Zscaler Cloud Platform

ゼロトラストの歴史の概要:エンタープライズセキュリティの進化における主要なマイルストーン

デジタルロック

ゼロトラストの歴史を知る必要性とは

ITセキュリティの関係者の多くは、ゼロトラスト は革命的な効果をもたらし、エンタープライズセキュリティとネットワークとリソース保護の考え方を変えるものであり、優れたアイデアの蓄積や優秀な人材の結束、生産性を高める革新的なツールへのアクセスに関するセキュリティの在り方を再構築するものだと考えています。

しかし、ゼロトラストモデルがサイバーセキュリティにおいてどれほど革命的であるかを理解するには、ゼロトラストアーキテクチャのアイデアが数十年前の考え方を根本的に見直すものへとどのように進化したかを知ることが重要です。

以下にて、ゼロトラストの発展の歴史における重要なターニングポイントを簡単に解説します。

ゼロトラストの歴史における重要なターニングポイント

1987年 - Digital Equipment Corporation(DEC)のエンジニアがファイアウォール技術に関する最初の論文を発表し、以降数十年にわたる「城と堀」モデルにおけるネットワークセキュリティの考え方の先駆けとなる

2001年 – IEEE Standards Associationがネットワークアクセス制御(NAC)用の 802.1Xプロトコルを公開する

2004年 - Jericho Forumが設立され、非境界化の原則が紹介される

2007年 - 国防情報システム局(DISA)がソフトウェア定義の境界の「ブラックコア」モデルを発表するも、浸透には至らず

2009年 – 「オーロラ作戦」を受け、セキュリティアーキテクチャの在り方を再構築すべくGoogleのBeyondCorpが設立される

2010年 - アナリストのJohn Kindervag氏がForrester Research Groupの論文で「ゼロトラスト」という用語を生み出す

2013年 - Cloud Security Allianceの、SPAに依存するソフトウェア定義の境界は技術的な限界により失敗に終わり、Jericho Forumは非境界化を「事実」と宣言し解散する

2017年 – Gartnerが、「継続的でアダプティブなリスク/トラストのアセスメント(CARTA)」をリスク管理フレームワークとして策定する

2019年 – GartnerがセキュアアクセスサービスエッジSASE)の概念を発表する

2020年 - NISTが、ゼロトラストアーキテクチャ(ZTA)を確立するための統一フレームワークとしてSP 800-207を公開する

2021年 – Gartnerが、SASEのセキュリティコンポーネントをセキュアサービスエッジ(SSE)という新しい市場カテゴリとして指定

2022年 - 米国政府の行政管理予算局が、2024年までにすべての政府機関にゼロトラスト原則の採用を命じる

 

802.1Xおよびネットワークアクセス制御

802.1Xプロトコルは、ワイヤレスデバイスのネットワークアクセス制御(NAC)を規制する規格として2001年に発表されました。ワイヤレスデバイスの導入が進むことで、厳密に定義された企業の境界の概念が複雑化し、組織はこれらのデバイス使用の増加に対処する必要性に迫られていました。

802.1Xサプリカント(クライアント)は、接続を許可する前にネットワークがエンドポイントを認証できるようにするためのものでしたが、残念ながらすべてのデバイスが802.1Xに対応していたわけではありませんでした。プリンタやIoTシステム、その他の接続されているデバイスの存在により、この方法は不正ネットワークアクセス問題に対する普遍的な解決策として機能しなかったのです。

 

Jericho Forumが将来に向けた大胆な解決策を画策

2003年に、ヨーロッパのテクノロジーリーダーのグループが「城と堀」型のネットワークアーキテクチャに内在する問題を認識し、ネットワークの壁をなくす方法について議論を始めました。

2004年にはJericho Forumとして知られるワーキンググループを招集し、「非境界化」のアイデアを導入して、境界のないネットワークを管理するためのベストプラクティスの基礎となる、一連の「コマンドメント」を世界に発信しました。

 

単なる流行語に留まらないゼロトラスト

2010年、ForresterのアナリストJohn Kindervag氏は「No More Chewy Centers: Introducing The Zero Trust Model of Information Security(内部セキュリティの脆弱性を解消:情報セキュリティのゼロトラストモデルについて)」と題する論文を発表しました。これは単なる流行語には留まらず、新しい接続モデルを設計する際に不可欠となる考え方をITセキュリティ業界に提唱するものでした。

