fbpx

【徹底解説】ゼロトラスト・セキュリティを簡単に実現する方法

好きな所から読む

概要:ゼロトラスト・セキュリティの始め方

ゼロトラストセキュリティとは、「信頼された」内部ネットワークと「信頼されていない 」外部ネットワーク、という考えを捨てるべく生まれたセキュリティ対策の考え方です。

企業がモバイル端末とクラウドサーバーを利用することは、もはや自然な事となりました。それはつまり、ネットワークの境界線を中心のするセキュリティ対策の終わりを意味します。いわゆるペリメタモデルです。そしてその境界型セキュリティの代わりに、場所/デバイス/ネットワーク環境に関係なく、さまざまな利用者(従業員、パートナー、契約者など)のアクセスを安全に可能にする必要がでてきました。ゼロトラスト・セキュリティを実現するための銀の弾丸はありませんが、IDとアクセス管理は、企業がゼロトラストへの対応を始める上で中心となる技術です。

この記事では、ゼロトラストの誕生につながった背景としてどのような環境の変化があったのか、最先端のゼロトラスト拡張エコシステム(ZTX)フレームワークはどのようなものなのか、企業が現在および将来のゼロトラストプログラムを成功させるための基盤としてIDaaSをどのように活用できるかを探ります。尚、ゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。

ZTX(Zero Trust eXtended)とは

Forresterが一番最初にゼロトラストの概念を出した10年後、より実践的にセキュリティの専門家がゼロトラストを実現できるように、セキュリティコンポーネントを明確にしたゼロトラストのフレームワークZTX(ゼロトラスト・エクステンデッド)が発表されました。ZTXの提唱するセキュリティコンポーネントは次の7つがメインです

  1. ネットワークセキュリティ
  2. デバイスセキュリティ、
  3. 従業員・IDセキュリティ、
  4. ワークロード/アプリケーションセキュリティ
  5. データセキュリティ
  6. セキュリティの可視性と分析
  7. セキュリティの自動化とオーケストレーション

データを保護する境界線が消えたら、どのようにセキュリティを実現するのか?

従来のセキュリティ・アーキテクチャであるペリメタモデルは、社内ネットワーク内の全てのシステムにアクセスできる信頼された個人と、信頼されていない個人を外部に隔離するという考え方を念頭に置いて構築されていました。セキュリティを担当している情報システム部門は、その間の障壁を保護する防御システムに投資し、ネットワークの境界線の保護に重点を置いていました。そしてそのセキュリティ対策としては、多くの場合ファイアウォールが使用されていました。潜在的な脅威と企業のエコシステムの安全性との間に壁を構築することに成功しましたが、この境界型セキュリティモデルは、現代において課題があります。

テクノロジーの側面としてモバイル端末やクラウド技術の導入が進み、業務としては働き方改革など労働生産性の向上・対策が進む中で、企業活動が社内外を問わずに行われている事を考えると、ネットワークを信頼性の境界として強制することは現実的ではなくなっています。現代においては、企業の機密資産を囲うネットワークの境界線はもはや存在しません。従業員、請負業者、パートナー、サプライヤーのすべてが、従来の境界線(≒社内ネットワーク)を越えてデータにアクセスします。これがゼロトラストネットワークアクセス(ZTNA)です。

クラウドとモバイルの世界では、これまで以上に多くの人がより多くのデバイスや場所からより多くのデータにアクセスしています。そして社内ネットワークの内外を問わず、たった一人でも悪質な行為者がいれば全体に損害を与える事になってしまいます。その結果、企業はもはやIT資産のどの部分に対しても「信頼」をする事が現実的に難しくなってきています。

ゼロトラストとは?ゼロトラストの原則を解説

このような企業を取り巻く労働環境の変化が、ゼロトラストの誕生につながりました。ゼロトラストは、2009年にForrester ResearchのアナリストであるJon Kindervag氏によって開発されたセキュリティ・フレームワークで、信頼された内部ネットワークと信頼されていない外部ネットワークという所謂ペリメタモデルのような概念を捨て、代わりにすべてのネットワーク・トラフィックを信頼されていないものとみなすべきだと主張しました。

この初期構想では、Kindervag氏はネットワーク境界線の見直しに焦点を当て、企業がすべてのアクセスをリアルタイムで検査することを推奨しました。より具体的には、次の3つの原則をゼロトラストの基本として提唱しました。

