セキュリティ対策の基本的な考え方になりつつあるゼロトラスト。導入するには、どういった点に留意すればいいのでしょうか?
ゼロトラストの導入で考慮すること
ゼロトラストを導入するということは、理想としては社内の全システムがクラウドで利用できることです。しかし、クラウドへ移行するには費用や労力がかかることから、多くの企業が一部システムの移行に留まると考えられます。このような環境では、オンプレミスのセキュリティ対策を講じながら、クラウド環境に対するセキュリティ対策もあわせて実施する必要があります。
また、今後クラウド上のサービス利用が増えるにつれ、オンプレミスとクラウドにまたがる形でインフラを構築するケースも増えると考えられるため、従業員がスマートフォンからアクセスする場合などデバイスや通信アクセスのルートなども念頭に入れて対策をしなければなりません。
特に、中小企業などでは低予算でセキュリティに対する知識があまりなくても扱うことのできるインフラ環境が求められています。
そうした点を踏まえてゼロトラストを実現するためには、どうしたらよいでしょうか。
ゼロトラストを導入するポイントは?
ゼロトラストのネットワークを構築するには、企業や組織の環境や状況に合わせて検討する必要があります。その際に最低でも押さえておきたいポイントは、以下の3点です。
- 外部からのアクセスを全て可視化して検証すること
- 全てのアクティビティを記録に残すこと
- 認証は必要最低限のものにすること
ゼロトラストを実現する方法
ゼロトラストを導入するにはいくつかの方法がありますが、一つの方法だけで実施するのではなく、複数の方法を組み合わせて実施することでより強固な対策ができます。
① ID管理で実施する方法
IDaaSのようなクラウド上でIDを管理するサービスは、主に多要素認証、シングルサインオン 、アクセス制御と暗号化、ウイルス対策、ログ管理といった機能があります。しかし、IDの一元管理はセキュリティ上の課題があるとの指摘もあることから、こうしたサービスを利用する際でも、まずは普段利用している各アプリケーションに、多要素認証による本人確認の機能を組み込むことから始めるのがわかりやすくて確かな方法と言えます。
このようにユーザーIDに加えて指紋認証やワンタイムパスワードなどを使った多要素認証を利用する方法は、手間と知識をさほど必要とせず、しかも安価に実現できます。
② エンドポイントの管理ツールを利用する方法
エンドポイントを起点としたセキュリティ管理を強化するには、EDRやMDMなどのツールをセキュリティソリューションとして利用する方法があります。
EDRはエンドポイント(従業員が利用しているパソコンやスマートフォンの総称)での異常の検出と対応のことで、MDMはスマートフォンなどのモバイル端末を効率的に管理する手法のことを指します。
パソコンやスマートフォンなどの端末での認証管理が徹底していれば、エンドポイントを起点としたセキュリティ管理は非常に堅牢になりますが、その一方で端末の紛失や盗難を考えると万全なセキュリティ対策をすることは困難だと言えます。
したがって、EDRやMDMはあくまでもひとつのセキュリティ対策のツールで、やはり、多要素認証など他の要素と併用して導入することが重要です。
③ クラウドへのアクセスを管理する機能を利用する方法
社内全体のセキュリティレベルを底上げするため、CASBを利用すれば弱点をカバーすることができます。
CASBは利用者と複数のクラウドプロバイダーの間に単一のコントロールポイントを設置することにより、一貫したセキュリティ体制を敷くことができるという考え方のソリューションです。
意図的な不正や犯行でなければ、社内で人為的な要因によって起きる情報漏洩は、従業員の誤った利用方法によって起きるウイルス感染などが原因です。つまり、企業側が万全を期してセキュリティ対策をしていても従業員の意識が低ければ、社内全体のセキュリティレベルを底上げすることは非常に難しくなります。そうした弱点もCASBの利用でカバーできます。例えば、従業員が個人的にクラウドサービスを勝手に利用するのを防ぐなど、これからのクラウドサービスの多様化においては欠かせない考え方です。
CASBはIDaaSの機能を含んでいるものも多く、クラウド利用時のアクセス情報の可視化が期待できます。機能が充実している分、CASBを意識したゼロトラストのセキュリティモデルを構築して運用するには、最低でも年間400万円程度の費用がかかると言われますので、中小企業にはハードルが高い方法かもしれません。
また、クラウドサービスとの相性は良いものの、オンプレミスと併用したハイブリッド型の運用においては実装して運用開始までに時間がかかることが多く、先にクラウドサービスのみに対応させ、オンプレミスに関しては後から実装する、といった方法をとる企業も多いようです。
④ アクセス制御を管理する機能を利用する方法
ネットワークやシステムへのアクセス制御はIDとパスワードで行われるのが一般的でしたが、それではパスワードの安全性を個人に委ねることになり、セキュリティの観点からは問題があります。また、サイバー攻撃によりIDとパスワードが漏洩してしまうという危険性もあります。
そのため、ユーザー認証だけではなく、デバイスのセキュリティ状態やロケーション、使用しているアプリケーションの正当性などを識別した上でアクセス制御を行うソリューションが重要視されています。
そうしたソリューションとして、ITとアクセス権を管理するIAMを利用する方法もあります。
ファイアウォールやUTMからも移行を
ファイアウォールやUTMはネットワーク内部と外部の境界を守る重要な役割を果たしてきました。これまでは、防壁のような静的なものを設置して安全性を確保するものとして信頼を得てきましたが、ゼロトラストでの信頼は動的で一時的なものにすぎません。常に最新の状態を保ち、最新のアクセス情報を再評価し続け、それをクリアした場合のみアクセス権限が与えられます。
ゼロトラストで働き方改革への対応を!
ゼロトラストの考え方は、日本国内においてはまだこれからの分野だと言えます。急速に普及しつつある様々なクラウドサービスへ対応することは、これまで課題となってきたテレワークなどによる新しいワークスタイルへの対応とあわせて、今後ますます重要になってきます。
ゼロトラストは外部も内部もなく、あらゆる事態を想定してセキュリティシステムを構築するものです。インフラ面の検討はもちろんですが、社内のコンプライアンス遵守への取り組みも重要なポイントになります。