城と堀モデルによるセキュリティとは？

城と堀モデルは、外部の人間がネットワークにアクセスできないようにして、組織のデータを外部の脅威から守るセキュリティモデルです。このモデルでは、機密データを含む組織の内部システムやネットワークを「城」、外部からの脅威を遮断する境界防御を「堀」と見立てます。堀の外からは城に入れませんが、一度内部に入るとセキュリティ制御は比較的少なくなるのが特徴です。このモデルは外部のファイアウォールや防御に重点を置いていますが、ゼロトラストセキュリティは、ネットワークやシステム、データへのアクセス時にすべてのユーザーやデバイスを継続的かつ明示的に検証する必要があるため、城と堀モデルを否定しています。

城と堀モデルとゼロトラストの違い

ゼロトラストフレームワークは、セキュリティリスクはネットワークの内外どちらからも発生し得ると考え、暗黙的な信頼を排除するセキュリティモデルです。このモデルでは、ユーザーやデバイスは場所に関わらず、データにアクセスする前に必ず本人確認を行う必要があります。一方で、城と堀モデルでは、ネットワーク内部にいるユーザーは自動的に信頼できるものと見なされます。

どちらのセキュリティモデルも一般的に利用されていますが、サイバー攻撃が高度化し、組織ネットワークの境界があいまいになっているため、ゼロトラストモデルの方がより安全なアプローチとされています。

城と堀モデルの仕組み

城と堀モデルは、主に3つの原則に基づいて運用されます。

堅固な境界防御である「堀」: ネットワークの境界に設置されるファイアウォールや侵入検知システム、外部接続に対する厳格なアクセス制御などのセキュリティ対策を指します。
比較的弱い内部セキュリティ制御である「城」の内部: ネットワーク内部に入ると、外部の厳格な境界防御に比べて、内部リソース間のセキュリティチェックや障壁は少なくなります。ユーザーは適切な権限が必要ですが、内部のセキュリティ構造は境界防御ほど厳格ではありません。
ネットワークの「内」と「外」の明確な区別: 内部と外部のトラフィックを根本的に区別して扱います。内部トラフィックはデフォルトでより信頼され、外部トラフィックには厳格な監視や検査が適用されます。

城と堀モデルの課題

城と堀セキュリティモデルには、以下のような大きな課題があります。

時代遅れのモデル

このアプローチの大きな弱点の一つは、ネットワーク全体を単一の境界防御に依存している点です。サイバー攻撃の脅威が高度化する中で、攻撃者は従来の境界防御を、ソーシャルエンジニアリングや認証情報の窃取、標的型マルウェア攻撃、セキュリティ脆弱性の悪用などによって簡単に突破できる可能性があります。一度堀を突破されると、攻撃者はネットワーク内部で横方向に移動し、機密データにアクセスする恐れがあります。単一の防御層への依存は、境界防御を時代遅れで不十分なものにしています。

クラウド環境では困難な実装

クラウドコンピューティングの導入により、城と堀モデルの実装は複雑になります。なぜなら、固定された境界という概念がなくなるためです。クラウド環境では、組織のデータやリソースが複数の場所に分散して保存され、ユーザーは組織の物理ネットワーク内外を問わずアクセスできます。リソースがクラウド上に分散し、リモートからアクセスされる状況では、固定された境界での防御は効果が薄くなり、組織のデータを完全に保護することが難しくなります。

認証情報の窃取に弱い

サイバー攻撃者は、フィッシングやデータ漏洩の悪用などを通じてログイン認証情報を盗み、境界防御を回避することができます。正規アカウントを侵害されると、攻撃者はネットワーク内に入り「信頼されたユーザー」として扱われるため、機密情報にアクセスしても警告が上がらず、悪意ある行為の検知が難しくなります。

サイバー攻撃への防御が不十分

城と堀モデルは主に外部からの脅威を防ぐことに重点を置いているため、ネットワーク内部の脆弱性を見落としがちです。例えば、信頼された認可済みユーザーが意図的または偶発的にセキュリティを侵害する内部脅威に対しては十分に防御できません。これらの内部ユーザーはすでにネットワーク内にいるため、境界防御を回避する必要がないのです。

常時監視が不可欠

脅威はネットワークの内外から発生する可能性があるため、不審な活動を検知するには継続的な監視が欠かせません。外部からの攻撃は堀で防げても、攻撃者が巧妙に内部へ侵入するリスクは常にあります。一度「城」の中に入られてしまうと、機密データへアクセスされ、深刻な被害につながりかねません。継続的な監視がなければ、セキュリティ侵害の兆候を見逃してしまう可能性があります。