  1. 場所に関係なく、すべてのリソースに安全な方法でアクセスすること
  2. アクセス制御は必要に応じて行い、厳格に実施すること
  3. 企業はすべてのトラフィックを検査し、ログを記録することでユーザーが正しい行動をしているか確認すること

2009年以降のクラウドとモバイルの台頭は、Kindervag氏独自のゼロトラストモデルを進化させる確実に大きなきっかけとなりました。ガートナーの2017年版CARTAフレームワーク(Continuous Adaptive Risk and Trust Assessment)では、Kindervag氏のゼロトラスト・フレームワークを踏襲し、フロントゲートでの認証とアクセス権限の付与だけでなく、次のようなポイントにも焦点を当てました。

  1. 継続的なアクセスに焦点を当てる
  2. 潜在的な脅威を特定するために、適応性のあるリスクベースの評価を通じて、ユーザーの体験を向上させる

Googleの提唱するゼロトラストに則った考え方である「BeyondCorp」に関する研究は、2014年に発表され、今現在大規模なスケールで正しく行われたゼロトラストの主要な例として機能しています。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

アナリストのChase Cunningham氏が率いるフォレスター社のゼロトラスト・フレームワークの進化版であるゼロトラスト・エクステンデッド・エコシステム(ZTX)も、ゼロトラストがネットワーク・セグメンテーションを超えた概念であることを強く主張しています。Cunningham氏による主張は、ゼロトラストを「次世代ファイアウォール」から「次世代アクセス」へと進化させ、モデルのアイデンティティの側面をより中心的に考え、ネットワークとデータへのアクセス権を持つアイデンティティの管理と制御をモデルの鍵としています。Forrester社のチームは、シングルサインオン(SSO)などの機能を重要な機能として挙げ、多要素認証は「アクセスの脅威を指数関数的に減少させる」と指摘しています。

より詳しくシングルサインオン(SSO)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

たとえモデルが進化しても、このコアとなるゼロトラストのコンセプトは変わりません。今日のセキュリティの世界では、もはやネットワークではなく、システムにアクセスする人々と、その人々のためのアクセス制御が重要です。そこで、アイデンティティとIDaaSの出番です。

Forresterは先日、アクセスの重要性をさらに強調するゼロトラストの新調査を発表しました。一部を引用すると「従来の『システム』や『インフラ』という概念がなくなるにつれ、あらゆる形態のIDがますます重要になってきています」と同社は書いています。ID自体が非常に重要と見なされているため、フォレスターはそれを "ゼロトラストの中核的な柱 "と見ています。

ID管理をゼロトラストを実現するためのスタート地点に

ゼロトラストの核心的な原則は、"絶対に信用しない、常に検証する "ということです。これにより、悪意のない適切な人々が、問題ないアクセス環境で、適切な権限でデータにアクセスできるようになります。そしてそれでいて、それらの評価や検証がユーザーの負担になることはありません。そしてゼロトラストなインフラ構成は一夜にして実現するものではなく、組織がゼロトラストを実装するにつれて、段階的にインフラの成熟度が高まっていくことが分かりました。

ステップ0. バラバラに運用されるIDの管理

多くの組織は、Active Directoryなどのオンプレミスのディレクトリと統合されていない、さまざまなオンプレミスとクラウドのアプリケーションを使用してゼロトラストへの段階的な対応を始めていきます。その結果情報システム部門は、多数のシステムがバラバラに保持しているIDの管理に時間を余儀なく費やされます。ユーザー側にとっても、これは多数の(そして安全でない可能性が高い)パスワードを覚え管理することになり、結果的に面倒でシステムの使い勝手を悪くする事にもつながってしまいます。このような断片化されたIDを可視化し、情報システム部門が主体的に管理できる体制にできなければ、どこか使われていないIDから不正アクセスや不正ログインを許す糸口にもなりかねません。