このモデルは、ネットワーク上に存在することは必ずしも信頼するための十分条件とはならないという考え方が前提となっています。境界に代わり、アイデンティティとそれを検証できるかどうかが、アクセスを許可するか否かを判断する中核的な基準に据えられています。しかし残念ながら、この段階まではエンタープライズ環境自体に根本的な変化はありませんでした。ネットワークは依然として「すべてか無か」、そして「内側か外側か」という構造をとっていたのです。

 

企業の境界を超えるBeyondCorp

サイバーセキュリティにおいてはよくあることですが、脅威アクターの存在がネットワークセキュリティの新しい進化のきっかけとなりました。中国人民解放軍がAkamai、Adobe、Juniper Networksを含む米国のハイテク企業に対して大規模なサイバー攻撃を実施し、GoogleはこれにBeyondCorpで対応しました。

Googleによると、この対応策の意図は、アクセス制御をネットワーク境界から個々のユーザにシフトさせることで、従来型のVPNを必要とせずに事実上あらゆる場所から安全に作業できるようにすることでした。こうして、明確なオン/オフネットワークの区別をなくすという、純粋なゼロトラストが到来したのです。

しかし、Googleが解決に挑んだ問題は困難なものでした。他の組織がゼロトラストネットワークを自ら実現する道を切り拓くことを試みていたにもかかわらず、2010年当時、これはまだほとんどの企業の実現能力を超える戦略だったのです。

 

米国当局がゼロトラストの価値を認識

2020年、米国国立標準技術研究所(NIST)はゼロトラストアーキテクチャに関するNISTのSP 800-207の規格に対する見解を見直しました。

NISTが改めたサイバーセキュリティに関する本見解では、リソースの保護に加え、信頼は暗黙的に付与すべきではなく継続的に評価する必要があるという前提に焦点が当てられていました。つまり、境界による束縛と仮想プライベートネットワークの概念は取り払われたのです。

その本質は、ゼロトラストがどのように機能するか、そしてなぜそれが以前のアプローチからの脱却を意味するかを理解する鍵となります。SP 800-207の規格では、ゼロトラストのための重要な原則と前提が規定されており、その中で最も重要なのは以下の3つの点です。

  1. どのリソースも本質的に信頼しないこと
  2. すべての通信を、ネットワークの場所に関係なくセキュリティで保護すること
  3. すべてのリソース認証と承認は動的に行い、アクセスを許可する前に厳しく適用すること

これがゼロトラストの考え方におけるパラダイムシフトであったとすれば、進歩の面でのターニングポイントは2022年に発行された米国行政管理予算局(OMB)のM-22-09の覚書だと言えます。これによってにわかに、ゼロトラストは少なくとも米国連邦政府機関が関係する範囲において絶対的な存在となりました。

さらに、その影響はより広範囲に及びました。国務省、財務省、国土安全保障省、商務省、エネルギー省などの連邦機関のネットワークに侵入し、高い注目を浴びた2021年のサプライチェーン攻撃もあり、最高指導層の支持を得たゼロトラストの手法は米国政府のお墨付きも得たのです。

 

さらなる発展を遂げるゼロトラスト

ゼロトラストの原則は米国政府からの支持を得ましたが、このモデルの進歩がそこで終わることはありませんでした。ゼロトラストアーキテクチャ(ZTA)に対するZscalerのアプローチは、NISTのZTAのフレームワークおよびGartnerのSSEの定義に密接に沿っています。さらに、ゼロトラストの概念における以下の3つの重要な進歩のもとで、これらのスタンダードを超えていきます。

  1. すべてのトラフィックをゼロトラスト原則で扱うこと
  2. アイデンティティとコンテキストは常に接続性よりも優先されること
  3. アプリケーションならびにアプリケーション環境は、権限のないユーザには非公開の状態に保つこと

Zscalerがエンタープライズセキュリティの進化における次のマイルストーンをどのように推進しているかなど、ゼロトラストへのこの現代的なアプローチの詳細については、ホワイトペーパー「ゼロトラストの歴史:エンタープライズセキュリティの進化における主要なマイルストーン」の全文をお読みください。

また、本トピックに関するGreg Simpsonと私のLinkedIn Liveプレゼンテーションの録画もご用意しています。

最新のデジタルトランスフォーメーションのヒントやニュースをご覧ください。

送信ボタンをクリックすると、ゼットスケーラーの プライバシーポリシーに同意したものとみなされます。