💭

境界型セキュリティとゼロトラストネットワークを比較すべきなのか

2024/08/04に公開

Security

networking

tech

TL;DR

境界型セキュリティとゼロトラストネットワークを比較してたけどどっちかというと VPN と ZTNA の比較になった隊
境界型セキュリティは終わってないしこれからも継続して必要
VPN の運用がしんどいのであれば ZTNA にしてみたらどうでしょうか

はじめに

ゼロトラストネットワークの話をしていると、じゃあファイアウォールをはじめとした従来からある境界型セキュリティはもう不要なのか、それとの違いはどこにあるのか、という疑問が出てくるかと思います。
あくまで私見とはなりますが、どのような違いがあって、今後どう考えていくべきなのかを書いてみます。

なお、わたしは「第10章：ゼロトラストっておいしいの」という記事を Azure MixBook 24H1：もっちりソフトで書いているので、こちらもご参照いただけると楽しいかもです。

前提として

境界型セキュリティを実装するファイアウォールにより、通信が適切に制御・遮断されていれば、もう完全に安全です、それに間違いはありません。
ゼロトラストネットワークで ID をどんだけ強固に守ろうが、そもそも通信できないのであればこれ以上に安全なことはありません。

境界型セキュリティに関する最近のトレンド

さて、従来からの境界型セキュリティではファイアウォール中心に、IPS/IDS、UTM、WAF などのセキュリティデバイスを配置して、攻撃を防ぐという考え方がありました。
ネットワークを内側と外側に分け、内側を Trust、つまり信頼できるデバイスやユーザーがいる範囲、外側を Untrust、便利なインターネットサービスがあるけど悪い人たちもいる、としました。

従来から、従業員等そこではたらく方々はその内側である社内ネットワークに接続してお仕事をするわけですが、コロナ禍によりリモートワークが求められるようになりました。
今まで、社内ネットワークに接続して仕事をすることが前提となっていたため、リモートワークをしていても社内ネットワークの中にある社内システムに接続する必要があり、それを実現するための手段の 1 つが VPN でした。
また、SIer などの業者がリモートでシステムを監視するために VPN を利用してリモートアクセスする、というのも日本でのシステム運用体制のよくあるパターンです。

VPN に関しては、コンピュータウイルス感染事案有識者会議調査報告書について　つるぎ町立半田病院などの例があるように、サイバー攻撃のとっかかりになってしまうケースがあります。
セキュリティに関する情報発信をされている piyokango さんの piyolog でも、「vpn」というキーワードで検索すると vpn の検索結果 - piyolog のようにさまざまなニュースが出てきます。

FortiGate が

悪いという方向にもっていくのも簡単ですが、本質的ではないかなと思います。
FortiGate を販売している Fortinet がその安価さと高機能さで多くの企業に採用されていて、それは私企業のビジネス戦略であって何も言えないし、でもバグはしょうがないしね、という立場です。
運用費も払っていただけなかったようなニュースも見かけましたが、それは製品の問題というよりかは運用の問題ですし。
SSL-VPN をはじめとした VPN の脆弱性は、IT 業界では前からよくある話であり、DNS のようなプロトコル的なしんどさを感じます。

まずここで述べておきたいのは、決して境界型セキュリティが悪いわけではなく、境界型セキュリティに加えて昨今のリモートワークへの対応や、リモートでのシステム運用の観点から VPN が使われることが多いということです。
そして、その VPN で使われるプロトコルの性質上、インターネットからアクセスできるようになっていることが多いことから、そこを攻撃のターゲットにされることが多い、ということです。

VPN の接続元 IP アドレスを

しぼればいいじゃないか、というのはそれはそうなんですね、当たり前の話ではあるんですが。
ただ、インターネット回線が半固定なんだよ、とか、緊急の時にモバイル回線から接続するから送信元 IP アドレスが固定にできない、とかいろいろな理由があったり、無知であったり、そういったケースもあるんじゃあないんですかね、という感想です。
半田病院のケースでは運用に問題があったので原因はまた別ですが、後述する Microsoft Entra Private Access では設計・運用の観点からも VPN より全然簡単です。

じゃあ ZTNA なら安全なんですか

実装次第ではあるのですが、少なくとも Microsoft Entra Private Access (MEPA) においては VPN を利用していないためアタックサーフェース管理 (Attack surface management) の観点からはセキュリティリスクは低いと考えられます。
MEPA で利用される Microsoft Entra Private Access Connector (MEPA-C) は Microsoft Entra Private Access 用にコネクタを構成する方法 - Global Secure Access に書かれている URL 群に対する HTTP(S) でのアウトバウンド通信許可のみが必要です。

VPN ではインバウンド方向に 500/udp のポート開放が必要であり、まずこれがセキュリティリスクを潜在的に高めています。
境界型セキュリティのベースとなっている考え方の 1 つに書きましたが、アウトバウンド方向の通信許可のみで済むということは NAPT 配下のみで通信が完結するため、セキュリティリスクを低減できるということです。

じゃあ境界型セキュリティは終わったんですか

ゼロトラストネットワークはネットワークじゃなくて ID で守るんだよ、とどれだけ声高に叫んでも、そもそもファイアウォールなどで通信が許可されていなければ通信できないわけで、それが一番わかりやすいアクセス制御であることに変わりはありません。
そのため、境界型セキュリティは今までどおり必要ですし、わたしがいまからエンタープライズネットワークを設計するのであればファイアウォールくらいは普通に導入するかと思います。
それに対して、昨今のリモートワークのトレンドや VPN デバイスが頻繁にサイバー攻撃のターゲットにされていることを考えると、少し考え直すポイントもあるかな、という感じです。

まとめ

境界型セキュリティと ZTNA が比較されることも多いのかもしれませんが、個人的に一番比較すべきなのは VPN かなと考えています。
オンプレミスのネットワークがあるのであればファイアウォールや IPS/IDS などは相変わらず置いておくとよいと思いますし、リモートワークの要件を満たすためのソリューションとして、VPN より ZTNA を検討いただいたらどうでしょうか、という感じです。

参考

境界型セキュリティのベースとなっている考え方の 1 つ

この記事を書くために書いた記事を言っても過言ではない記事です

Microsoft Entra Private Access 用にコネクタを構成する方法 - Global Secure Access

コンピュータウイルス感染事案有識者会議調査報告書について　つるぎ町立半田病院

piyolog

https://piyolog.hatenadiary.jp/

Azure MixBook 24H1：もっちりソフト

Azure や C# が好きな有志メンバー、もっちりソフトで出している、ちょっとした Tips を集めた技術書です！技術書典で買えるのでぜひ！！