テレワークが定着したことでネットワークの境界線は曖昧になりつつあります。そのような背景で、従来ファイアウォールで分けていた「社内」「社外」という境界にフォーカスしたセキュリティ対策では対応できなくなってきています。そこで生まれた「ゼロトラスト」という考え方について解説します。
2023.02.03
コロナ禍以降増加したリモートワーカー。また、出張などを理由に、外部から企業データにアクセスする人もいるでしょう。
場所を選ばずに社内データにアクセスできるのは便利な一方で、セキュリティ面のリスクが懸念されます。ここでは、新しいセキュリティモデルとして注目されてきた「ゼロトラストセキュリティ」の考え方、メリット・デメリットなどについて改めて説明します。
ゼロトラストセキュリティモデルは2010年にフォレスター・リサーチ社が提唱した、これまでの境界型セキュリティを否定する新しいセキュリティアーキテクトのモデルです。働き方改革やデジタルトランスフォーメーション(Digital transformation:DX)への取り組みにより企業のネットワーク構成が大幅に変わってきた現代において、最も注目される考え方となりました。
ゼロトラストセキュリティは、その名の通り全てのアクセスを信頼しない(zero trust)という考えを基盤に構成されます。社内ネットワーク内で行われるやりとりすらも、都度そのユーザ、デバイス、フローを信頼せず、通信が発生する度に検証を行い、接続許可を判断します。これにより、社内と社外のネットワークの境界線が曖昧になってしまっても、または巧妙化したマルウェアに境界線内の侵入を許してしまったとしても、水際で必要なセキュリティ対策を講じる事が出来るというわけです。
セキュリティ対策の大定番というと、外部から社内ネットワークを守るファイアウォールやIPS、IDSを想像する方が多いでしょう。社内ネットワークと外部ネットワークの境界に、セキュリティの壁がある状態です。いわゆる境界防御型セキュリティと呼ばれるものです。
従来の境界型セキュリティのアーキテクトモデルは、社内ネットワークとインターネット、そして不特定多数にアクセスさせる社外公開用サーバを設置するDMZ(非武装地帯)と3つの領域で構成することで、安全な領域と危険な領域をしっかりと区別し、その境界でセキュリティを講じて徹底して社内ネットワークに不正アクセスを持ち込まないというのが基盤となっています。
出張時や在宅勤務への対応については、VPN接続時に検証がかかった後、認証を受けることで社内ネットワークに入れるようになります。
従来型の境界防御型セキュリティは社内は安全、社外は危険と分類し、境界にセキュリティ対策を施しますが、ゼロトラストセキュリティは、すべての通信が信用できない(trast:信用がzero:ない)として、セキュリティ対策を行う考えです。
ゼロトラストセキュリティは厳格なセキュリティ対策が講じられ、ユーザ認証やネットワークの監視、デバイスの確認などから安全性を担保します。
主な確認事項としては以下の通りです。
従来型のように、社内ネットワークの中は安全だから…ではなく、全ての通信に対して疑いを持って対応していくのがゼロトラストセキュリティの基本です。
ZTNAは、これまでお話したゼロトラストセキュリティモデルに則ったセキュリティソリューションのことです。ユーザからのアクセス要求が発生する度にユーザのアイデンティティや端末のセキュリティ状態が検証され、予め定義されたポリシーに基づいて要求されたアクセスが動的に許可される仕組みです。
テレワークの普及などクラウドネイティブな働き方が浸透するにつれ、境界型セキュリティにさまざまな課題が浮上しました。
一般社団法人 JPCERTコーディネーションセンターが発表している「JPCERT/CC インシデント報告対応レポート 」によると、2019年1月のインシデント報告件数は1536件、2020年1月は、1788件、2021年は4237件、2022年1月は5306と年々右肩上がりになっています。
近年のテレワーク普及にともなって、セキュリティ上の様々な課題が生まれていることがわかりますね。
出典:一般社団法人JPCERTコーディネーションセンター「JPCERT/CC インシデント報告対応レポート」2019年~2022年発表分より
社外で働く従業員を”境界線内”に入れる為にリモートでVPNにアクセスさせる必要があります。
これまでは出張時など、一部の人を対象に期間限定的にリモートVPNを使う事が主流でしたが、現在は社外で働く従業員の人数が増えている為、VPN網へかなりの負荷がかかります。
それに加えて、社内ネットワーク内の従業員も、商談や社内会議をオンラインで実施したりと、クラウドサービスの利用が増えていますので、インターネット回線への負荷も急増しています。
自社でセキュリティ管理が出来ない私用PCやタブレットの使用、また利用を許可していないアプリの使用をする事でウイルス感染のリスクは高まります。社員教育で使用制限をかけるのには限界があり、企業は今、シャドーITへの対策を求められています。