ステップ1. 統一されたID管理とアクセス管理

バラバラに管理されている多くのIDによって生まれているセキュリティホールを解決するための最初のステップは、オンプレミスとクラウドをまたいで1つのID管理システムの下に統合することです。シングルサインオン(SSO)によるこの第1段階の統合は、アクセスを管理する上で非常に重要であり、顧客だけに限定すべきではなく、従業員、請負業者、パートナーなどの企業全体を含む、サービスにアクセスする必要のあるすべてのユーザーに提供される必要があります。更に一つのID管理システムで集中化されたアクセスポイントに2段階認証を加える事で、認証情報を狙った標的型攻撃への対処も進める事ができます。さらに、IT資産の重要な部分であるサーバだけでなく、アプリケーション間のアクセスポリシーを統一することは、ID管理を情報システム部門が適切に管理しやすくするための鍵となります。

何千もの企業が、企業の中でバラバラに管理されたIDを統一するために、SSOを使用しています。そして大抵のケースにおいて、統合的なディレクトリサービスとSSOサービスはペアになっています。IDaaSの提供するディレクトリサービスは、クラウドベースのディレクトリサービスで、IT組織のための単一の真実のソースとして機能し、複数のADやその他のオンプレミスのディレクトリサービスとIDを統合させる機能を提供します。SSOにより、情報システム部門はID管理とセキュリティをよりシンプルにし、ユーザーを悩ませるパスワードの管理を単純化できます。さらにIDaaSのアクセス制御機能を使用すると、情報システム部門は同じアクセス制御をサーバー層であるAPIなどにまで拡張することができ、情報システム部門が管理する必要のあるオンプレミスやクラウドの幅広いリソースに安全なアクセス管理を提供することができます。

ステップ2. クレバーなアクセスポリシーによるアクセス制御

情報システム部門が IDを統一したら、ゼロトラスト・セキュリティの次のステップへと進みましょう。このステップでは、コンテキストベースのアクセスポリシーを導入します。これは、ユーザーのコンテキスト(誰がアクセスしているのか、リスクの高いユーザーグループに属しているか)、アプリケーションコンテキスト(アクセス対象のアプリケーション)、デバイスコンテキスト(端末の種類やアクセス履歴)、ロケーション、ネットワーク環境に関する豊富なシグナルを収集し、それらの情報に基づいてアクセスポリシーを適用することを意味します。例えば、社内ネットワークから管理されているデバイスへのアクセスを許可するポリシーを設定しても、新しい場所からログインした管理されていないデバイスには、多要素認証のための2段階認証が表示されます。さらに、アクセスする人の権限やリスクに合わせて、2段階認証の方法を調整することもできます。例えば、スマートフォンを持つリテラシーの高いユーザーはOTP(ワンタイムパスワード)を使用する。逆に特権IDなどの利用者は、セキュリティ強化のためにFIDOなどのハードウェアトークンを使用させる事もできます。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

その他にも、ユーザーが企業内で部署異動したり昇進したり立場が変わってしまった場合も、自動プロビジョニングによりユーザーが業務に必要なツールのみにアクセスできるように自動的に制御できます(退職の場合は、すべてのアクセス権限を自動的に取り消し、退職後にアカウントが取り残されたり、潜在的なアクセスの危険性が発生したりするリスクを軽減します)。

そしてこれらの柔軟なアクセス制御は、最新のアプリケーションの構成要素でありながら、機密データをウェブにさらす可能性のある API への安全なアクセスを含む、従業員が使用するすべてのテクノロジーに拡張する必要があります。

今日、すでに多要素認証を使用している企業では、ユーザーや端末、位置情報、ネットワーク環境にアクセスしたアプリケーションやブラウザに関するさまざまなアクセス環境に基づいた処理をすることで、アクセスポリシーはアクセス環境に基づく権限を提供することができます。このアクセス権限は企業のリスク許容度に基づいており、組織を安全に保つための第一の防御線として機能します。例えば、ユーザーが社内ネットワーク上のいつもの会社のラップトップから認証を試みた場合、組織はそのユーザーにパスワードの入力のみを要求するポリシーを設定することができます。しかし、ユーザーが海外の公衆無線LANネットワーク上の会社のラップトップから認証を試みた場合、ポリシーはパスワードと2段階認証の両方を要求することができます。このような文脈に沿ったアクセスは、従業員と情報システム部門の両方にメリットがあります。アクセスする度に2段階認証を要求するのではなく、リスクの高い環境から認証を要求された時のみ、2段階認証を行うリスクベース認証を活用しているので、業務効率が悪くなることもありません。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

