近年、インターネットが複雑化するにつれて、情報漏えいなどのリスクが増大しています。そんなときに役立つのが、ゼロトラストの概念を用いたマイクロセグメンテーションです。この記事では、ゼロトラストやマイクロセグメンテーションについて詳しく解説していきます。
マイクロセグメンテーションとは?
マイクロセグメンテーションとは、端的にいうとネットワークを細かく区画分けすることで、セキュリティ強度を上げる仕組みのことです。マイクロセグメンテーションについて詳しく知るためには、セグメンテーションについて知る必要があります。
セグメンテーションはもともと建物や乗り物を、水や火などの外部の脅威から守るために扉やシャッターなどで区分けする仕組みのことを表していました。セグメンテーションが行われていれば、例えばある区画で火災が発生しても、ほかの区画に燃え広がらないため、被害を最小限に抑えられるのです。これと同じように、インターネットでもウイルスなど外部の脅威から情報を守るため、セグメンテーションが行われています。
しかし、現在ではクラウドの登場などでインターネット環境が複雑化し、従来までのセグメンテーションで情報を保護することは難しくなっています。そこで登場するのがマイクロセグメンテーションという概念です。マイクロセグメンテーションでは従来のセグメンテーションよりも区画を細かく分け、セキュリティを高めているのです。
ゼロトラストとは?
ゼロトラストは「信頼できるものはない」という意味で、インターネットで活動しているすべてのユーザーやプログラムを信頼せず、常に正常なアクセスか検査する仕組みのことを表します。具体的には、アクセス権や認証を常に検閲し、認可します。
以前はネットワーク環境が単純であったため、外部からの脅威に対してファイヤーウォールを設置するなどして対処しておけば、十分なセキュリティを確保することができました。しかし現在では、インターネットにアクセスする方法が爆発的に増え、侵入経路が多くなったため、より高度なセキュリティ環境の構築が求められています。
今日、攻撃者は関連会社など比較的セキュリティが弱い場所を狙って侵入し、重要情報にアクセスすることが容易になっています。従来のインターネットでは、一度侵入してしまえば、後は妨害を受けることなく活動できるからです。
各所からのアクセス方法が増えたことで、各アクセスポイントにファイヤーウォールなどを使って防御する方法には限界が見えてきています。特に近年ではテレワークも増え、外部と内部の境界もあいまいになっています。そこで、近年ではゼロトラストの考え方を使い、常にすべてのアクセスを侵入する仕組みにすることで、セキュリティを強化することが増えたのです。
従来のネットワーク境界防御の課題点
従来のネットワーク境界防御にはいくつかの問題があり、十分なセキュリティを確保することが難しくなっています。それぞれの問題について詳しく見ていきましょう。
内部は安全と定義している
従来のネットワーク境界防御の問題点としてまず挙げられるのは、内部は安全だと定義していることです。外部の攻撃者が侵入するアクセスポイントのみ防御しているため、一度侵入してしまえば、後は自由に情報を抜き取れるようになっています。これは、境界内にある人やプログラムなどは正しいことしか行わないと仮定しているからです。
しかし、現在ではインターネットへのアクセスポイントが爆発的に増えたことから、外部との境界で防御することが以前と比べて難しくなっています。そのため、セキュリティを向上させるために、内部も必ずしも安全ではないと考える必要があるのです。
内部から情報漏えいが発生する
従来のネットワーク境界防御の問題点として、内部から情報漏えいが発生する可能性も指摘されています。従来のネットワーク境界防御では最初から内部の活動の検閲は行いません。そのため、企業の内部にいる人がインターネットにアクセスして情報を抜き取り、外部に提供するのは簡単です。また、ヒューマンエラーで意図せず情報が漏れてしまう場合もあります。
特にたくさんの人がネットワークにアクセスする会社では、内部の人の動向についても逐一検閲を行い、情報漏えいを発生するリスクがないか、常に監視しておく必要があるでしょう。
