はじめに

本記事では、Zero Trustの一つの実装モデルであるLISA（Location Independent Security Approach）をご紹介します。
COVID-19により多くの企業がリモートワークを強いられていることと思います。このため、Zero Trustモデルが昨今非常に注目されています。しかし、Zero Trustは色々なベンダーが「俺のゼロトラスト」を主張しており、実装イメージがいまいち掴みにくいところがあります。ゼロトラストを実現したGoogle社のBeyondCorpが発表されたものの、重厚長大で実装に向けてスタートしづらい面があります。そのようななか、Netflix社のLISAモデルは既に多くの企業が導入しているようなソリューション群を利用した簡易的なゼロトラストの実装モデルを発表しました。
なお、本記事は以下のUsenixの発表をもとにしています。

USENIX Enigma 2018 - LISA: A Practical Zero Trust Architecture

ゼロトラストとは

Forrester社が提唱し、Zero Trust Securityの考え方が生まれました。Zero Trust Securityでは、Perimeter Security（境界セキュリティ）で信用していた境界内（オフィスネットワークなど）をも信用せず常に検証する形としたところが大きな違いです。

Zero Trustが必要とされるようになってきたのは、大きく以下3点の変化によりPerimter Securityでは情報を守れなくなってきたことによります。

• 攻撃の高度化

攻撃が高度化し、すべての攻撃を防ぐことが難しく侵入されるのが当たり前になってきた。
このため、脅威が内側に入ってくるのが当たり前としてとらえなければならなくなった。
Permiter Securityの考え方は内側は信頼しているので、いったん侵入された脅威に非常に脆弱となっている。

• クラウドの利用の拡大

クラウドの利用が拡大し、重要な情報が、信頼できる「内側」だけでなく、「外側」にも配置されるようになった。利用者はどこからでもアクセスできるようになり、境界の「外側」からもアクセスでき、境界で実施していたセキュリティ対策が意味をなさなくなってきた。

• 多種多様なデバイスの利用の拡大

BYOD（個人所有の端末）が広まったり、IoTデバイスの数も増えてきたため、内側外側という考え方だけでなく、どのようなデバイスであるかも踏まえたうえでアクセス制御が必要になってきた。

簡易なゼロトラスト実装モデルであるLISA

LISAの概要

LISAでは、いかなるリソースもVPNに接続しない限りは利用できないようにすることで、セキュリティを担保します。
以前から、VPN接続時において端末のセキュリティ対策状況のチェックを行っていた企業は多いのでしょうか？LISAでは、リソースにアクセスするすべての端末をVPNに接続させ端末のセキュリティ対策状況をチェックすることにより、Zero Trustの「常に検証する」という考え方を実現します。
発表のなかでは、オフィスのネットワークをカフェのネットワークのように取り扱えといっており、Zero Trustらしいものといえます。