ステップ3. セキュアでかつ柔軟性の高い労働環境

ゼロトラスト導入の最終段階では、認証とアクセス権限の付与に企業の焦点を拡大します。認証はもはやフロントゲートだけで行われるのではなく、潜在的な脅威を特定するための適応性のあるリスクベースの評価を通じて、UX全体を通して継続的検証されることを意味します。情報システム部門は、リスク許容度を設定し、特定の認証イベントの危険性を判断するために、様々なアクセスのデータに基づくリスクスコアを可視化し、そのスコアリング結果に基づいて2段階認証を促すことができるようになりました。

このリスクベース認証は、取得したアクセス環境に関するデータシグナルのいずれかに変化があるかどうかを継続的に監視し、ユーザのアクセス環境が変化した場合には、認証と認可の検証を再度促すようになっています。そして更に、これらのリスクベース認証によってより強固なアクセス制御が可能となりセキュリティが向上する一方で、エンドユーザーの体験は最終的によりシームレスになり、柔軟なアクセスが可能になっます。また情報システム部門が設定していれば、パスワードレスな認証も可能になるケースがあります。

IDaaSを利用する際には、情報システム部門の管理者が柔軟にアクセスポリシーを設定することで、従業員であるエンドユーザーの認証体験を劇的に改善する事ができます。認証フローからパスワードを完全に削除することができます。パスワードを代替要因(Google AuthenticatorやFIDOなど)に置き換えて第一の認証手段とすることで、情報システム部門は従業員がパスワードを失念した際にも、パスワードを管理・再設定する手間がなくなります。システムが、今アクセスしているユーザーが正しい従業員だと確信している場合、そのユーザーはパスワードレスでログインができるようになるのです。

現在、ほとんどの企業はゼロトラストの成熟度曲線のゼロ地点にありますが、セキュリティ対策の中心に「絶対に信頼しない、常に検証する」というアプローチを採用し続けているため、IDaaSを提供している事業者は強力でシンプルなアクセス管理を可能にする追加機能のサポートを継続的に行っています。

既存のシステムやネットワーク構成を生かしつつゼロトラストを実現するにはクラウド上のID基盤が必要です。
多要素認証でより堅牢になったゼロトラストソリューションが気になる方はLOCKEDのサービス概要もご覧ください。

ゼロトラストセキュリティを採用するにあたって強化しておきたい対策

エコポイントを理解する

インターネットの普及により、社員が自宅や外出先で仕事をしたり、パソコンだけではなくスマートフォンやタブレットなど複数の端末を通じてアプリケーションにアクセスすることが可能となりました。そこで、ネットワークに接続されたパソコンやスマートフォンなどといった端末などをエンドポイントと言います。上記の通り、近年では一人当たりのエンドポイントの範囲が大幅に広がっています。

エンドポイントセキュリティ対策の注目

こういった現状を踏まえ、新たにサイバー攻撃を防御する為のセキュリティ対策の検討を重要視する考えが広まっています。その対策こそエンドポイントセキュリティです。従来のようにアンチウイルスソフトを端末にインストールするだけの対策では、対象端末を社外ネットワークに接続したことで大きなセキュリティリスクに直面する可能性が出てきました。

従来のファイアーウォールやIDSなどといったアンチウイルスソフトではもはや対応が期待できなくなっています。これはネットワークを通じて感染するウイルスを防御し、マルウェアのインストールを未然に防ぐ役割を持っていました。ウイルス検知方法としては、以前感染したウイルスの特徴を記録し、それと照合したのち合致したものを自動で駆除する仕組みとなっていて、既存の不正プログラムのみにしか対策ができませんでした。

既存のウイルスしか検知できない為、同じウイルスでも検知した段階でマイナーチェンジを繰り返していたり、サイバー攻撃の手法が変わっていたりしたら、そのウイルスには対応できないのです。つまり完全に防ぐことは不可能でした。

そこで、着眼点を端末に移行。情報を保有する端末を守ると言う考えをエンドポイントセキュリティ対策と呼ぶようになりました。エンドポイントセキュリティは一つのメソッドだけではなく、複数の対策がまとまったことを呼ぶケースがほとんどです。各サービスにより内容は様々ですが、

  • データ暗号化
  • メールのフィルタリング
  • ID管理
  • プロセスの隔離

などといった機能が主にどこでも取り上げられるかと思います。

エンドポイントセキュリティ対策に向けて導入するものは?

