ゼロトラストセキュリティと呼ばれる新しいセキュリティ概念が浸透しつつある昨今、もはやファイアウォールだけでは十分な防御が果たせなくなりつつある。この記事では、従来からあるファイアウォールの機能や概要を整理しつつ、ゼロトラストセキュリティ時代における新たなソリューションについて解説する。
ファイアウォールとは
ファイアウォールとは、外部から侵入しようとする不正アクセスなどのサイバー攻撃から社内ネットワークを防御し、逆に社内から外部への許可されていない通信を遮断するためのシステムである。もともと、「ファイアウォール(Firewall)」は防火壁を意味する単語であり、転じて社内ネットワークと外部のインターネットの境界を防御する「境界型防御」のセキュリティ対策システムの名称となった。
ファイアウォールは1台のパソコンを守るパーソナルファイアウォールと、社内ネットワーク全体を守るファイアウォールに大別される。パーソナルファイアウォールはソフトウェアとして提供されることが多く、例えばWindowsでは、OSの標準機能としてパーソナルファイアウォールが提供されている。
ファイアウォールの効果
ファイアウォールを設置することで、以下のような効果が期待される。
外部のサイバー攻撃から社内ネットワークを防御
ファイアウォールは外部のインターネットと社内ネットワークの境界に設置され、通過するパケットをフィルタリングする機能を持つ。あらかじめ設定したポリシーに基づき、許可されたパケットしか通過させないことで、外部のサイバー攻撃から社内ネットワークを守ることができる。
内部から外部への情報漏えいもシャットアウト
ファイアウォールは外部から内部への通信をチェックして不審な通信を遮断するだけでなく、逆に内部から外部への通信をチェックすることも可能だ。そのため、会社内部から顧客情報などの機密情報が外部に漏えいするリスクも低減できる。
セキュリティ管理の効率化
外部に漏らしてはならない機密情報を取り扱う部署と、外部に公開する情報を扱う公開サーバーを管理する部署とでは、当然ながら堅持すべきセキュリティレベルは異なってくる。ファイアウォールには、ネットワークアドレス変換機能(NAT)があり、個別の通信を特定のパソコン向けに割り当てることができるため、部署別にセキュリティレベルを設定することが可能となり、セキュリティ管理の効率化を実現できる。
ファイアウォールでは防げない攻撃
ファイアウォールは、長らくセキュリティ強化の要として導入されてきた。しかし、現在ではファイアウォールの有効性に懐疑的な見方も生じている。その理由は、サイバー攻撃が高度化したことで、ファイアウォールでは防げない攻撃が増えているためだ。
ファイアウォールはその仕組みによって、パケットフィルタリング型とアプリケーション・ゲートウェイ型に大別できるが、どちらの方式にも防げない攻撃が一部存在する。
パケットフィルタリング型
ヘッダー情報のみでアクセス許可・不許可を判断することから、ヘッダー情報さえアクセス許可の定義を満たせば、不正な通信であっても社内ネットワークに侵入できてしまう場合がある。
アプリケーション・ゲートウェイ型
アプリケーションレベルでフィルタリングを行うことから、パケットフィルタリング型よりも細かなアクセス制御が可能だ。しかし一方で、アプリケーション・ゲートウェイ型のファイアウォール自体が抱える脆弱性を狙った攻撃は防ぐことができない。
さらに、DMZ(DeMilitarized Zone:非武装地帯)と呼ばれる外部ネットワークと社内ネットワークの中間に設けられる、ネットワーク上のセグメント(区域)からの攻撃も防ぐことができない。
新しいセキュリティの考え方「ゼロトラスト」とは
テクノロジーの進化や働き方改革に伴う業務環境の変容によって、従来のファイアウォールに代表される「境界型防御」だけでは、すべてのセキュリティリスクへ対応することが難しくなってきている。そこで近年、注目を集めているキーワードが「ゼロトラスト」だ。ゼロトラストとは、「ゼロ」=「何も~しない」、「トラスト」=「信頼する」という言葉のとおり、「すべての通信を信頼しない」ことを前提に対策を講じる新しいセキュリティの考え方である。
従来のセキュリティモデルが性善説に基づくものだとすれば、ゼロトラストでは性悪説に基づいたアプローチにて対策を講じるものだと考えることもできる。ゼロトラストの理念に基づくセキュリティ対策が、ゼロトラストセキュリティである。
ゼロトラストセキュリティを実現するソリューション
ゼロトラストセキュリティは、すべてのアクセスや挙動などを監視するというセキュリティ全般に関わる考え方であり、その実現にはいくつかのソリューションを組み合わせることになる。その代表的なソリューションは以下のとおりだ。
アカウントの認証や管理を行うIAM
IAMは「Identity and Access Management」の略で、個人に紐付く複数のアカウントを統合的に管理するソリューションのことである。社内システムだけでなく各種クラウドサービスのアカウントを一括して適切に管理できるため、不正ログインのリスクを低減できる。