自宅ネットワークや公共のコワーキングスペース等は自社でそのセキュリティレベルを確認、管理する事が出来ません。サイバー犯罪者は、セキュリティの甘い自宅ネットワークのWi-Fiルータから従業員のデバイスにリーチをかける術を既に実行しています。シャドーIT対策と共にこちらも無視できない課題でしょう。
ロケーションを選ばない働き方は、本来業務効率向上を目的として推進されるべきですが、VPNを経由することで単純に目的地(アクセス先)へ遠回りのルートになってしまいます。
通信遅延が発生すると業務効率が落ちるというだけではなく、従業員がストレスを感じ、それがシャドーITを後押しする要因になりかねません。
境界型セキュリティは一度認証を受けて社内ネットワークに入れれば、その先要求したものすべてにアクセスできてしまう特徴がある為、万が一マルウェアが社内ネットワークに侵入してしまった際の初速を止められず、大きな被害に繋がりかねません。
これらの課題をクリアする為に、境界型セキュリティに成り代わって登場したのがゼロトラストセキュリティですので、脚光を浴びるのは必然ですね。
ゼロトラストセキュリティへの舵を切らねばと思っても、完全に脱VPNをするというのはなかなかハードルが高いと感じている企業も少なくないと思います。
そんな中、Googleは、「BeyondCorp」と題して過去10年にわたり独自のやり方でその取り組みを続けてきました。BeyondCorpは全世界10 万人以上のGoogle社員の利用実績が裏付けしたゼロトラストセキュリティのGoogle版モデル(=Google流の実現方法)といえるでしょう。これから起業するような経営者の方々は最初からBeyondCorp Enterpriseでネットワークを組むのも選択肢の一つかもしれません。
※BeyondCorp Enterprise...BeyondCorpに則って作られたGoogleのソリューション
ゼロトラストセキュリティは現代のネットワーク構築に必要不可欠な要素です。一見メリットしかないように感じますが、たかだかここ十数年で広がった新しい考え方に過ぎません。ではどういったメリットやデメリットがあるのでしょうか?
社内外問わずセキュリティを強化することができるゼロトラスト。
テレワークなど社外からの通信であってもセキュリティを担保することができるため、場所・デバイス、通信環境問わず、安心して業務をすることができます。
テレワークなどの多様な働き方にも対応することができるのが大きなメリットの一つと言えるでしょう。
社内ネットワークだけでなく、利用するデバイスやクラウドサービスにもセキュリティ対策が講じられるのがゼロトラストセキュリティです。単に社内外の境界線だけではなく、デバイスやネットワーク、アプリケーションなど様々な層でセキュリティ対策がされるため、より強固なセキュリティレベルにすることが可能です。
従来のように社内にセキュリティデバイスを設置して、セキュリティリスクそれぞれに対してシステムを導入して管理しなければならない…なんてことも多かったと思います。
ゼロトラストセキュリティを導入する場合、多くはクラウド型のサービスを利用する形となります。クラウド上で管理することができ、各セキュリティを一元管理できるサービスもあるため、情シスの管理・運用工数を削減することにもつながります。
セキュリティレベルが向上する代わりに、多段階認証(多要素認証)やアクセス制限などによる業務の利便性低下の可能性があります。
アプリケーションを利用するときに、IDやパスワードだけでなく、SMS認証まであると1ステップ対応しないといけないことが増えますよね。
閲覧したい社内データがあるのにアクセス制限のせいで閲覧できなく、いったん情シスや上司に相談しないといけない…なんてことも起こります。
セキュリティを担保するために必要なことですが、現場のちょっとした手間が増えることは各従業員に理解して貰う必要があります。
比較的新しい考え方であるが故に、ゼロトラストに関する各ベンダーのソリューションが発展途上であることや、導入コストが高いこと、そもそもやりたい事を全て1つのソリューションで対応できるというベンダーが登場していません。
導入時の検討が大変だという点はデメリットのひとつでしょう。
前述した通り、いざ導入を検討すると「既存の境界型ネットワークの代名詞であるVPNを撤廃する事は出来ない」という結論に行きつく企業も多くあります。
そうなると、どこまでを残し、どこからを刷新するか判断するスキルとノウハウが情シス担当には必要です。
そして、ゼロトラストネットワークを構築する為には、既存ネットワークの脆弱箇所の把握や重要情報の定義設定が出来ることが前提になります。これらが足枷となり、いまだゼロトラストモデルについての調査や検討に着手すらできていない企業も少なからずあるでしょう。そのような企業は、境界型ネットワークにもゼロトラストネットワークにも知見があるベンダーに相談してみてください。
