これまで企業のセキュリティは、社内と社外に分けて社内情報を守る、という考えが一般的でした。現在は、クラウドとモバイルの普及により、社内と社外の境界が曖昧になったため、新たなセキュリティとして「ゼロトラスト」が注目されています。今回の記事では、ゼロトラストの定義やモデルの導入要件、導入メリット、導入方法について解説します。
ゼロトラストの定義
現在、多くの企業でリモートワークが導入され、場所にとらわれない勤務スタイルが定着する一方、社外からの不正アクセスを防御し、社内の情報資産を保護する従来型の「境界型セキュリティ」では、対応できなくなりました。
従来では、「信頼できる内側・信頼できない外側」という認識をしていました。しかし新しいセキュリティ概念「ゼロトラスト」は、最初から内側・外側の区別をしないことが特徴です。つまり、「どんなアクセスも決して信頼せずに、その都度アクセス権確認や認証を実施する」というセキュリティの管理・運用のあり方を指します。場所による安全性を判定せず、保護すべきデータ資産を定義した上で、ユーザーや端末、アプリケーションなどの信頼性を常にチェックし、厳重に不正アクセスからデータを保護します。
ゼロトラストモデルにおける7つの導入要件
「ゼロトラストモデル」は、2010年にアメリカの調査会社であるForrester Research社によって提唱されました。常に、デバイスやユーザーなどのネットワーク環境を監視し、確認した結果を基に、保護すべきデータ資産およびシステムへのアクセス権を制御するモデルです。ゼロトラストモデルを設計・実装して、導入を進めるためには、7つの要件があります。それぞれの要件について解説します。
デバイス
デバイスが企業の内部リソースにアクセスする際、アクセス許可などの認証を管理します。不正アクセスやウイルスが侵入したデバイスは、すばやく検知して対処しなければなりません。デバイスは、いつでもネットワークから分離・制御し、保護できる状態に整えられます。「EDR(エンドポイントでの検知・対応)」機能で提供されることが多く、「エンドポイントセキュリティ対策」とも呼ばれます。また、携帯端末を管理する「MDM(モバイルデバイス管理)」機能も必要です。
ピープル
ユーザーアカウントやアクセス権限の付与を管理することで、「アイデンティティ・セキュリティ」とも呼ばれます。ネットワークにアクセスするユーザーを検証し、アクセスポリシーに則ってアクセスを制御します。
これにより、ユーザー検証とアクセス制御を常時繰り返し、保護すべき資産の攻撃対象となるスペースを最小限に抑えられるのです。「IDM(アイデンティティ管理)」や「IAM(アイデンティティ・アクセス管理)」といった製品分野が該当します。
ワークロード
わかりやすくいえば、アプリケーション管理のことを指します。オンプレミスやクラウドなどの環境を問わず、モバイルアプリケーションおよびSaaSアプリケーションを管理し、その脆弱性などを検知して、ウイルスの脅威から保護します。
また、内部の情報リソースへのデータ収集・改ざん、および不正アクセスを防御します。アプリケーションの認証をシステムに任せて、1回の認証で済ませられる「シングルサインオン(SSO)」や、認証要素を2つ以上組み合わせる「多要素認証」なども必要です。
ネットワーク
内部と外部の境界を作らないセキュリティが求められます。具体的には、ネットワークの単位を小さく分割する「マイクロセグメンテーション」や通信データの暗号化、通信相手を特定し、状態を把握するセッション管理機能などがあります。状況に応じて、ネットワークの内部と外部の境界を設置できる「SDP(Software Defined Perimeter)」や、Webトラフィックの盲点を排除し、企業のITリソースを不正アクセスから保護する「SWG(Secure Web Gateway)」は、その一例です。
データ
データは適切に分類して保存することが重要で、データの漏えいや紛失リスクに備えた管理が求められます。そのために、まず企業データの分類を行い、アクセスが不要なデータを別の場所に分離します。機密情報を特定し、不正アクセスの監視によって、外部への持ち出しを検知した場合、操作をブロックする「情報漏えい対策(DLP)」や、データを転送する際に利用する「暗号化ソリューション」などが該当例です。
可視化と分析
すべてのセキュリティプロセスを監視して分析し、「どのユーザー・デバイスがどのデータを確認しているか」など、システムとインフラの動きをリアルタイムで可視化することが求められます。ユーザーが未許可のサービスやアプリケーションを利用している場合は、管理者にアラートで通知されるので、不正行為を予防できるでしょう。
