近年、社会的に業務のテレワーク化が進む中、「ゼロトラスト」というセキュリティモデルを導入する企業が増えています。しかし、その一方でゼロトラストとは何か、どのように導入すべきかがわからないという企業も少なくありません。そこで本記事では、IPAが公開している指南書に基づき、ゼロトラストの導入方法について解説します。
ゼロトラストの指南書とは?
「ゼロトラスト導入指南書」とは、ゼロトラストの概要や導入方法などがまとめられた手引書です。本書はゼロトラストという概念を啓蒙していくことを目的に、IPA(情報処理推進機構)が作成・公開しています。
そもそもゼロトラストとは、社内外のすべてを信用できない領域とみなしてセキュリティ運用することを意味します。クラウドサービスやテレワークの導入が進む近年、多くの企業が注目しています。しかしその概要や導入方法などについての理解は、未だ十分に広まっていないのが現状です。このような状況において、IPAが提供してくれる本書の情報は、今日の企業にとって非常に有用と言えます。
ゼロトラストの導入プロセスを丁寧に説明
ここから導入指南書に基づいて、具体的な導入方法やそのポイントについて解説していきます。ぜひこれらのポイントを踏まえて導入計画を立ててください。
①企業のアクターを特定
導入のステップ1は、どのユーザーにどれだけの権限を与えるかを特定することです。基本的に、必要なユーザーだけに・必要な期間だけ・必要な権限だけを与える「最小権限の原則」を守ることが大切と言われています。
②企業が所有する資産を特定
導入のためのステップ2は、自社システムにアクセスするデバイス情報を整理することです。ゼロトラスト・アーキテクチャにおいては、システムに接続してくるすべてのデバイスを識別し、管理することが重要です。この情報は、企業が所有している業務用PCなどの機器はもちろん、企業の所有物ではないものまで識別・監視しなくてはいけません。
例えば、今日ではテレワークの導入に伴って、従業員の個人用PCやモバイル機器での接続を許可している企業も多いことでしょう。このステップにおいては、シャドーITやIPアドレスなど多くの情報を可視化することが必要です。
③キープロセスの特定とプロセス実行に伴うリスクの評価
ステップ3は、業務プロセス・データフロー・組織のミッションにおけるそれらの関係(プロセス)を特定することです。また、それが終わったら信用度レベルを格付けし、ゼロトラストへ移行するプロセスを決めていきます。失敗のリスクヘッジとして、最初はビジネス上の影響度が低い認証対象から始め、徐々に対象を広げていくことが大切です。
④ゼロトラスト導入候補の方針策定
ステップ4では、導入によって影響を受けうる対象をすべて特定していきます。例えば、上流のリソースとしては「ID管理システム」、下流のリソースとしては「セキュリティ監視」、そしてエンティティとしては「主体ユーザー」が挙げられます。導入候補となる各プロセスの重要度を決定し、どこにゼロトラストの機能を導入すべきか判断しましょう。
⑤ソリューション候補を特定
ステップ5は、前項で策定した内容を基に、導入箇所に対してどのようなソリューションを採用するかを特定していきます。ゼロトラストセキュリティとは、そのような名前の単一のセキュリティツールではなく、複数のセキュリティツールを組み合わせることで成立する複合的なセキュリティモデルを意味します。つまり、具体的にどんなものを採用し、組み合わせるかによって、セキュリティの内実は大きく変わってくるわけです。セキュリティ構成に役立つ個別的なソリューションについては、のちほど改めて紹介します。
⑥初期導入とモニタリング
ステップ6では、いよいよゼロトラストセキュリティを実際に導入していきます。初期導入時のポイントは、適用したポリシーや初期動作の確認ができるまでは、監視モードで運用することです。
⑦ゼロトラストの適用箇所拡大
ステップ6で特に問題がなければ、本格的な運用フェイズに移行し、ゼロトラストの適用範囲を拡大していきます。このステップにおいては、ネットワークや資産の監視を継続しつつ、トラフィックの記録を行います。そして、これらを実施していく中で、さらにポリシーの変更や適用箇所の拡大を適宜実施していきます。なお、ポリシーの変更を実施する場合は、深刻な問題にならないように調節することが重要です。
ゼロトラスト導入にあたり気をつける4つのポイント
導入時には、特に注意すべき4つのポイントがあります。これらのポイントと先ほどの導入プロセスを照らし合わせて、「自社はどのようなセキュリティを導入していけばよいか」というイメージを膨らませることが大切です。それによって、「採用するソリューションが合わず、十分なセキュリティ効果を発揮できない」などの事態を防げます。
①ID管理の強化
従来のID・パスワードのみによる認証形式は、ログイン情報の漏えいやなりすましのリスクが否めません。それゆえID管理はもちろん、使用しているデバイス・アプリケーションのセキュリティ状態も含めて、アクセス管理の機能強化を行うことが大切です。
ID管理強化のためには「IDaaS」サービスが第一候補となるでしょう。IDaaSとは、クラウド上のさまざまなサービスのID管理を一元的に行うクラウドサービスです。
②デバイス管理の強化
信用できるユーザーを限定したあとに取り組むべきは、デバイス管理の強化です。近年のテレワークの増加に伴い、企業のシステムにさまざまな機器がアクセスする機会も増えています。そのため、これらのあらゆるアクセスや接続に関して、セキュリティ保護(エンドポイントセキュリティ)に取り組まねばなりません。
エンドポイントセキュリティには、「EMM」と「EDR」を導入することが有効です。もし、システムへのアクセスに従業員の私物端末(BYOD)を利用する場合は、こうしたセキュリティ対策をそれらの端末にも適用できるか調べることを推奨します。
③ネットワークセキュリティ強化対策
ゼロトラストセキュリティの実施にあたっては、ネットワークのセキュリティ強化も重要です。現在、テレワークやクラウドサービスの導入に伴い、ネットワーク帯域の低下に悩まされている企業が増えています。こうした問題には、「SWG」や「SDP」といったアクセス制御に関するソリューションが有効です。
④セキュリティ運用
上記のように、多様なアプローチによって構成されるゼロトラストセキュリティは、従来の境界型防御とは異なった難が生じるため、従来の人員だけでは対応できない恐れもあります。そこでおすすめなのが、セキュリティ運用の自動化・効率化を可能にする「SOAR」の導入です。SOARを導入することで、インシデントの監視・分析業務などの一部を自動化できるため、セキュリティ運用の属人化から抜け出し、システム部門の負担を軽減させられます。
まとめ
「ゼロトラスト導入指南書」とは、IPAが公開しているゼロトラストの概要や導入方法などをまとめた手引書です。この指南書が説いているように、いくつものステップを踏み、自社の課題に合わせて最適なセキュリティを導入しなければなりません。導入指南書には、本記事で紹介した以外にもたくさんの有益な情報が収められているので、ぜひ一読してみることをおすすめします。
