常に信頼しない」
 ゼロトラストセキュリティとは、米国の調査会社フォレスター・リサーチのアナリストが提唱した考え方だ。内部に潜む脅威を前提に、またクラウドやモバイルなど外部にあるリソースの活用を念頭に置き「あらゆるものを信頼できない」という前提で、常に確認しながら扱おうという姿勢だ。

 ゼロトラストの考え方では、社員であろうと、一度認証を済ませたデバイスであろうと、内部ネットワークにあるリソースであろうと無条件では信頼しない。IDベースで認証を行い、機器のセキュリティ状態のチェックなどを継続的に行って常に状況を確認し、適切かつ必要最小限のリソースへのアクセスのみを許可するというアプローチだ。

  また、一度信頼できると判断した相手でも、5分後には信頼できない状態になっているかもしれない、という前提に立ち、継続的にチェックを行うこともゼロトラストのポイントだ。いつ、何が行われたかのログを収集して振る舞いや疑わしい動きなどを確認し、必要なアップデートなどが適用されているかもチェックする。

 ゼロトラストセキュリティを構成する要素を具体的に挙げてみると、

認証、認可、アクセス制御の仕組み
(境界に設置していた多層防御を補う)エンドポイントセキュリティの強化と検知・対処の仕組み
(境界に設置していたネットワークセキュリティを補う)クラウドベースのプロキシ、ファイアウォールなど
これらのログを統合管理する仕組み
 ──などが挙げられる。すでに何らかの形で導入済みの機能もあるだろうが、ゼロトラストセキュリティのポイントは、こうした機能をクラウド基盤で提供することで、オンプレミス環境では実現が難しかった拡張性、可用性を備えた形で、内と外との区別なくセキュリティ対策を実現することだ。

Googleの「BeyondCorp リモート アクセス」の例。ゼロトラストの考えに基づいたもので、VPNを使わなくても社内向けアプリにアクセスできる=Google Cloudのブログより
 考えてみれば、これまでの境界型セキュリティは、外部に対するゼロトラストを前提に、外部からのリクエストやアクセス、リソースは「信頼できないもの」として扱い、相手を確認(認証)したり、内容をチェックしたりしていた。ゼロトラストセキュリティではこれらを内部にも広げ、相手が何であろうと誰であろうと、同等のチェックを行うものといえるだろう。LANや企業内ネットワークという考え方を先にするのではなく、クラウドやインターネットという概念を第一に考えると、自ずとこうした考え方に行き着くのかもしれない。

 こうした合理的な考え方に基づき、海外ではGoogleやMicrosoftといったIT大手がゼロトラストセキュリティのアプローチを採用し、従業員が社内にいようと社外にいようと、またどんなデバイスを使っていても、セキュリティを担保する仕組みに移行してきた。この流れは日本国内でも徐々に広がっており、LIXILなどが“脱VPN”を進めている。

 ただ、ゼロトラストのアプローチを検討するには、いくつか留意すべきポイントがあるように思う。

まずは、ITアーキテクチャの整理やクラウド移行、テレワーク導入といったITの全体像を見据えながら検討することだ。「これからはゼロトラストだ」と張り切ってポイントソリューションを導入しても、境界型防御との整合性がとれなかったり、対策が抜け落ちた範囲が生じたりと、ちぐはぐな状態になる恐れがある。そうすると、これまでのセキュリティの歴史を繰り返すかのように、単なるバズワードで終わってしまうかもしれない。全体像を把握し、「このアクセスはどうやって保護するのか」「このユーザーはどういう状態にあるのか」を検討することが重要だ。

 また、何か1つソリューションを導入したらゼロトラストが実現できるかというと、そういうわけではない。これもセキュリティ製品の歴史でたびたび繰り返されてきたことだが、「これを買えばゼロトラスト」という宣伝があれば、むしろ疑いの目で見たほうがいい。

 もう1つ、文化や考え方を変えるには時間がかかる。境界型セキュリティは、戸口をしっかり閉めて泥棒が入り込まないようにするという、人間にとって直感的に分かりやすいイメージで捉えることができた。これに対し、ゼロトラストの考え方はちょっと抽象的だ。場所を問わないという意味で、自社の文化や働き方、労務規定などともすりあわせながら進めていく必要がある。

 予算や運用といった現実を考えても、段階を踏んで、できるところからゼロトラストを導入していくことがベターだろう。ただ、そうした移行期間こそ、捨て去るつもりで無防備な状態になった資産が実は生きていたり、境界防御で守る領域とゼロトラストベースで守る領域とでセキュリティギャップが生まれたり、試験的に動かし始めた環境が思った以上に多くのリソースにアクセスできる状態になっていたり──と、攻撃者にとっては狙い目になる恐れもある。あれもこれもとさまざまなタスクがある中では大変なのは重々承知だが、だからこそ常に慎重に、確認しながら取り組むのがいいだろう。』

グーグル、VPNを使わないゼロトラスト製品「BeyondCorp Enterprise」を販売
プロキシに加えてWebブラウザ「Chrome」に脅威対策を内蔵
https://it.impress.co.jp/articles/-/20992