ファイアウォールの内側を 「信頼できる」 、外側を 「信頼できない」 と二分するセキュリティモデル。 「Castle and Moat(城と堀)」 モデルとも呼ばれる。
モデルの前提
- 物理的・論理的な 境界(ファイアウォール)が引ける
- 境界の 内側は信頼できる(社内 LAN)
- 境界の 外側は信頼できない(インターネット)
- VPN で内側に入れば、それ以降のアクセスは 暗黙に信頼される
なぜ通用しなくなったか
| 変化 | 影響 |
|---|---|
| SaaS の普及 | 守るべきデータが境界の外に置かれる |
| リモートワーク | 社員が境界の外から接続するのが日常 |
| IPv6 | NAT による「自然な隠蔽」が消失 |
| 大規模インシデント | 境界突破後の横展開で被害が拡大(SolarWinds 等) |
構造的な脆弱性
- 横展開攻撃(Lateral Movement) : 1 アカウント突破で社内全体に展開
- 単点突破 : VPN 認証 1 段階の突破で、全社のリソースへアクセス可能
- 規模の限界 : VPN サーバーが数千人規模でボトルネック化
ゼロトラストへの移行
このモデルの後継が ゼロトラスト 。 「Never trust, always verify」 をスローガンとし、ネットワーク位置によらず すべてのアクセスを ID とコンテキストで毎回検証 する。
関連用語
- ゼロトラスト — 後継のセキュリティモデル
- BeyondCorp — VPN を廃止した代表的事例
- 多層防御 — ゼロトラストと併用すべき設計思想