ここではEDR(Endpoint Detection and Response)の導入を紹介します。EDRとは、エコポイント上の振る舞い、つまり端末上での使用を分析し、その内容から不審な点はないか検知します。その為、従来のアンチウイルス対策で問題視されていた既存のウイルスの脅威のみしか検知できないデメリットを、EDRでは既存にとらわれず高い精度で検知できます。また、ウイルスに感染したとしても、その後の対応策として対応支援する機能も備えています。

エンドポイントセキュリティをこれからに備えるには

働き方改革によるリモートワークの推進と増加、最近では新型コロナウイルスという病原「ウイルス」が蔓延したことからもリモートワークが見直されています。その中で、境界型セキュリティが崩壊する中でアンチウイルスにいかに備えるかが重要です。従来のアンチウイルス対策を排除するのではなく、従来のメソッドを利用しながら、その上でエンドポイントセキュリティによるウイルス対策をすることで対策を強化するのも手かと思います。

より詳しく最新のゼロトラストが必要な背景が気になる方は、
他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

広範なセキュリティエコシステムの全てに、ゼロトラストの考え方を投入する

ゼロトラストの基盤としてIDを提供するだけでなく、IDaaSのサービスプロバイダはセキュリティソリューション全体を深く統合し、ゼロトラストへのアプローチを統一します。IDaaSは、彼らが提供するディベロッパーネットワークを通じて、次のような拡張されたゼロトラストエコシステムのすべてのコンポーネントに深いインテグレーションを実現・継続しています。

企業の抱えるシステムリソースへのアクセスを制御することはセキュリティ上、行動監視の基本となります。しかし、実際にセキュリティ・インシデントの根本原因を特定することは困難です。セキュリティ分析とSIEMの統合することで、IDaaSは豊富なIDの情報とそのID対象の行動履歴を活用し、侵害されたアカウントに対して是正予防・対応に関する措置を自動的に実施することができます。また、IDaaSの事業者はNetskopeやMcAfeeなどのCASBと統合し、企業にアクセスやリスクの詳細可視化とアラートを実現します。そしてこの連携により、IDaaSは認証済みセッション中の危険なイベントを継続的にチェックすることができます。IDaaSのSIEMパートナーと同様に、IDaaSは貴重な認証データを提供して異常をよりよく検出し、CASBサービスがIDaaSに異常かどうかの結果を返すことができます。勿論これらは、IDaaSの提供するディベロッパーネットワークが企業にゼロトラストを提供する方法のほんの一例に過ぎません。

ゼロトラストを実現したFOXコーポレーションの事例

FOXコーポレーションは、ケーブル、放送、映画、有料放送、衛星放送などの資産を有する世界有数のポートフォリオを持つ企業であり、常にセキュリティを重視しています。毎日約50カ国語で18億人以上の加入者にリーチしているFOXコーポレーションは、映画やテレビの制作スタジオを含むケーブル・放送ネットワークやプロパティの世界的なポートフォリオを有しています。数年前、別の大手スタジオの攻撃を受けたことをきっかけに、同社はセキュリティ目標の強化に乗り出しました。

他のホワイトペーパーもご覧ください。今だけ無料で公開しています。

ステップ1. ゼロトラストによるセキュリティ対策を開始

FOXコーポレーション社では、ファイアウォールからウイルス対策ソフトまで、所謂境界型のセキュリティ対策をすべて実施していました。CISOのMelody Hildebrandt 氏が情報システム部門に課した最初のプロジェクトの 1 つは、Fox 社内のすべてのユーザーを同じ環境にすることでした。この取り組みには、認証を強化し、どのユーザーがどのアプリケーションへのアクセスを要求しているかを簡単に確認できるようにし、更にID管理プロセスを効率化することが含まれていました。コアとなるIDとアーキテクチャを統一した後、彼女は新しいゼロトラストなアーキテクチャの設計に目を向けました。これは、今日の話題のデータ侵害の多くの原因となっているクレデンシャル盗難の試みやフィッシング攻撃に対抗するためのものでした。そしてこの変更は、Foxネットワークをサポートする従業員、請負業者、およびパートナーのユーザー体験を損なうことなく行われました。

