ニュース
» 2014年05月23日 18時00分 UPDATE

もう誰も信用しない?:パロアルトが性悪説の「ゼロトラスト・ネットワーク・セキュリティ」を解説

次世代ファイアウォール製品を販売するパロアルトネットワークスは、壁を守るだけではなく内部にも脅威があるとする性悪説を基にした、「ゼロトラスト・ネットワーク・セキュリティ」のポイントを解説した。

[宮田健,@IT]

 パロアルト・ネットワークスは2014年5月23日、フォレスター・リサーチが2010年に提唱した「ゼロトラスト・ネットワーク・セキュリティ」の考え方をメディア関係者に解説した。社内は安全であるという前提に立って境界を守るやり方では守れなくなった現状を考え、「信頼しないことを前提とし、全てのトラフィックを検査、ログ取得を行う」という性悪説のアプローチだ。

「壁」の中にも脅威があることを前提にせよ

tm_paloalto01.jpg パロアルトネットワークス技術本部長 乙部幸一朗氏

 パロアルトネットワークス技術本部長の乙部幸一朗氏は、セキュリティの現状を人気コミックの「進撃の巨人」に例え、壁と門に頼るアプローチに限界が来ていると述べる。

 2013年に発生した米小売大手のTargetにおける情報漏えい事件では、POS端末上で盗んだカード情報は、Targetの社内ネットワークを使って外部に送信されていた。自社ネットワーク内を不審なデータが巡っていたにもかかわらず、見つけられなかったことになる。

 乙部氏はこれまでのセキュリティの考え方は、「内側は安全」という前提で壁を高く作るものだったとした。しかし「外部だけを見ていたセキュリティから、内部の脅威を前提とした考え方が必要。それがゼロトラスト・ネットワーク・セキュリティだ」と述べる。

tm_paloalto02.jpg 情報セキュリティを「性善説」から「性悪説」へ

ゼロトラスト・ネットワーク・セキュリティとは?

 ゼロトラスト・ネットワーク・セキュリティでは、「全てを信じない」という前提で設計されるネットワーク構成だ。ユーザー、パケット、インターフェイス、ネットワークに対し、常に疑いを持って接する。

 ポイントとなるのは以下の5つだ。

ゼロトラスト・ネットワークを構築する5つのポイント
全てのリソースは、社内・社外ネットワークを区別せずに、安全な方法でアクセスされる
アクセスコントロールは、「必要な情報だけを知ること」をベースに、厳密に適用する
検証して、信頼しないことを前提とする
全てのトラフィック、パケットを検査するとともにログを取る
ネットワークは「最も機密性の高い情報は何か」「そこに対してどう保護できるか」を起点に、内側から外側に向けたアプローチを取る

 この考え方は、すでにマルウェアや悪意ある従業員が社内に入り込んでいることを前提としたものだ。この実現には、ネットワーク全体を可視化し、社内・社外のセグメント間で、誰の、どのようなパケットが、どのようなアプリで通信されているかを確認できる環境が必要となる。

 この実現手段として、パロアルトネットワークスは次世代ファイアウォールの適用を推奨している。同社の次世代ファイアウォール製品である「PAシリーズ」では、通過する通信内容をアプリケーション、ユーザー、コンテンツごとに分類できるため、ゼロトラスト・ネットワークを構築するための「可視化」が可能だという。この情報を基に、社内CSIRTやマネージド・セキュリティ・サービスプロバイダー(MSSP)が判断することになる。

tm_paloalto03.jpg 次世代ファイアウォールは通信の内容をアプリケーションレベルで可視化できるので、その内容をチェックすることでゼロトラスト・ネットワーク・セキュリティを実現する

 乙部氏によると、これまでファイアウォール製品ではエントリーモデルが売れていたが、最近は内部セグメントでもファイアウォール製品を使うなど利用範囲が広がっており、より上位のマルチギガクラスの製品が選択されるケースが増えてきた。乙部氏は、内部犯行による事件の増加、そして次世代ファイアウォールの登場でメリットが増えたことにより「ゼロトラスト・ネットワーク・セキュリティ的な考え方は今後も注目を集めるだろう」と述べた。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。