ネットワークセキュリティは死んだ？

サイバーセキュリティ業界では、疑問や議論は常に付き物です。こうした脅威は、私たちが防御しようとしている脅威と同様に、進化し、適応していきます。

そのような質問の 1 つは、「ネットワークセキュリティは死んだのか?」は、2004年にジェリコ・フォーラムが境界除去の概念を導入したときに再浮上しました。ジェリコ・フォーラムは成功を宣言し、2013年に解散しましたが、この質問に対する答えはまだ分かりにくいままです。

10年後、新しいパラダイム、特にゼロトラストの概念が出現したことで状況は変化し、この質問はかつてないほど重要になっています。

デペリメタリゼーションとは何ですか?

2000年代初頭、サイバーセキュリティ分野の先見の明のある思想家のグループであるジェリコ・フォーラムは、従来のネットワーク境界の状態と現代の企業におけるその関連性に疑問を投げかけ、境界線除去のアイデアを提唱しました。このグループの境界線除去の探求は、ネットワーク境界と境界防御に大きく依存していた従来のネットワークセキュリティアプローチに疑問を投げかけました。

当時、境界のないネットワークセキュリティに代わる実行可能な代替手段はほとんどなく、より現代的なセキュリティ形態への移行は困難でした。しかし、その後の 10 年の間に、サイバーセキュリティ環境は大きな変化を遂げ、現在はゼロトラストと侵害の封じ込めに重点を置くようになりました。

ゼロトラストアプローチの基本はデペリメータリゼーション

それから10年が経ち、私たちはゼロトラストの時代に入りました。ゼロトラストは、ジェリコ・フォーラムの境界線除去というビジョンと非常によく似たセキュリティモデルです。どちらの概念にも、基本的な前提があります。ネットワークの境界線がセキュリティの最終手段として信頼されることはあり得ないということです。この新しいパラダイムでは、焦点はネットワーク全体の保護から、個々のリソースと資産の保護に移ります。

この視点の転換が特に顕著になる分野の 1 つは オペレーショナルテクノロジー (OT)。をベースにした従来の OT セキュリティ Purdue エンタープライズリファレンスアーキテクチャは、ファイアウォールで分離された複数の信頼できるレイヤーを持つモデルに依存しています。各レイヤーには多数のシステムとテクノロジーが含まれており、多くの場合、独自のオペレーティングシステムとプロトコルが稼働しています。これらのシステムの多くは更新やパッチの適用が難しく、脅威アクターが深刻なラテラルムーブメントを仕掛けて壊滅的な結果を招くおそれのある脆弱性をもたらします。

インダストリー4.0とインダストリアルIoT（IIoT）への移行により、Purdueモデルの信頼できるネットワークの脆弱性から、重要なインフラストラクチャ内のゼロトラストアプローチへの移行が可能になります。

従来のIT環境では、個々のリソースを保護するために、エンドポイントの検出と応答（EDR）やゼロトラストセグメンテーションなどのテクノロジーをすべての資産にインストールすることがますます一般的になっています。IIoT 機器のメーカーは、これらのテクノロジーを自社製品に組み込むか、簡単にインストールできるようにする必要があります。

デジタルトランスフォーメーションの加速にはゼロトラストの侵害封じ込めが必要

過去10年間で世界は劇的に変化しました。クラウドの採用は増加傾向にありますが、コンテナ、5G ネットワーク、新しいリモートアクセス方法などのテクノロジーのメリットを十分に引き出すには至っていませんでした。その後、新型コロナウイルスのパンデミックが発生し、多くの業界でデジタルトランスフォーメーションと自動化が加速しました。突然、私たちはテクノロジーシフトの危機に瀕していることに気づきました。既存のセキュリティアーキテクチャでは対応できないほど速い可能性があります。

このような変革の中、ゼロトラストはセキュリティ戦略を再構築するうえで大きな力として台頭してきました。「すべての攻撃を防ぐ」という考え方から、侵害が発生することを想定し、それを乗り切るための計画を立てるという考え方への転換は、過去30年間のサイバーセキュリティの考え方から180度変わりました。

今では、何が悪いのかを特定してブロックしようとするのではなく、何が良いかを特定してそれを許可することに重点が置かれています。このアプローチにより、ポリシー設計が簡素化され、コストが削減され、セキュリティインシデントにつながることが多い構成ミスが軽減されます。

ゼロトラストセグメンテーション:セキュリティをネットワークから切り離す

ネットワークセグメンテーションの概念を考えてみましょう。ネットワークが信頼できなければ、デバイスが 1 つしかない場合を除いて、ネットワークセグメントも信頼できません。そのためには、アイデンティティが検証されたリソースから最小権限でアクセスされるマイクロセグメントを作成する必要があります。

この概念から、マイクロセグメンテーションとも呼ばれるゼロトラストセグメンテーションが生まれました。マイクロセグメンテーションは、ネットワークから切り離すことでセキュリティポータビリティと柔軟性の向上を実現します。

この変化による注目すべき副産物として、境界ファイアウォールに必要なルール数が減ったことが挙げられます。これにより、ファイアウォールのサイズが小さくなることで費用が節約されるだけでなく、ポリシーの管理と変更に必要な時間も短縮されます。実際、 フォレスターリサーチ は、ゼロトラストセグメンテーションにより、セグメンテーションの実装と管理にかかる情報セキュリティチームの運用労力を 90% 削減できることを示しています。

ネットワークセキュリティの運命：誇張か現実か？

では、ネットワークセキュリティは本当に死んでいるのでしょうか？

その終焉の報告は誇張されていると私は主張します。ネットワークの検出と対応、行動分析、境界ファイアウォールなどの従来の手法は、サイバーセキュリティにおいて依然として重要な役割を果たしています。これらのツールは、ネットワークトラフィックの監視と制御、および潜在的な脅威の特定に引き続き不可欠です。

しかし、ゼロトラストモデルへの進化は、セキュリティに対する当社のアプローチに革命をもたらしました。これにより、境界を保護することから個々の資産を保護することに重点が移りました。この変化により、セキュリティポリシーが簡素化され、コストが削減され、柔軟性が高まります。これは、「悪者を締め出す」ことから「善良な人々の侵入を許可する」ことへの転換です。

将来を見据えて、サイバーセキュリティの状況は今後も進化し続けることは明らかです。ネットワークセキュリティの概念は死んでいないかもしれませんが、より適応性が高く回復力のあるものに変わりました。

今後10年後にこの問題を再検討し、現在の状況を見てみましょう。絶え間なく変化するサイバーセキュリティの世界では、唯一不変なのは変化そのものです。

ゼロトラストとゼロトラストセグメンテーションについて詳しく知りたいですか？ 今すぐお問い合わせ 無料のデモとコンサルテーションをご利用ください。