クラウドサービスの普及やテレワークの浸透、通信する端末の増加など、近年のネットワーク環境は目まぐるしく変化を続けています。個人情報や企業の企業の経営情報など、機密情報を多く扱う企業にとって、ネットワークにおける境界の複雑化はリスクの増加に他なりません。急速に変化している業務環境のセキュリティ対策において、もはやファイアウォールの内側と外側だけで安全なエリアを区切る境界型防御だけでは脅威を防ぎきることは困難になってきています。業務環境の変化に合わせてどのようにネットワークを設計すれば良いのか、多くの企業が見直しを迫られています。
近年、安全なネットワーク環境を実現するための考え方として、「ゼロトラスト」という概念が注目を集めています。今回はゼロトラストの全容と導入の注意点、ゼロトラストの概念を企業ネットワークに取り入れるための方法についてご紹介します。
ゼロトラストとは
ゼロトラストとは「何も信用しない(Zero Trust)」という表現の通り、ネットワークの境界を問わず、全てのデバイス・ユーザー・通信ネットワークを監視し、適切なレベルでの認証・認可を行うことをいいます。
従来のセキュリティモデルである境界型防御は、外部からの攻撃による社内への被害・社外への情報の流出を防ぐという考え方であり、安全な内部を危険な外部と切り離す前提のセキュリティモデルとされていました。一方のゼロトラストは、内部のネットワークにも脅威が存在しうるという考えのもと、データや機器等のセキュリティを最小単位で考え、重要な情報資産を脅威から守る考え方です。
従来の境界型防御と、高度化するセキュリティ脅威に対する有効性が注目されているゼロトラスト。これらは異なる視点をもったセキュリティの概念であり、どちらか一方だけが優れているわけではありません。観点が異なるふたつのセキュリティを共存させることで、多様な攻撃を防ぐ複合的なセキュリティを実現できると考えられます。
ゼロトラストが注目されている背景
テレワークの浸透
近年、新型コロナウイルス感染症の影響により、テレワークの導入やクラウドサービスの利用が急速に普及しています。そのため、社外のネットワークから直接社内システムに接続する機会が増え、従来の境界型防御によるセキュリティでは防ぎきれないサイバー攻撃の脅威に晒されています。さらには、標的型メールの攻撃対象となった企業で、社内端末のウイルス感染の事象が増加。従来のセキュリティモデルでは、社内を信用できる領域として考えることが難しくなっているのです。
クラウドサービスの利用増加
テレワークの実施に当たっては、クラウド上でソフトウェア(アプリケーション)を提供し、インターネットを介してどこからでも利用出来るクラウドサービス(SaaS)の利用が増加しています。オンプレミス環境でのシステム構築に比べて初期投資や運用コストを削減できるうえ、迅速に導入でき拡張性も高く、セキュリティ管理対象の軽減にもなるため、企業規模を問わず導入が急速に進んでいます。クラウドサービスの導入が進む中で、社内ネットワークを介した構成ではトラヒック集中によるボトルネックが発生し、従来のネットワーク構成が業務の支障となるケースが増えています。このような状況を受けて、一部のクラウドサービスのトラヒックをインターネットへ逃がす、オフロードの構成が注目されています。こうしたネットワーク構成の変化に伴い、境界型防御だけではない新たなセキュリティの概念として、ゼロトラストが注目されています。
セキュリティリスクの高度化
昨今、未知の攻撃手法によるサイバー攻撃が活発に行われており、サイバー攻撃は高度化・複雑化しています。例えば、Emotetと呼ばれる取引先や知り合いになりすましたメール起因のマルウェア脅威などが急増していますが、標的型攻撃で自社内のアカウントを乗っ取られると、より権限の高いアカウントへと浸食していくため、境界型防御だけでは、検知が困難になります。内部に侵入されることを前提に、データなどの情報資産へのアクセスは必要最小限の権限に付与することや、不審な振る舞いをするアカウントを検知してアクセス制御できるようにしておく必要があります。ゼロトラスト化の注意点
セキュリティ強化はコストではなく投資
