連載
» 2020年08月31日 05時00分 公開

羽ばたけ!ネットワークエンジニア(31):「ゼロトラスト」を理由に閉域網を捨てるのは間違い

コロナ禍で在宅勤務が急増した結果、ゼロトラストへの関心が高まっている。ゼロトラストを採用した企業ではテレワークが急増しても「VPN渋滞」にならなかった、などとニュースなどで紹介されている。ゼロトラストでは「企業ネットワーク=閉域網」の在り方はどうなるのだろう?

[松田次博,@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

「羽ばたけ!ネットワークエンジニア」のインデックス

連載:羽ばたけ!ネットワークエンジニア

 今回取り上げるゼロトラストはZTNA(Zero Trust Network Access)のことである。従来のセキュリティ防御のモデルは危険なネットワーク(インターネット)と安全な閉域網(イントラネット)の境界にファイアウォールやプロキシ、サンドボックスなどを設置し、外部からの脅威がイントラネットに侵入するのを防ぐ、「境界型モデル」と呼ばれるものだった。イントラネットからのアクセスは安全であると信頼し、外部からのアクセスは危険と見なす。

 これに対してZTNAは端末やユーザーがどんなネットワークからアクセスしているのかを問わず信頼しない(ゼロトラスト)。情報資産(アプリケーションなど)へのアクセスを毎回、証明書、デバイスの正当性、場所などによって厳密にチェックし、強固なセキュリティを実現する。IDとパスワードさえ合っていれば信頼するといった単純なセキュリティチェックではない。

境界型の限界はもはや明らか

 新型コロナウイルス感染症(COVID-19)の流行以前から、境界型の限界は明らかになっていた。標的型メールや「Emotet」マルウェアなどで巧みに境界内に侵入してしまえば、情報を盗み出すことは難しくない。名だたる大企業から国家機密に関わるような情報を盗まれたというニュースを度々目にする。境界型モデルに限界があることは明白だ。

 2020年の春、新型コロナ対策でいきなり在宅勤務が増え、急ごしらえのVPN(仮想プライベートネットワーク)接続が増えたことでセキュリティインシデントとVPN渋滞が問題になった。

 だがこれはVPN自体の限界ではない。筆者は2020年3月以来、在宅勤務で会社支給のシンクライアントPCをVPN接続で使っている。セキュリティ問題やVPN渋滞は起こっていない。証明書や複数パスワードの使用など、厳密なセキュリティチェックと適切なネットワークキャパシティーの管理ができている企業なら、VPN接続でも問題が起こる可能性は少ない。

 ではVPN渋滞が起こるのはなぜだろうか。セキュリティをがっちり固めたVPNでもトラフィックの流れに無駄が残っているからだ。図1の左下にあるテレワークのPCからインターネット上のクラウドにアクセスすると、トラフィックはいったんイントラネットに入ってイントラネットのインターネット接続回線からクラウドに流れる。「Zoom」は在宅勤務でよく使われるクラウドサービスの代表格である。テレワークのPCからインターネットで直接Zoomに接続できればイントラネットのVPN用回線やインターネット回線に無駄な負荷をかけずに済む。しかし、VPNを使う限りそれはできない。

図1 境界型モデルの課題 トラフィックの流れに無駄が残る

リモートアクセスへZTNAを適用するとどうなる

 ゼロトラストネットワークの仕組みは図2の通りだ。この図はクラウド型ZTNAサービスのモデルであり、ZTクラウドは認証、ポリシー管理、セッション管理などを担う。端末にZTエージェントをインストールし、ZTクラウドとの間にTLS(Transport Layer Security)によるセキュアなトンネルを設定する。ZTゲートウェイはクラウドやオンプレミスのデータセンターに設置する仮想ゲートウェイであり、ZTクラウドとの間にTLSトンネルを設定する。

図2 ゼロトラストネットワークの仕組み TLSトンネルを使ってアクセスする

 クラウド型ZTNAサービスをリモートアクセスに適用すると図3のようになる。リモートアクセスのセキュリティが強固になるだけではない。イントラネットを経由せずにZoomのようなクラウドサービスへ直接アクセスできるため、VPNのようにイントラネットに余計な負荷がかからない。ただし、オンプレミスシステムへのアクセスにはイントラネットとの接続が不可欠なのでZTクラウドとオンプレミス間の回線帯域はテレワークが増えれば広げる必要がある。

 新型コロナ対策時のようにリモートアクセスのユーザーが急増してもZTクラウドにはスケーラビリティがあるので「ZTクラウド渋滞」の心配はないだろう。ここで「だろう」と言わざるを得ない理由は後述する。

図3 リモートアクセスへのゼロトラストネットワークの適用 イントラネットにかかる負荷を減らすことができる

ゼロトラストを全面適用すると「セーフティーゾーン」はどうなる

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。