ゼロトラストセキュリティは理想論にすぎない？

　コロナ対策をきっかけにリモートワークが広がり、時間・場所に制限されない新しい働き方がニューノーマルとなった。ただし、それと連動するように深刻化しているのがサイバー攻撃だ。国内外を問わず、さらに有名/無名、規模に関わらず多くの企業が攻撃を受けている。特にランサムウェアの被害は深刻で、セキュリティ対策に多額の投資をしている大手の有名企業でさえ、その攻撃から免れることはできていない。

　背景にあるのは、テレワークの拡大で、従業員の働く場や使用する端末などがさまざまな場所に分散したことだ。さらにクラウド活用も当たり前になり、社内／社外の境界線を防御する従来型のセキュリティ対策が崩壊してしまった。

　そこで生まれた新しいセキュリティの考え方が「ゼロトラスト」だ。その本質は、ユーザーも端末もすべてを信用しないところからスタートし、さまざまな条件を積み重ねて「これは信用しても大丈夫だ」と判断してアクセスを許可すること。そしてそれを1つひとつ丁寧に実行・継続することにある。

　しかし、それにはいくつかの問題があると指摘するのは、エヌビディア エンタープライズマーケティング マーケティングマネージャ 愛甲 浩史 氏である。

「ゼロトラストを実現するには、あらゆる通信、アクセスをすべてチェックしなければなりません。その処理のために、CPUを含めたコンピューターリソースが消費されて本来の業務に影響が出たら本末転倒です。しかも、処理すべきデータそのものが爆発的に増大しているのです」（愛甲氏）

　さらにゼロトラストでは、本質的にはさまざまな条件を積み重ねて「これは信用しても大丈夫だ」と判断する認証やログ監視を24時間365日、継続しなければならない。愛甲氏は「それを人間が行うのは、現実的ではありません」と述べる。このため「ゼロトラストセキュリティは重要ではあるが、理想論である」と述べるセキュリティの専門家がいるのも事実だ。

　つまり、ゼロトラストセキュリティには「サーバにセキュリティ機能を実装するほどCPUやメモリといったリソースが減少する」「信頼を確立させる“要件”を甘く設定している企業が多く、検証や追跡が困難」という2つの問題が横たわっているのだ。

暗号化/復号、圧縮/伸張などの機能を専門に処理するプロセッサ「DPU」とは

　ゼロトラストのセキュリティ対策を理想論として諦めたり妥協したりすることなく、理想のまま実現することにチャレンジしている企業がある。それがNVIDIAだ。同社は、グラフィックス、科学技術計算、 AI（人工知能）に欠かせない、高度な演算能力を持つ プロセッサ「GPU （Graphics Processing Unit）」 と開発プラットフォームを提供している半導体メーカーである。

　そして、同社がデータ処理のために開発した新たなプロセッサが「DPU（Data Processing Unit）」だ。

「データはネットワークを経由して出たり入ったりしますが、データ量が増えるほどデータ処理や暗号化/復号といった処理にCPUのリソースが割かれ、本来CPUが実行すべき処理ができなくなります。そこで、GPUで画像処理をオフロードしたのと同様に、通信やデータを処理する専用のプロセッサを開発しました。それがDPUです」（愛甲氏）

　NVIDIAは、2019年にスーパーコンピューターのネットワーク機器を開発していたMellanox（メラノックス）を買収したが、DPUにはこのMellanoxの技術が生かされている。

「DPUには、暗号化/復号、重複排除、圧縮/伸張、あるいは正規表現検索などさまざまなアクセラレータや専用プロセッサを集約し、これらを制御するためにARMの汎用プロセッサを搭載しています。これにより、データを見つけて暗号化/復号したり、圧縮/伸張したりする処理を高速に実行することが可能になります」（愛甲氏）

