脆弱性満載のVPN、ずさんなパスにF/WなしでPC接続──近年ゼロトラストが必要になった切実な事情

そもそもゼロトラストとは

　はい、前回は境界防御をメインにお話しさせていただきましたが、今回は「ゼロトラストとはなんぞや」というお話ができればと思います。

　ゼロトラストセキュリティモデル、ゼロトラストアーキテクチャは、先端的な研究者による造語、あるいはGoogleなどが最初に言い出し、取り組まれはじめたものです。

　ゼロトラストの考え方を一言で言うと「もう境界防御といった、彼我の境はないものと思え」みたいな感じですね。たとえば、極論を言うと「インターネット上にサーバーと端末があったとしても、その認証も脆弱性対策も完璧であれば、侵入はされないし悪用もされることはない」と一般的には思われがちです。

　しかしそれだけですと、以前にも言及したゼロデイの脆弱性や標的型攻撃メールといった、スクリプトの入った添付ファイルをうっかり開いてしまう人を狙った攻撃には対応できません。

　ですので「IDパスワードだけでは不十分なので、強固な認証手段を使いましょう」とか、「脆弱性対策はきちんとしろ」だとか、「メールなどに添付された危険なファイルは、必ず十分な検知をしろ」とかいったりするのはそれが背景です。端的に説明すると、これがゼロトラストという考え方であり、重要なものの概要になります。

　そして、このゼロトラストが今のビジネス情勢に実にハマりやすいものなんですね。

　どういうことなのか。まずコロナの影響でリモートワークが増え、外で仕事をすることも増えました。そして、リモートでよく使われるVPNというものは、仮想的に社内ネットワークを自宅まで延長するような感じのものです。

　しかしその肝心のVPN装置に脆弱性が多いとか、場合によってはVPN装置を使わずファイアウォールなしで直接パソコンにつなぐなど、ちょっと私の感覚からは信じられないような使い方をされた事例が、現実には数多くある。ですので「境界防御だと、ちょっと色々不自由だよね」という状況がまず存在します。

　またコロナの影響もありますが、近年多くの企業でクラウド利用が増えました。これは主にSaaSですね。

　様々な業務アプリケーションを自社で作る、あるいは用意するのではなくサーバー上のクラウドで提供されたものを使うというものです。となると、クラウドは境界の外にあるわけですから「企業システムが境界の中にない」ということになるわけですね。そうすると境界防御では守れないわけです。