ステップ2. アクセス管理に、多要素認証を用いたリスクベース認証を採用

FOXコーポレーションはゼロトラストアプローチに取り組むために、とあるIDaaSのプロダクトを利用しました。同社はすでにIDaaSによるSSO、IDaaSの提供する統合されたディレクトリサービス、その他にもライフサイクル管理サービスを使用していましたが、これらに加えて多要素認証を用いたリスクベース認証とAPIのアクセス管理を追加することを決定しました。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

Hildebrandt氏のチームは、メインとなるインフラ構成を整備した後、自動化されたID管理への移行が必須であったため、ライフサイクル管理と統合的なディレクトリサービスを導入しました。Foxの人事システムであるWorkdayでユーザーのステータスが変更されるとすぐに、ディレクトリサービスがユーザーの属性を確認し、ユーザーを適切なグループに振り分けます。その後ライフサイクル管理は、ユーザーが業務を遂行するために必要な権限を提供します。所謂プロビジョニングです。

最終的に、ユーザーは入社初日から必要なものをすべて手に入れることができ、持っているはずのない情報に誤ってアクセスしてしまうリスクがなくなりました。さらに、万が一認証情報が漏洩した場合でも、他の誰かが機密データやコンテンツにアクセスするリスクを減らすことができます。また、FOXコーポレーションの従業員が退職したり、パートナーが契約を終了したりした場合でも、IDなどが放置されセキュリティホールとなってしまう問題はほぼ即座に解決されます。彼らのアカウントがディレクトリサービスにデプロビジョニングされるとすぐにアクセス権限は取り消され、「ゾンビアカウント(≒消し忘れたID)」が残ることはありません。またリスクベース認証を活用した多要素認証を使用することで、誰がアクセスしようとしているのか、どの端末を使用しているか、どこで仕事をしているか、どのアプリケーションにアクセスを要求しているかなどの要素に基づいて、スマートな認証を行うことができます。これは、認証プロセスの中で従業員に不要なステップを踏ませることなく、高いレベルのセキュリティを維持できることを意味します。FOXコーポレーションはリスクベース認証を活用した多要素認証を導入するにあたり、従業員やパートナーの声に耳を傾け、YubiKey(FIDOに加入するハードウェアトークン)、SMSメッセージ、ハードウェアトークンなど、可能な限り多くの2段階認証オプションを提供しました。

より具体的に多要素認証(MFA)について知りたい方は、
こちらのホワイトペーパーもご覧ください。今だけ無料で公開しています。

ゼロトラストが実現するセキュリティと業務効率の両立

FOXコーポレーションにとって、消費者に簡単かつ安全にコンテンツを提供する力が非常に重要です。その一例として、同社がインドの消費者に提供しているモバイルアプリケーション「Hot Star」は、最近では700万人を超える同時ライブ視聴者数を記録しました。リリースからたった2年未満のアプリが、ゼロトラストによってDDoSやクレデンシャルスタッフィング攻撃からきちんと防御されました。

FOXコーポレーションの従業員とパートナーは、IDaaSを活用することで、外部からの脅威を気にすることなく、自社の顧客に魅力的なコンテンツを提供することに専念できるようになりました。より本質的には、ユーザーや情報システム部門の管理に関する複雑さを軽減しながら、大きなセキュリティギャップを解消することができたのです。

ゼロトラストを実現するソリューションも増加

多要素認証エンジンを提供するLOCKED等の国内企業でも、ゼロトラストの推進が進められています。金融や公共機関、教育や医療まで業種問わず、ゼロトラストの推進は国内企業でも広がっています。

クラウドサービスへの依存

セキュリティ監視や分析、サイバー攻撃の対応などの自由化から統合運用管理を狙う、この先10年を見据えたコンセプトと捉えています。クラウドサービスへの依存度を問題視し、セキュリティ管理において新しい対策が必要と考えます。従業員の生産性や効率の向上、人材不足という現代の問題から、IT担当者の負担をなるべく軽減しながら運用コストを削減する手段として、今後はますますクラウドサービスへの依存が高まることを予想しました。Microsoft365といったクラウドサービスへアクセスして業務を行うようになってきている現在、今まで企業システムを保護してきたファイアーウォールやVPNなどといったものはもはや意味をなさなくなってきている一方で、サイバー攻撃はますます高度化しています。更に追い討ちをかけるように、新型コロナウイルスの流行によりリモートワークが政府より推進され、働き方がますます変わりつつあります。「withコロナ」時代でも、生産性を維持し、向上を図る働き方を考えるとなると、クラウドサービスへの需要と基盤とする動きはますます加速する可能性を指摘しました。