システムやインフラに何らかのインシデントが発生した場合、「報告・管理体制・連絡先」などの手順をあらかじめ定めておくことを、「セキュリティインシデント」と呼びます。このセキュリティインシデントの管理も、リスクを低減させるためには欠かせない、非常に重要な要素です。
自動化とオーケストレーション
企業全体のネットワークで、ゼロトラストモデルを実装するセキュリティ機能を自動化し、ほかのサービス機能と連携することが求められます。「セキュリティインシデントに対策を実施し、不正アクセスの制御を自動化する」など、各種ソリューションの自動化により、一元的に集中管理します。管理者がユーザーログを1件ずつ追跡することは、ほぼ不可能です。セキュリティの脅威を未然に防ぐためにも、この自動化は必要不可欠な要件と言えます。
セキュリティ管理の確認項目
ゼロトラストでセキュリティ管理を行う場合、以下の項目を確認しましょう。
- 利用しているネットワークの安全性
- 許可されたデバイスを利用しているか
- マルウェアなどに感染したデバイスを利用していないか
- 必要な安全対策を施したデバイスを利用しているか
- アクセスはユーザー本人か
- 利用しているアプリケーションの脆弱性
- 不正アクセスなど不審な操作がないか
ゼロトラストのネットワークを実現するには、必要なソリューションを組み合わせて導入する必要があります。特に、重要なソリューションは「ユーザー認証・デバイス(エンドポイント)・ネットワーク・クラウド」に関するセキュリティです。
ゼロトラストのメリット
ゼロトラストは、リモートワークやクラウド利用が一般的になった現在、大きなメリットを持ちます。企業や組織がゼロトラストモデルを導入するメリットについて、まとめて解説します。
セキュリティ水準が大幅に向上
ゼロトラストは社内・社外の区別なく、すべてのアクセスに、ユーザーとデバイス機器それぞれの認証を行います。これらの認証が確認できなければ、システムやアプリケーションへのアクセスは不可能です。そのため従来型の「ファイアウォール(Firewall)」で、外部からの侵入を防げなかったマルウェアからも、情報リソースの保護に期待できるでしょう。エンドポイントセキュリティのEDR導入により、社内外問わず、セキュリティがより強化されます。
システム部門のセキュリティ運用効率化
これまでは、サイバー攻撃やウイルスの侵入、不正アクセスなど、あらゆる脅威やネットワークの状態に応じて、セキュリティ対策を行っていました。ゼロトラストは、クラウド上でセキュリティのさまざまな設定の一元管理が可能です。リモート体制でも、同じセキュリティポリシーが適用されます。
また、セキュリティに関するフレームワークを構築し、EDRやセキュリティ運用の自動化を施した「SOAR(Security Orchestration, Automation and Response)」の導入により、システム部門のセキュリティ運用の効率化を図れるでしょう。
ゼロトラストモデルをスムーズに導入するには
今後、ゼロトラストモデルを導入する場合、ソリューションの選定条件も含めて、おさえておきたいポイントがあります。大きく分けて、以下の2つが挙げられます。
アクセス管理とID管理
まず、ネットワークにつなげるアクセスとIDを、厳重に管理することです。外部からのアクセスの安全性を高めるため、アクセスとID管理を一元化し、複数項目で認証を行います。セキュリティを強化するあまり、アクセス工程が複雑になると、必要な業務に支障を来しかねません。IDとパスワードを単一化し、多要素認証と組み合わせると、より効果的です。
さらに、すべてのアクセスを可視化し、「不審な操作や内部不正が発生していないか」を常に監視できるよう、アクセスログの透明性を高められます。
エンドポイントセキュリティ対策
PC・スマートフォンなど、各端末について、それぞれセキュリティ対策を施すことも重要です。具体的には「ウイルス対策ソフトの導入・端末の識別番号やIDによる認証・HDDの暗号化」などです。この点を考慮し、「シングルサインオン・多要素認証・アクセス管理・ウイルス対策」といった機能を搭載したサービスを選ぶと有効でしょう。
まとめ
リモートワークとクラウド時代に求められている、セキュリティ管理が「ゼロトラスト」です。ゼロトラストモデルの導入により、システム部門のセキュリティ運用管理の効率化が図れます。ゼロトラストを実現する際にはID管理が欠かせません。その際にはHENNGEが提供するIDaaS、HENNGE Oneの活用を検討してみてはいかがでしょうか。
