"BOKU"のITな日常

62歳・文系システムエンジニアの”BOKU”は日々勉強を楽しんでます

今更ながら「ゼロトラストネットワーク」のことを勉強してみました

ゼロトラストネットワークについて勉強してみました。

f:id:arakan_no_boku:20200315153104p:plain

 

ゼロトラストネットワークとは

 

ゼロトラスト(信頼ゼロ)のネットワークとは「誰も信用しない=性悪説」前提で、すべてのデバイストラフィックを逐次検査します。 

つまり、「社内すら安全ではない」という前提で、全てのデバイストラフィックの検査やログの取得を行うわけです。

そのイメージを図にしてくれているサイトがありました。 

blogs.itmedia.co.jp

図を引用します。

 ZTN1.png

右側がそうですが、すべてをチェックしまくってる・・感じがよくわかります。

 

すべてを検査するとは

 

セキュリティレベルのチェック観点的はざっくり以下ようなものです。

  • バイスが社内で登録されたものであるか
  • バイスのセキュリティ対策ソフトの定義ファイルが最新か
  • バイスマルウェアが感染していないか
  • 外部に漏洩しているIDを使用していない

これをアクセスがあるたびに毎回自動で確認します。 

ただ、技術的には難しく、概念としては数年前からあって、最近になって、ようやく現実的なレベルで実装されはじめているようです。

今回は、その中から「Google」と「マイクロソフト」が提供している「現実的な実装」について勉強しようと思います。

 

Googleのゼロトラストネットワーク実装「BeyondProd」 

 

Googleのゼロトラストネットワーク実装は「BeyondProd」です。

cloud.google.com

BeyondProdは、BeyondCorpと呼ばれるゼロトラストシステムを拡張したものです。

APIを通じて利用できるマイクロサービスとして提供されています。

jp.techcrunch.com

裏で、ベースになっている技術は「BeyondCorp」の進化系です。

www.atmarkit.co.jp 

重要な役割を果たすのは「Cloud Armor with AI」です。

記事から引用すると。

Cloud Armor AIは、Googleの巨大なデータセットを使ったトレーニング済みのモデルに加え、対象のサイトの正常と思しきリクエストパターンを学習する。

その上で、攻撃らしきリクエストがあった際にはアラートを発呼し、自動で攻撃者のパターンを特定し、Cloud Armorへ即座に適用可能なポリシーを生成する。

そうです。

正常のパターンを学習して、そこから外れるものをエラーとする。

それが動的に進化し続けられるなら、確かに「ゼロトラストネットワーク」が成り立ちそうな気になります。

 

マイクロソフトのアプローチ

 

マイクロソフトです。

www.itmedia.co.jp

マイクロソフトクラウドを使います。

引用すると。

ゼロトラストネットワークのカギになるのは「Azure AD(Active Directory)」です。

通信の認証を担っており、動的なポリシーでアクセスをブロックしたり、二要素認証を要求したりできます。

例えば、位置情報を加味することで「スマートフォンを社内で使っている場合はアクセスを許可、社外からのアクセスの場合は二要素認証を要求」といった複雑な条件を自動で適用できるわけです。

ネットワークへのアクセス時に、端末の状態を確認し、さまざまな情報を取得するのはモバイルデバイス管理ツール「Intune」とクラウドベースのEDRWindows Defender ATP」の役目です。

こちらもキーテクノロジーはAIです。

こんな記述があります。

「ゼロトラストネットワークは動的ポリシーがカギ」だとお話ししていますが、この動的ポリシーを作るには機械学習が必要です。

機械学習の場合、アクセスした場所やデバイスのOSといった情報をインプットして学習させることで、「どういう状況であればセキュリティレベルが高いのか」という判断モデル(AI)を作ることができます。

AIが誤検知をした際に、初めてブラックリストを使えばいいのです。 

と言う感じです。

 

VPNに置き換わっていくのか

 

 ゼロトラストネットワークの活躍の場はVPNの置き換えです。

cybersecurity-jp.com

 

Googleはすでに置き換えているようです。

xtech.nikkei.com

はてさて。

新型コロナウイルスの感染拡大でテレワーク導入企業が増え、VPNの需要は膨れ上がっています。

今後も、その傾向は続くでしょう。

このVPNの需要に対して、どの段階で「ゼロトラストネットワーク」が現実的な選択肢として登場してくるのかは、正直よくわかりません。

でも。

japan.zdnet.com

みたいな話もありますし、少しずつ置き換える企業はでてくるでしょう。

しばらく、注目したい技術ではあります。

今回はこんなところで。

ではでは。