性善説で成り立っている
従来のネットワーク境界防御は「ネットワークの内部にある人やプログラムは悪事を働かない」という性善説で成り立っています。
性善説は必ずしも間違った考え方ではありませんが、近年のネットワークへの攻撃頻度を考えると牧歌的と言わざるを得ないでしょう。性善説では「わざと情報を漏えいさせようとする内部の人間がいる」といったケースには対処できないからです。つまり企業は「内部からのアクセスであっても信頼せず、常に目を光らせるようなセキュリティ環境」を構築することが求められています。
マイクロセグメンテーションのメリット
インターネットを細かく区分けするマイクロセグメンテーションには主に2つのメリットがあります。それぞれのメリットについて詳しく見ていきましょう。
セキュリティを区画に分けて管理できる
マイクロセグメンテーションのメリットとしてまず挙げられるのは、仮想化技術を利用してより細かなセグメンテーションを実施することで、アクセス元のエンドポイントごとに細かい権限管理をを行えることです。ゼロトラストの考え方であるエンドポイントごとの細かなアクセス管理をネットワークセグメントで実現できるのです。
侵入者は一つひとつの区画をいちいち突破していく必要があるため、その間に対処しやすくなっています。また、どの区画に侵入されたかわかるため、今後のセキュリティ向上策も練りやすくなっています。
情報漏えいのリスクが低下する
マイクロセグメンテーションのメリットとしては、情報漏えいのリスクが低下することも挙げられます。アクセス権限を細かく設定することで、それぞれの情報にアクセスできる人数が減るからです。
例えば、会社の人事の情報にアクセスできる人を人事部のみに限定すれば、情報漏えいが人事部以外から起こるリスクは減ります。
マイクロセグメンテーションのデメリット
マイクロセグメンテーションにはデメリットもあります。2つのデメリットについてそれぞれ詳しく見ていきましょう。
セキュリティ運用工数の増加
マイクロセグメンテーションのデメリットとしてまず挙げられるのは、セキュリティ運用工数が増加することです。マイクロセグメンテーションではアクセス権限を細かく設定します。そのため、いちいちアクセス権限を設定する手間がかかりますし、誰に何のアクセス権限を許可しているのか管理する手間も増えるのです。
生産性低下の恐れがある
マイクロセグメンテーションにより、生産性が低下する恐れもあります。マイクロセグメンテーションでは、管理者はアクセス権限の付与と管理、作業者はアクセス権限の申請を行う手間が発生するからです。
従来はなかった作業が発生するため、同じ時間あたりにできる作業量が減り、生産性も低下しやすくなるでしょう。
ゼロトラスト・マイクロセグメンテーションを導入するには
ゼロトラストやマイクロセグメンテーションを導入するためには、IDを管理し、アクセス権限を付与する仕組みや、エンドポイントセキュリティを行う仕組みを整備する必要があります。
このようなID管理・アクセス権限を付与する仕組みを考えるときに役立つのがIDaaSです。IDaaSはIDとアクセス権限の管理を実施するほか、そのIDを利用したさまざまなSaaSへのシングルサインオン(SSO)を可能にします。
また、エンドポイントセキュリティとは、端末単位でのセキュリティ対策のことです。端末にセキュリティソフトを導入するなどして、エンドポイントセキュリティを整備することが可能です。
最近ではエンドポイントセキュリティが正しく機能している端末にのみ証明書をインストールして、アクセス権限付与に活かす例も出ています。
まとめ
ゼロトラストを用いたマイクロセグメンテーションは現代の社会では必須と言える概念です。将来、ますますインターネット環境は進展していくことが予想されます。国境をもまたいで、各所から自社システムへ頻繁にアクセスされているような状況が、日常となる日も近いでしょう。もはや外-内を区切る従来のセキュリティでは、そうした状況に対応できません。本記事で紹介したポイントを押さえ、マイクロセグメンテーション導入をいち早く検討してみてください。
