ゼロトラストの元祖!Googleのビヨンドコープの話
ゼロトラストについて
ゼロトラストが注目されるようになった環境の変化
今までのセキュリティ
・境界型防御
「Trust but Verify(信ぜよ、されど確認せよ)」というロシアのことわざを使って表わされます。
社内ネットワークとインターネットの境目にファイアウォール等の機能をもつサーバを設置して社内ネットワークへの通信の出入りを制御・監視することでサイバー攻撃から会社の情報資産を守る従来の方式を「境界型防御」と呼びます。
社内ネットワークの中の利用者は無条件で信頼しますが、ID、パスワードの設定やアクセス権などは確認しますよと言った対応になります。
利用者や端末をある程度信頼することで認証頻度やアクセス権の設定が業務効率に影響を与えないようにしています。
今までは会社内にあるPCを不正操作もしくは社内ネットワーク内に侵入する経路は限られていたため「境界型防御」による防衛や監視の効果が高かったといえます。
これから求められるセキュリティ
・ゼロトラスト
(ゼロトラストアーキテクチャ、ゼロトラストセキュリティなどと呼ばれる)
「Verify and Never Trust(決して信頼せず必ず確認せよ)」という考え方です。
「ゼロトラスト」ではネットワークに接続する次のようなものを信用しません
・利用者
・アプリケーション
・デバイス(PC、スマホ、ネットワーク機器)
Googleが実現するゼロトラストの形「ビヨンドコープ(BeyondCorp)」
Googleのビヨンドコープに関わる動き
2014年にGoogleが「ビヨンドコープ(BeyondCorp)」というレポートを公表しました。
2020年4月には「BeyondCorp Remote Access」の提供を企業向けに開始しています。
2021年1月、さらに強化した「BeyondCorp Enterprise」の提供を企業、一般向けに開始。
その後Google社は2020年4月、BeyondCorp Remote Accessの提供を始めました。
同製品は、Googleが先駆的に開発し、約10年間にわたって社内で使用してきたゼロトラストアプローチのネットワークセキュリティをベースにした初の商用製品になります。
Googleがビヨンドコープを作ったきっかけ
「BeyondCorp」というGoogleが実現したゼロトラストの形には約10年がかかっています。
このプロジェクトが始まった2010年頃に何があったかというと、2009年下旬から2010年上旬に実行された「オーロラ作戦」と呼ばれるサイバー攻撃です。
2010年1月12日にGoogleがこのサイバー攻撃の被害にあったことを公表しました。
APT攻撃(高度な標的型攻撃)によりGoogleの社内ネットワークへ侵入を許したことにより機密情報が盗まれる事態になりました。
この事件の後、Googleは「BeyondCorp」の構築に取り掛かっています。
Googleの「BeyondCorp」発表を機に「ゼロトラスト」をうたう製品やソリューションが様々なベンダーから提供されるようになりましたが、導入するためのハードルが高かったのと当時は「境界型防御」である程度守ることができていたこともあり導入する企業はあまり多くはありませんでした。
しかし近年では、「ゼロトラスト」を実現するための機能がクラウドサービスで提供されるようになり導入・運用コストが下がってきたことと、サイバー攻撃の被害の増加、テレワークの普及などにより導入を検討する企業が増えてきています。
まとめ
境界型防御では社内にある機密情報や業務システムを守るために設計されました。
しかし現在、テレワークやクラウドシフトが進んだことで守りべき情報資産(機密情報や業務システムなど)が社外に置かれるようになっています。
そして、アクセスする従業員も社内ネットワークの外にでるようになり、もはや境界型防御はアクセス先への通過点の役割が主になってしまっています。
ゼロトラストのサービス例
これらを上手に活用することで会社のセキュリティレベルやユーザビリティが向上する可能性があります。
現在のシステムと予算などを考慮して検討する価値はあると思います。
初心者でも「ゼロトラスト」を構築するために必要な技術と手順を学べます
セキュリティ対策で困っていること あなたは今関わっているネットワークシステムで セキュリティ対策 に困っていませんか? そして、 ゼロトラスト という考え方に興味があり学び方を探しているのではないでしょうか。
投稿
0 件のコメント:
コメントを投稿