ゼロトラストな世界で「トラスト」を得る
〜ゼロトラスト/SASEはじめの一歩　アクセス制御の話〜

前回の【リレーコラム第1弾】では「SD-WANが不可欠であるといえるワケ」を紹介させていただきました。

ところで、前回コラムでも触れられていた「ゼロトラスト」というワード。
これまでファイアウォールやIPSで守られていた企業ネットワークの境界が消失し、安心して使える＝信頼（トラスト）されたネットワーク領域がどこにも無くなってしまった！という話を耳にします。

そんな安全なネットワーク領域がどこにも無い、つまりゼロトラストな世界で、安心して業務を続ける為のソリューションがいわゆる「ゼロトラストソリューション」、「SASEソリューション」です。

と言われても何のことかなかなかイメージできないですよね。

本稿では、ゼロトラスト/SASEのはじめの一歩「アクセス制御」という用語について少しお話をしたいと思います。

唐突ですが「アクセス制御」と聞いて皆さんは何をイメージしますか？

　回答1　アクセス制御って言ったら、やっぱりファイアウォールだよね！
　回答2　危険なWebページへアクセスしないように守ってくれるWebフィルタリングもアクセス制御じゃないの？
　回答3　やっぱユーザー認証でしょ。

さてさて、色々な回答が出てきましたが、、、どれも正解です。
でもちょっと待って下さい。実はこれらは少々フェーズが違うお話を一緒にしてしまっています。

ということで、「アクセス制御」をフェーズごとに並べ直してみました。

こんな風に、大きく「アクセス段階」、「アクセス中」の二つに分けることができ、更にアクセス段階の中は「要求者」と「アクセス対象」による二つの段階に分けることができ、合計３つの段階に分けて考えることができます。

この中で、要求者、つまりアクセスしてきた「誰か」が本当にアクセスをして良い人なのか？を確認すること(IT系用語で言うところのアイデンティティの確立、いわゆるID管理)が全ての起点になります。

要求者の正当性を何らかの手段で証明できると、晴れてその「誰か」は「トラスト(信頼できる)」な状態になり、企業ネットワークへのアクセスが許可されます。
でも、まだこの段階では要求したアクセス先へは接続できません。

次に、このトラストされた誰かは要求してきたアクセス先へアクセスしても良いのか？ということをチェックします。
更に、そのアクセス先は本当に信頼できる安全なものなのか？企業のセキュリティ・業務ポリシー上アクセスして問題無いアクセス先か？ということもチェックし「OK！大丈夫！」となったところで初めて要求したアクセス先へのアクセスができることになります。
更に、、以降の部分は詳細化された部分で少々複雑なので、一旦脇へ置いておきますが、まずはアクセス要求元とアクセス先の組み合わせで、アクセスを許可するのか？というのが第二のフェーズになります。

さて、認証界隈で「AAA(Authentication(認証) Authorization(認可) Accounting(課金))」という言葉をもしかすると耳にしたことがあるかもしれません。
ちょっと難しい言葉で言うと、このうち前半の二つのA、「認証」、「認可」が先程の三つのフェーズの前二つ「要求者」、「アクセス対象」に相当します。

ゼロトラストな世界では、誰も、そして何も信頼(トラスト)が確立していないという前提からスタートします。
誰かがアプリケーション、データ等の企業の資産(リソース)へアクセスを要求してくる都度、要求者が信頼できる者か、アクセス対象へアクセスして良いかをワンステップずつ確認し、信頼(トラスト)を積み重ねながら不確実性を無くし、「トラスト」な企業資産（リソース）の利用環境を作り上げていきます。

今回はゼロトラスト/SASEのはじめの一歩として、「アクセス制御」という言葉についてお話しました。
アクセス制御の中にはアクセス段階とアクセス中の二つのフェーズがあり、アクセス段階は更に要求者のトラストを確立する「認証」というフェーズと、その要求者が要求してきたアクセス対象へアクセスすることが、本当に許可されているのかを確認して制御する「認可」という二つのフェーズからなることを説明させていただきました。
ゼロトラストな世界でトラストを確立し、ユーザー、企業リソースを脅威から守るソリューションの多くは、今回説明したアクセス制御の「要求者」「アクセス対象」を意識した構造を取っています。

本稿のお話を頭の片隅にでも留めておいて貰えると、今後ゼロトラスト/SASEソリューションを理解する上で、少しお役に立つのではないかと思います。