新たな仕組みの導入には一定のコストがかかるものです。ゼロトラストも例外ではなく、セキュリティの重要性は理解しているものの、実際に被害を受けたことがないことで「コスト」として判断され、なかなか導入が進まない場合があります。そのため、経営層がセキュリティリスクを理解し、コストではなく投資であることを説得する必要があります。なお、「これを導入すればゼロトラストが実現できる」というような製品は存在していないため、企業ごとに要件定義を行ったうえで、適切なソリューションの導入・運用が求められます。要件定義の際、従来のセキュリティシステムを再利用する方法にとらわれてしまうと、適切な要件定義が行えず、結果的に不要な運用コストが発生しかねません。セキュリティ対策にかかるコストは一時的な費用ではなく、企業イメージや将来性のための投資であると理解し、コストを惜しまないシステムの構築が求められます。
また、ゼロトラスト化にはコストだけではなく運用・人的リソースを確保する必要があります。まずはゼロトラストの概念を正しく理解し、自社の課題を整理し、あるべき姿の要件定義をまとめたうえで、自社の課題にあったソリューションを見つけていく必要があります。
ゼロトラスト化のポイント
実際にゼロトラストを導入する際には、次のポイントを意識して行う必要があります。IDの管理
ゼロトラストにおいては、ネットワークに接続する利用者を特定し、利用者ごとに必要最小限に設定された権限の付与が求められます。ただし従来のID・パスワード形式による認証だけでは、適切な利用者がアクセスしているとは断言できないため、ゼロトラスト化においては最適な運用とはいえません。漏えいやなりすましのリスクが考えられますので、多要素認証やIPアドレス制限などのセキュリティを導入できるIDaaSを利用するという選択肢があります。
デバイスセキュリティの管理
ゼロトラストにおいてはネットワーク上にあるデバイスの管理が重要です。デバイスのセキュリティ対策に有効なソリューションにはEMMとEDRがあります。EMM(Enterprise Mobility Management)は業務に使われるモバイルデバイスを管理するツールであり、デバイスの機能制限やリモートワイプ等の機能によってモバイルデバイス上で扱われる企業情報の漏えいを防止します。EDR(Endpoint Detection and Response)はパソコンやサーバーなどエンドポイントにおける不審な挙動を検知します。どちらも境界型防御では対応できない脅威に対する防衛として有用です。
セキュリティ運用の自動化
ゼロトラスト化においては、より高度なセキュリティが求められます。従来のセキュリティ人員では対応できない事態の発生が予想されることから、SOAR(Security Orchestration, Automation and Response)の導入によるインシデントの管理・運用・対応の自動化が必要となってきます。SOARの導入は、インシデント発生時に必要な人力による対応を大幅に軽減する一方、完全自動化には一定のリスクを伴います。そのため、SOARの導入後も要所で人間が介在できるような体制の構築が望まれます。
ネットワークの管理
ゼロトラストにおいては、ネットワークの管理方法やセキュリティにも見直しが必要となります。従来のネットワーク構成のままでは、VPNゲートウェイがボトルネックとなり遅延が課題となるケースや、複数の端末やネットワークを利用することでセキュリティリスクが高まることが主な課題となってきます。こうしたネットワークが抱える課題に有効なソリューションとしてSWGとSDPが注目されています。ボトルネックの解消には、VPNゲートウェイの機能をクラウド化することで、トラヒックを逃がしセキュアに管理を行うことができるSWG(Secure Web Gateway)。セキュリティ強化には、アクセス制御の設定を動的に変更でき、物理的な境界では防ぎ切れない脅威を防ぐことができるSDP(Software Defined Perimeter)などがあります。
まとめ
ゼロトラストは、従来の境界型防御では守ることが困難な脅威に対して適用するセキュリティの概念です。全てのデバイス・ユーザー・通信・ネットワークを監視し、適切なレベルでの認証・認可を行うことで、セキュリティインシデントの発生リスクを大きく低減できます。
ゼロトラスト化を検討される際には、まずは概念を正しく理解し、自社の課題を整理、あるべき姿の要件定義をまとめることで、自社の課題にあったソリューションを見つけていくことをおすすめします。
そして、新たなソリューションを導入した結果、社内システムを複雑化させてしまっては本末転倒です。IT統制を考慮し、あるべき姿に近づけていくことが非常に重要となります。
アルテリア・ネットワークスでは、ゼロトラスト化の基盤に最適なクラウド型ネットワークサービス「VANILA」を提供しています。サービス概要はこちらをご覧ください。