VPNがなぜテレワークに適していないのか、詳細をホワイトペーパーにまとめております。
今だけ無料で公開していますので、是非ご覧ください。

ゼロトラスト実現に向けての動き

上記を受け、実現に向けて具体的にどうすればいいのか。顧客の要望やコストに合わせ、その環境にあったセキュリティシステムを構築することが重要と考えました。従来のアンチウイルス対策ソフトとゼロトラストセキュリティを合わせ考え、様々な角度からアプローチを開始しました。こうして様々な可能性を考慮しながら対策を検討しました。しかし、それではセキュリティ担当者の負担が増大します。従来のセキュリティを管理しつつ、新たなセキュリティシステムにおいてクラウドを管理することは先述した通り人材不足が懸念される現代において検討し直さない問題でもあります。そこでその管理を自動化することを見据えました。こうしたゼロトラスト実現に向けての動きのなかで、企業における今後の働き方やデジタルトランスフォーメーションを見据えながら、中期計画、長期計画を立てどう企画して行くかが必要と考えています。

優れたセキュリティ対策製品の紹介

このセキュリティ対策は、クラウドサービスを利用したいがセキュリティが不安、従業員内における不正クラウドサービスの利用、未許可の端末や個人クラウドの利用を制限したいなどといった課題にアプローチし、対策できるセキュリティです。専門家がクラウド利用時における情報セキュリティの現状を明確化するなどといった、顧客のニーズにあったセキュリティを考え、コンサルタントします。顧客からのセキュリティを強化したいポイントなど、要望にわせてクラウドセキュリティ製品やサービスを提案するなど、システム構築から運用まで一貫して支援しています。

次世代CASB Bitglass(利用状況の可視化と制御)

会社で契約しているクラウドサービスだけではなく、個人や部署で個別に契約しているクラウドサービスをも可視化することでクラウドサービス利用の状況を把握することができる仕組みです。

クラウドワークロードセキュリティサービス(IaaS/PaaS環境運用支援)

IaaS/PaaS環境上の業務システムに関わる運用コストの低減とセキュアな利用を実現するため、情報セキュリティ部門に未申告で契約しているIaaS/PaaSを検知、セキュリティの自動チェック、複数のIaaS/PaaSをセキュリティ対策状況も含め一元管理することが可能です。

LOCKED(IDaaS 多要素認証)

システムごとに異なるID・パスワードを一つに統合し、クラウドを含む複数のWebシステムなどに対し1回のログインで利用を許可することができます。ユーザーの利便性向上やパスワード再発行などの対応コストの低減が図れ、管理の負担も軽減されます。これにより一度の認証で多くのクラウドサービスの利用が可能となり、クラウドサービス毎の認証情報管理が不要となるのも大きなメリットです。

Fortinet セキュアSD-WAN(セキュアネットワーク)

各拠点でのネットワーク環境の設定を一元管理し、セキュアなWAN環境を実現。そうすることで複数のキャリアや回線が容易に増設・削減でき、柔軟なトラフィック制御につながります。

CA Privileged Access Manager(特権ID)

クラウドだけではなく、オンプレミスや仮想環境上のIPアドレスを持つシステムの特権IDの操作履歴(証跡)を取得し、制御、監視を行うことで、特権IDの悪用による被害を防止。クラウド環を含めたデバイスの管理・監視します、特定のコマンドの実行を禁止し、仮想サーバーの動的な自動検知・登録・削除まで行います。

Trend Micro Cloud App Security(マルウェア対策)

Office 365上のメールやファイルのマルウェア検知し、標的型攻撃やランサムウェアなどの高度な脅威を防御しつつ、社外からのデータアップロードによる社内へのマルウェア侵入リスクを低減します。サンドボックス分析やAI技術を用いることで防御を可能にし、メールの添付ファイルや本文中のURLをサンドボックスで解析することが可能です。

SaaS型WAF/DDoS対策 Imperva Incapsula(不正アクセス対策)

