ネットワークセキュリティモデル「城と堀」とは?

「城と堀」とは、ネットワークセキュリティのモデルを指し、このモデルでは、ネットワーク内のすべての人がデフォルトで信頼されています。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ネットワークセキュリティにおける「城と堀」の定義
  • 「城と堀」ネットワークがアクセスを管理する方法ネットワーク境界を保護する方法について説明する
  • 「城と堀」と「Zero Trustセキュリティ」の対比

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

城と堀ネットワークモデルとは?

「城と堀」はネットワークセキュリティモデルの一つであり、ネットワーク外部の人は内部のデータにアクセスできないが、ネットワーク内部の人は誰もがアクセスできるというものです。組織のネットワークを城に、ネットワークの境界を堀として想像してみましょう。跳ね橋が下ろされ、ある人が橋を渡った場合、その人は城の敷地内で自由に行動できるようになります。同様に、このモデルでは、ユーザーがネットワークに接続すると、そのユーザーはそのネットワーク内のすべてのアプリケーションとデータにアクセスできるようになります。

このモデルを採用している組織では、城の跳ね橋の近くに最も多くの警備兵を配置するように、ネットワークの境界の防御に多くのリソースを投入しています。ファイアウォール、侵入検知システム(IDS)、侵入防御システム(IPS)などのセキュリティ製品を導入し、ほとんどの外部からの攻撃をブロックします。しかし、内部からの攻撃や内部脅威データ漏えいを阻止するにはそれほど効果的ではありません。

「城と堀」は、必ずしも意図的に選択された戦略ではありません。この用語は、従来のネットワークアーキテクチャとZero Trustアーキテクチャを対比させるために使われるようになったものです。

城と堀のアプローチの問題点とは?

現在では「城と堀」のようなアプローチは時代遅れになりつつあります。ほとんどの企業では、データをオンプレミスのネットワーク境界の内側に維持したままではなく、複数のクラウドベンダーに分散しています。例えるなら、女王とその宮廷が城壁の外である城下に散らばっている場合、城の防衛にすべてのリソースを投入することに意味はなくなります。

一部の組織では現在もデータをオンプレミスのネットワークに保持し続けているところもあれば、クラウドベンダーへのアクセスを制御するために、すべてのインターネット向けトラフィックを中央の企業ネットワークにルーティングしている組織もあります。しかし、こうした「城と堀」モデルには、セキュリティ上の欠陥が内在しています。

最大のセキュリティ上の欠陥は、攻撃者がネットワークへのアクセス権を取得した場合、つまり「堀」を越えた場合、内部のあらゆるデータやシステムにもアクセスできてしまうことです。攻撃者は、ユーザー認証情報を盗んだり、セキュリティの脆弱性を突いたり、マルウェアに感染させたり、ソーシャルエンジニアリング攻撃などの手口を通してネットワークに侵入する可能性があります。ファイアウォールやその他の侵入防止ツールはこれらの攻撃の一部を阻止することはできますが、一つでも侵入された場合、その代償は大きなものになります。

「城と堀」モデルと「Zero Trustセキュリティ」の違いは?

Zero Trustセキュリティとは、ユーザーがシステムやデータにアクセスすることを、いつ、どのように許可するかについての考え方です。「城と堀」モデルとは異なり、「Zero Trustセキュリティ」はセキュリティリスクがネットワークの内部と外部の両方に存在することを前提にしたものです。デフォルトではネットワーク内部のものを一切信用しないため、「ゼロトラスト」と呼ばれています。

Zero Trustセキュリティでは、ネットワーク上のすべてのユーザーとデバイスに対して、データやアプリケーションへのアクセスを許可する前に、厳格な検証が行われます。

「城と堀」モデルでは、アクセス制御はどのように管理されるか?

「城と堀」モデルを採用する組織がアクセスを制御する方法の1つは、仮想プライベートネットワーク(VPN)です。VPNは、接続されたユーザー(多くの場合、リモートでの作業している)とVPNサーバーの間に、暗号化接続を確立します。ある特定のレベルのアクセス権を行使する場合、ユーザーは少なくとも1つのVPNに接続する必要があります。一度接続すると、必要なリソースにアクセスできるようになります。

同じ企業内であってもユーザーによって異なるアクセス権が必要になることが多いため、ITチームは複数のVPNを設定します。それぞれのVPNは独自の「城」と考えることができ、異なるレベルのアクセス権を提供します。

このようなアプローチには、いくつかの欠点があります:

  • 攻撃に対する脆弱性:VPNは、保護対象となるアプリケーションとデータの単一障害点として機能します。攻撃者はたった1つの漏洩したアカウントやデバイスを入手するだけで、堀を越え、VPNで保護されたデータにアクセスすることができます。
  • パフォーマンスの低下:VPNはすべてのトラフィックを暗号化するため、使用する暗号化の種類によっては、ネットワークにわずかな遅延が発生します(IPsecとSSLの比較)。遠隔地の従業員の場合、VPNはすべてのトラフィックをVPNサーバー経由でルーティングしますが、このサーバーは従業員から遠く離れている可能性があり、ネットワークトラフィックをさらに遅くします。
  • スケーラビリティ:VPNの使用量が、VPNサーバーのトラフィック処理能力を超えた場合、サーバーをアップグレードする必要がありますが、これはプロセスは多大な労力を要します。
  • 保守性:VPNを維持するためには、多くの時間とリソースが必要になります。ITチームは、リモートでの業務を行うすべての従業員のコンピュータに適切なVPNクライアントをインストールし、従業員がそのソフトウェアを最新に保っていることを確認し、VPNのハードウェアを定期的にアップグレードまたは交換しなければなりません。

Zero Trustアーキテクチャではアクセス制御はどのように行われるか?

Zero Trustアーキテクチャーの根底には、いくつかの基本原則があります:

これらの原則は、Zero Trustネットワークとは?でさらに詳しく説明されています。

「城と堀」から「Zero Trust」への移行:「SASE」

「城と堀」モデルの欠点を認識し、多くの組織がZero Trustアーキテクチャを採用しています。当初、これらの移行作業はかなり複雑なものでしたが、現在では多くのベンダーが、迅速に有効化できる合理化されたZero Trustソリューションを提供しています。Cloudflare Zero Trustは、そのようなセキュリティプラットフォームの1つです。

しかし、多くの企業は、個別のアクセス管理ソリューションを採用するよりも、Zero Trustセキュリティをネットワークに組み込む(ネットワークの上に階層を重ねるだけではなく)ことを望んでいます。世界的な調査・助言会社であるガートナー社は、この傾向を「Secure Access Service Edge」(SASE)と呼んでいます。Cloudflare Oneは、Zero Trustセキュリティを組み込んだネットワークの一例です。