　セキュリティを高めるためにはデータの暗号化/復号は欠かせない。また、流れるデータをリアルタイムに監視して、本来流れてはいけない機密情報が流れていないかどうかをチェックし、必要であればブロックするといった処理も必要だ。DPUは、こうした処理をCPUに代わって実行する。その結果、CPUは本来のデータ処理だけに専念できるのである。

膨大なデータのAIによるリアルタイム監視・分析を可能にする「NVIDIA Morpheus」

　ゼロトラストセキュリティを実現するため、NVIDIAが開発しているもう1つの重要な技術が「NVIDIA Morpheus（モーフィアス）」（以下、Morpheus）だ。これは、AIを使ってさまざまなデータを監視して、リアルタイムに脅威を検知・対応することを可能にするフレームワークである。

「これだけネットワークが高速化し、データ量が増え、さまざまなクラウドサービスが24時間365日稼働している環境で、人手に頼った監視をすることは現実的ではありません。Morpheusを使えば、その作業をすべてAIに任せることができます」（愛甲氏）

　ただし、AIを使ってデータを監視する仕組みは決して珍しくはない。マルウェアを「パターンマッチング」により排除するアンチウイルスにAIを採用した製品も登場している。これに対して愛甲氏は「我々が目指しているスケールはもっと大きい」と次のように述べる。

「従来の製品は、あくまで部分的なAI利用にすぎません。これに対してMorpheusは、APIを通じてあらゆるデータを取り込んで分析できます。ネットワークの通信データでも、各種システムのログでも何でもかまいません。あらゆるデータを高性能なGPUで処理して、AIでリアルタイムに分析し続けることが可能です」（愛甲氏）

　たとえば、フィッシング対策としてメールをチェックする場合、従来であればヘッダー情報などの一部を取り出して含まれる文字やURLなどをチェックするのが一般的だった。しかしMorpheusを使えば、本文も含めたメール全体を読み込み、言語解析エンジンでリアルタイムに分析して、怪しいメールを瞬時に見つけ出すことが可能になるのである。

DPUとMorpheusの組み合わせで変わるセキュリティの世界

　「DPUとMorpheusを組み合わせることで、セキュリティの世界は大きく変わります」と愛甲氏は強調する。

「たとえば100Gbpsで流れるデータをDPUで処理し、Morpheusに送ってAIで分析し、セキュリティポリシーを自動的にDPUに適用するといった一連の処理をリアルタイムに実行することも可能になります」（愛甲氏）

　本来、流れてはいけないデータを見つけてブロックする。急激に増加したトラフィックをDDoS攻撃だと判断してネットワークを遮断する…… といった処理を、CPUに負荷をかけることなく実現できるのである。

　ただし、DPUとMorpheusの活用は、まだ市場では製品やサービスとしてほとんど見かけない。現在、Palo Alto Networks、Fortinet、VMware、F5、Cloudflareなど、セキュリティ関連のさまざまな企業がNVIDIAと協業して開発中である。

「たとえば、Palo Alto Networksさまは、次世代ファイアウォールをCPUのみで動作させたケースと、CPUとDPUを組み合わせて動作させたケースを比較しました。その結果、性能が5倍向上したことが確認できました」（愛甲氏）


　なお、NVIDIAが提供しているDPUの最新版は「NVIDIA BlueField-3 DPU」と呼ばれるプロセッサで、最大400Gb/sの処理速度を実現している。現在は、さらに高速なプロセッサも研究・開発中だという。

「ゼロトラストセキュリティは、従来の延長線上の技術では実現できないと我々は考えています。だからこそ、セキュリティを専門に処理するプロセッサであるDPU、GPUを活用したAI分析のプラットフォームであるMorpheusを開発し、さまざまなセキュリティ企業との協業体制を整備しているのです」（愛甲氏）

　この2つのテクノロジーによって、今後、セキュリティの分野では、CPUに負荷をかけることなく、大容量のデータをリアルタイムにAIで処理するさまざまな製品やサービスが登場することになるだろう。それとともに「ゼロトラストは理想論にすぎない」という認識も、徐々に減っていくはずだ。