セキュリティ設計とゼロ トラストの導入に対する考え方を変えるには、ゼロ トラストが登場する前のセキュリティを理解すると役立ちます。

アウトサイド イン(外側から内側)へと設計された20世紀の階層ネットワークは、ユーザーを「信頼できる」人物と「信頼できない」人物とに分類する方法に基づいていましたが、残念ながらこの手法はセキュアでないことが証明されました。攻撃の巧妙化と内部関係者による脅威が高まるにつれ、組織のネットワーク内にあるものはすべて信頼できるという前提に基づいて運用することは、もはや現実的ではなくなっています。

一方、ゼロ トラストを見てみましょう。「決して信頼せず、常に検証する」という原則に基づくゼロ トラスト ネットワークは、セキュリティに対するアプローチが異なります。最も重要なデータに関するマイクロセグメンテーションときめ細かな適用の境界を利用することで、ゼロ トラストは機密データの流出を防ぎ、脅威がネットワーク内で横方向に移動するのを阻止します。

残念ながら、従来のセキュリティ モデルの設計パラダイムから、難しい、コストがかかる、中断が生じると考えられているゼロ トラストの導入に二の足を踏む企業は少なくありません。しかし実際のところ、ゼロ トラストは従来のセキュリティ モデルよりもはるかに簡単に導入できます。セキュリティ設計に対する考え方を変え、ゼロ トラストの導入に関する汚名をいくつか返上するには、ゼロ トラストが登場する前に遡ってセキュリティを理解することが重要になります。

まず、キャリアがネットワーク回線をデータセンターに引き渡す、最も外側のエッジであるCPE(顧客所有の機器)でのネットワーク設計から始めました。その後、ルーターに挿入する必要があるカードを把握します。その時点で、相互接続する必要のあるネットワークの種類が複数ありました。ルーターをインストールしたら、インフラストラクチャの構築に重点を置きました。コア スイッチ、分散スイッチ、そして大量のアクセス レイヤー スイッチをインストールしました。そしてそれらすべてのスイッチを、スパニング ツリーなどについて機能するネットワークが得られるまで常に心配しながら構成しました。その時点で作業が完了し、ネットワーク ユーザーが任意の場所のネットワークに接続できるよう招待されます。

最終的に、ワームやウイルスなどの脅威が発生し、ネットワーク セキュリティが必要であることが明らかになりました。必要に迫られて、レイヤー3のステートフル パケット フィルタリング ファイアウォールをインストールして、基本的な入口フィルタリングを提供するとともに、それを細かく構成することで「不正でない」トラフィックをブロックしないようにしました。何よりも重要な懸念は、過剰なセキュリティによってネットワークのパフォーマンスが低下して、それがセキュリティより優先されると認識されることでした。今でさえ、多くの組織が効率とセキュリティのバランスを見つけるのに苦戦しているほどです。

この従来のモデルでは、ユーザーのIDが侵害されておらず、すべてのユーザーが責任を持って行動することを前提としています。ユーザーが「信頼できる」場合、そのユーザーにはアプリケーションやデータへのアクセス権が付与されます。これまでの歴史から、信頼は脆弱性であり、悪用される可能性があることがわかっています。

ゼロ トラストは、従来のモデルを反転させたものです。ネットワークは、それらの要素を中心に保護および設計される必要のあるデータや資産から始まり、アウトサイド インではなくインサイド アウト(内側から外側)へ設計されます。ゼロ トラストは、ネットワークから信頼モデルを排除して、データ侵害や有害なネットワーク イベントに対する高度できめ細かな保護を実現します。ゼロ トラスト ネットワークを適切に設計するには、設計者やアーキテクトがインサイド アウトの考え方を学ぶ必要があります。

ゼロ トラスト ネットワークの導入を簡素化する方法のより詳しい解説については、「5ステップ方法論によるゼロ トラスト導入の簡素化」をご覧ください。