はじめに

サイバー攻撃の最終目標は、組織の情報である。攻撃は、外部から直接当該の情報を管理している機器が攻撃される場合と、内部の機器でその情報を管理している機器へのアクセスの制限が弱い機器を攻撃し、その機器を乗っ取り、そこから最終的な情報を管理している機器を攻撃する場合に分類することができる。これらの攻撃はいずれも、外部から内部への攻撃であるため、従来は、ファイアウォールなどを用いた境界防御で対応してきた。

移動通信機器からの組織の情報へのアクセスは、従来は、移動通信機器が地理的に組織外にあっても、VPN（Virtual Private Network）などを用いて組織のIPアドレスを使用することによって、インターネットへの出入り口は組織と同一にできるため、移動通信機器への攻撃も境界防御によって防御が可能であった。この状況で、クラウドの普及によって、組織の情報が、まず、地理的に学外に存在するようになった。当初は、PaaS（Platform as a Service）である地理的に学外にある組織の情報を管理する機器でも先に説明した移動通信機器と同VPNなどを用いて組織のIPアドレスを使用することによって、クラウド上にある組織の情報への攻撃を境界防御によって防御することが可能であった。しかし、近年の運用では、移動通信機器や組織の情報を管理する機器には組織のIPアドレスを割り当てず、それぞれのサービスを提供するISPやクラウドサービスのIPアドレスが用いられるようになってきた。このような状況では、インターネットの出入り口が組織のものとは別になるため、境界防御による防御が不可能になる。さらに、近年では、VPN サービスの不具合による内部機器の乗っ取りなど、境界防御では防御が困難な攻撃が増加している。そのため、境界防御に替わる新しいセキュリティ対策が求められている。

ゼロトラストネットワーク・セキュリティ