多くの方が"Never trust, always verify"というキャッチフレーズを見聞きする機会が増えてきたのではと推測しています。日本語に訳すと"信頼するな、常に検査せよ"ですが一体何故この考え方が必要になってきたのでしょうか? 改めて整理してみます。
トレンド
先ず1つ目としてApplicationはCloudへシフトしていることが挙げられます。これはでは企業内で利用されるApplicationはある企業専用のDatacenter内に開発/配備/運用されていましたが、昨今はIaaS/PaaSのようなCloudプラットフォームに上でApplicationを開発/配備/運用されるのは当たり前になってきました。更に、既に存在しているSaaSを利用することで、Runtime〜HWまでのスタックにまつわる運用負荷をCloudサービス事業者にオフロードしながらより素早くApplicationサービスを立ち上げる方法もデファクトになってきたかたと思います。
2つ目に多様性があると思います。これには2つの観点があって1つめはUserです。企業内のApplicationを利用するのは正社員だけでなく、外部の協力会社様やパートナー様、派遣社員様や契約社員様等さまざまかと思います。もはや正社員は信用できる、それ以外の方は信用できないといった考え方は通用しなくなりました。もう1つはDeviceです。Userが利用するDeviceは会社から貸与されたPCだけでなく個人所有のSmartPhoneやTabletを利用して企業内のApplicationにアクセスするシーンも多くなってきました。Userと同じで、会社貸与は正、個人所有は悪なんて考え方は意味を成しません。
3つ目にMalwareがあります。2020年初頭から長らく続く感染症により、多くの方がご自宅からの業務を余儀なくされているかと思います。Microsoft社のナデラCEOをはじめ、多くの著名人が2年分のデジタルシフトが2ヶ月でやってきたと言及しています。同時にMalwareの感染も急拡大してきました。いつもどこかで新しいMalwareがAttackerにより開発/配備され、常に企業の最重要資産であるDataを盗もうと企てています。攻撃手法は進化の一途を辿っているため、これらの攻撃を100%防ぐことは現実的に不可能です。何らかのMalwareに感染していることを前提に企業内のデジタル環境を設計すべきです。"With Malware"ですね。
ギャップ
トレンドを踏まえて、従来型の境界型セキュリティとのギャップを考えてみます。1つ目はDatacenter内に配備されたセキュリティ機能です。これまで多くの企業がDatacenter内にVPNやFirewall等で実装されたセキュリティ機能を配備/運用してきました。しかしながら、トレンドの1つ目で触れたようにApplicationはCloudにシフトしています。Dataは企業内の専用Datacenterだけでなくインターネット上のあらゆる場所に点在しているので、それらを守るセキュリティ機能もあるゆる場所で配備/運用されるべきです。
2つ目はインサイダーの脅威です。トレンドの2つ目で触れたように現代は多様性の時代です。UserもDeviceも様々な属性を持っていてそれらは日々変化します。一概に正社員や会社貸与は正、協力会社や個人所有は悪とみなしていては、インサイダー脅威がリスクに昇華してしまいます。正社員も人の子ですのである日魔が差して悪事を働くかもしれません。アクセスが適正か否か常に検査すべきですね。
3つ目は水平移動の脅威です。境界型のセキュリティはUserがVPNの認証に成功するとネットワークレベルでアクセス権限を付与します。理論上、同一のネットワーク上に存在する全てのApplicationにアクセスできてしまいます。万が一ApplicationがRansomewareに感染してしまったら、同一ネットワーク上に存在するApplicationに水平移動されてしまいその他のApplicationも感染してしまします。必要最低限のApplicationにのみアクセスさせる、Applicationは重要度に応じて細かく区画を分けるべきです。
最後までお付き合い頂きありがとうございます。Zero TrustやMicro-segmentationのような考え方が何故誕生したのかをしっくり把握頂ければ幸いです。何年か前に公開された北野武監督の映画の"全員悪人!"のような分かりやすいキャッチフレーズの方が良いかもしれません。