端末監視を行うEDR、ネットワーク監視を行うNDR、両者を組み合わせたXDR
EDRとは「Endpoint Detection Response」の略で、ユーザーが利用するパソコンなどのエンドポイント機器における不審な挙動を検知するものだ。従来のエンドポイント対策が侵入防御に重点を置いているのに対し、EDRは侵入防御だけでなく、侵入後の対策まで行うことが特長だ。
また、NDRと呼ばれるソリューションもある。NDRは「Network Detection and Response」の略で、ネットワークを流れるトラフィックを包括的に監視し、脅威を検知する。この両者を組み合わせた包括的なソリューションがXDR(Extended Detection and Response)であり、エンドポイント、ネットワーク、クラウドなどすべてのレイヤーからデータを収集し、相関付けることで脅威を迅速に検知する。
マルウェアの脅威からエンドポイントを守るEPP
EPPとは「Endpoint Protection Platform」の略で、エンドポイントを守ることに特化したソリューションであり、セキュリティソフトがその代表例だ。EPPは境界型防御と併せ、端末保護を目的としてクライアント端末に導入されてきた。ゼロトラストセキュリティにおいても、引き続きEPPが重要な対策であることに変わりはない。
モバイルデバイスを管理するMDM
MDMとは「Mobile Device Management」の略で、スマートフォンやタブレット、ノートパソコンなどのモバイルデバイスを遠隔から管理するソリューションである。仮にモバイルデバイスを紛失した場合、端末をロック、あるいは遠隔操作でデータを消去することで情報漏えいを防ぐことができる。モバイルデバイスを使ったテレワークが増えた昨今において、ゼロトラストセキュリティの実現には欠かせないソリューションの1つだ。
ポストVPNとして期待されるZTNA
ゼロトラストセキュリティの概念は、以前より利用されてきているVPNなどのソリューションの在り方にも大きな影響を与えている。コロナ禍により、リモートアクセスの手段として利用者が急増したVPNだが、そのセキュリティに疑問符が付くインシデントも少なからず生じており、VPNに代わる選択肢を模索する動きも広がっている。
VPN機器自体の脆弱性を狙う攻撃や、VPNに接続するためのIDとパスワードを詐取する攻撃といった事例が昨今生じており、ポストVPNとして注目を集めているのがZTNA(Zero Trust Network Access)だ。ゼロトラストの考え方に基づく、このソリューションの主な特徴は以下のとおりだ。
最小権限の原則
通常、VPNではアカウントが認証されれば、社内のすべてのネットワークへのアクセスが許可されるため、侵入者にラテラルムーブメント(水平展開または横展開)を許してしまう。しかしZTNAでは、ユーザーごとに与える権限を最小限にし、各自の業務に必要がないネットワークへのアクセスは許可されないため、ラテラルムーブメントを抑止できる。
高度なユーザー認証
VPNではIDとパスワードだけで認証が済んでしまうソリューションも少なくない。ZTNAではIDとパスワードだけでなく、指紋やSMSなども併用する多要素認証によってユーザー認証を高度化することで、第三者が別のユーザーになりすまして社内ネットワークに侵入するのを防ぐ。
端末ごとの信頼性評価
ユーザーが社内ネットワークにアクセスしようとする際に、その使用端末の信頼性を評価する。具体的には、会社支給か個人所有のものかの判別、セキュリティソフトの導入状況やOSのアップデート状況などを指標として判断を行う。評価の結果、信頼性が低いと評価された端末からの社内ネットワークへのアクセスを拒否することができる。
変わらない境界型防御の必要性
ゼロトラストセキュリティは確かに従来の境界型防御よりも一歩進んだセキュリティ対策の考え方だが、ゼロトラストセキュリティのソリューションを導入することで、境界型防御がすべて不要になると考えるのは早計かもしれない。
ゼロトラストセキュリティと境界型防御は、防御箇所や防御方法が異なるため、ゼロトラストとファイアウォールといった境界型防御を併用することで、より強固にネットワーク内部への不正侵入を抑止できるようになるのだ。
IPAが公開している「ゼロトラスト導入指南書」には以下のような記載がある。
“境界型防御とゼロトラストは、見ている視点が違うだけで、どちらが優れているから大丈夫、劣っている方は不要(ファイアウォール(FW)や境界型防御は不要)ということではない。そのため、既存の境界型防御を排除するだけでなく、 共存させることで、より良いセキュリティができるのではないかと考える。”
※引用:IPA ゼロトラスト導入指南書,P42
ますます凶悪化するサイバー攻撃に対処するためにも、ゼロトラストと境界型防御を組み合わせ、相互補完することでセキュリティレベルを高めるアプローチが求められているのだ。