Webサーバーへの攻撃を防御し、クラウド上に設置されたWebサーバーへの攻撃通信を検知・遮断します。通信の可視化によりDDoS攻撃などの攻撃通信も検知・遮断しながら、Webサーバーに直接アクセスさせない対策を実現します。さらに、個人アカウントでのクラウド利用を制限することで、情報漏洩を防止します。業務利用端末から、個人アカウントで契約しているクラウドサービスへのログインを禁止します。クラウドサービスの自社テナント以外へのログインも制御できる対策となっています。

SharePoint Online 秘匿化ソリューション(暗号化)

ファイルを暗号化したまま検索する「秘匿検索」を実現。攻撃者だけではなくシステム運用者の不要なアクセスを禁止し、SharePoint Online 上からの情報漏洩リスクを低減できるシステムです。

ゼロトラスト セキュリティの思わぬ落とし穴

これまで、ゼロトラスト セキュリティについて今後を期待する新たなネットワークセキュリティシステムと紹介したが、やはりメリットにはデメリットもつきもの。ゼロトラスト セキュリティにはどういったマイナス要素や課題が残されているのだろうか。

先述した通り、クラウドサービスやモバイル端末が近年めまぐるしい急成長と普及を遂げている現在では、会社の内部と外部のネットワークシステムの境界、いわゆる境界型セキュリティのセキュリティ防衛の気薄さが浮き彫りになりました。そこで、従来の境界型ネットワークセキュリティ対策に代わるものとしてゼロトラスト の考えに基づくゼロトラスト ネットワークの考えが検討されつつあり、認識が広がりつつあります。

いかに信用しないかをコンセプトに考えるゼロトラスは一見セキュリティに厳しく、これまでにないセキュリティシステムを思われるかもしれない。しかし、いざ企業にこのシステムを置き換えるとなると、メリットばかりではありません。

ゼロトラスト の理念に基づき、セキュリティ対策の要となるのは「信用しないこと」です。要はユーザーがアプリケーションにアクセスする際は「信用」を得ることです。では、一度信用を得たユーザーは今後も無条件に信用できるものでしょうか?もしそのユーザーが何らかの事情で「信用できない」人物になったとしたら当該セキュリティは判断できるかが問題になります。そのユーザーは「信用」を得る為に必要な情報(アクセスキーなど)を持ち得ながら、不正な用途で情報を使用する事も出来るのです。従って、ゼロトラストセキュリティは、ゼロトラストネットワーク上で完全に信用性があると判断する持っていないのです。

企業内業務にも多少なりともデメリットが存在します。例えば、いざアプリケーションを使用するとなったとき社外からのアクセスしたいときの場合を考えて見ましょう。外部からの社内へのアクセス制限やファイルの閲覧禁止など、セキュリティが万全であることから、業務に支障が出たり、スムーズに遂行できないなど、仕事上にも影響が出る可能性もなくはありません。

さらに、金銭的な面でも大きな課題が残されています。ゼロトラストネットワークを導入し、ゼロトラスト セキュリティ対策を行使する為には様々なシステムとネットワークを導入しなければなりません。またゼロトラスト ネットワークセキュリティ製品は現段階でかなり高価である為、企業的にも負担が大きくことが挙げられます。

ゼロトラスセキュリティの普及はまだ浅く、ネットワークシステム管理も従来の方法ではなく新しいメソッドで管理していかなければならず知識の理解と習得を要します。一見するとメリットが多く、良い点だけが取りざたされがちですが、課題点が検討されないまま普及となれば、普及していく中で新たなデメリットが出現する可能性もあります。セキュリティに万全のものはありません。もしものときのリスクに備えた対策を考える必要があります。

ゼロトラストを実現するために、まずは何をすべきか

現代社会において全ての企業は、企業の労働生産性や労働環境の柔軟性を向上させるテクノロジーを採用したいと考えています。しかし、ゼロトラストの実現に銀の弾丸はありません。そのため今日の企業は、ゼロトラストの導入ファーストステップとしてID管理のIDaaSに注目し、次世代セキュリティ戦略の中核に据えています。そして、適切な人だけが適切な情報に適切なタイミングでアクセスできるようにしています。

これ以外にもゼロトラストの原理や原則を詳しく知りたい方はこちらもご覧ください。

SNSでもご購読できます。