ゼロトラストセキュリティは、デバイス・OS・ネットワーク・ユーザといったあらゆる観点で通信が発生する度に、毎回検証と許可を実施するというセキュリティモデルであり、社内ネットワーク内に潜む脅威にも高いセキュリティ能力を発揮すると期待されています。
そして、このゼロトラストモデルを実現させる為には、満たすべき7つの要件が存在します。
クリアすべき7つの要素を以下にご紹介します。
会社が管理する端末であるかどうか、適切なパッチ管理がされているかどうか、マルウェアに侵されていないかどうかなど、デバイスのセキュリティを検証します。
通信が発生する度にエンドポイントとアクセス先のネットワークのセキュリティがポリシーをクリアしているかどうか、またどのユーザをどのネットワークにアクセスさせるかの制御など、ネットワークにおけるセキュリティを検証します。
機密情報を整理し、利用の監視とデータ保護、従業員による内部情報の持ち出し、外的要因による情報漏洩の防止を行います。
アクセス時のログインID・パスワードを期間ごとに変える事や、必要最小限のアクセス権しか付与しないという運用が大事です。退職者のID削除、異動者のアクセス権管理も疎かにしてはいけません。また一度認証が通った後も継続して認証を行う事もゼロトラストネットワークにおけるアイデンティティ・セキュリティの考え方です。
モバイルやPCから使う全てのアプリケーションの利用を可視化し制御することでワークロードのセキュリティを担保します。
デバイスやユーザー、ネットワーク、アプリケーションのセキュリティ状態を可視化し、アクセスさせていいのかを判断する為都度分析することでゼロトラストを一貫させます。
上記の要素を全て自動化させることで、連携のとれた即応体制を実現させます。有事の際には、デバイスの隔離、脅威を排除、修復などを自動実行することで、問題発生時の素早い解決を実現します。
ゼロトラストネットワークに変更しなければと思い立っても、すぐに構築できるものではありません。1から構築するのでは人的コストも金銭的コストもはかり知れませんし、体制が整ってもポリシーの見直しや社員のセキュリティ教育など、専門的なスキルとノウハウを駆使しなくてはゼロトラストは運用できません。
この章ではどういった点に注意しながら導入をしていけばよいかを解説します。
新しいセキュリティ対策を実施する場合、工数もコストもかかるため、経営層の理解が重要です。現状のセキュリティが対応できていない点やリスクを明示し、ゼロトラストセキュリティの重要性を理解してもらうことで、まずは経営層にゼロトラストセキュリティへの移行の必要性を認識してもらいましょう。
何かツールを導入しておしまい、というものではないため、しっかりと社内の体制も構築しておきましょう。
各セキュリティサービスの管理やチェック、従業員への周知など運用業務も行える組織作りも合わせて実施していく必要があります。
無駄な管理工数がかからないように、各ユーザのIDやデバイスなどの管理はある程度一元化してできるような仕組みも重要です。
セキュリティレベルを高めたいがあまりに、利便性が大きく損なわれ、業務に支障がでてしまっては本末転倒です。セキュリティレベルと利便性は相反する存在ではあるものの、リスクの度合いを鑑みた実施が望ましいです。
まずは業務に支障がでない範囲からゼロトラストセキュリティを導入していくのもよいでしょう。
前提として忘れずにいたいのは、境界型セキュリティが”使えない”のではなく”足りていない”だけだという事です。境界型セキュリティでは一度認証を得られれば、その後の動きに検証はかかりません。「継続的な検証と認証」のように従来のセキュリティでは対応しきれなかった部分に焦点を当て、徐々にゼロトラストセキュリティを実現させていくのが良いでしょう。
ゼロトラストモデルを構成する為にデバイス・ネットワーク・データ・アイデンティティ・ワークロード・可視化と分析・自動化の7つの要素が必要だと前述しました。それらの要件に合致したソリューションを検討し、導入していくことで徐々に静的境界線に依存しないセキュリティ体制を構築することができます。いくつかを例として挙げていきましょう。あくまで例ですので、これがすべてと思わず、ひとつの参考にしてみてください。
従来のID+パスワードによる認証だけではなりすましのリスクが払拭出来ません。IDaaS(Identity-as-a-Service)で多要素認証を加えID管理を強化したり、使用デバイスやアプリケーションのセキュリティ状態(パッチ管理はされているか等)によるアクセス制御でセキュリティをより堅牢にしたいです。
各アプリケーションへのアクセス制御については、CASB(Cloud Access Security Broker)でクラウドサービスの利用状況を可視化するなどしてこれまで以上に細かく動的に設定を行いたいですね。
利用者(ID)とアクセス権を正しく検証できる仕組みが出来た後は、デバイスの管理です。近年はフィッシング詐欺メールやマルウェアを含んだ標的型攻撃メールの被害が増加傾向にあることや、ローカルブレイクアウトやシャドーITにより企業が用意した適切なセキュリティ網を通らない通信が発生してしまっている点から、最後の砦になり得るエンドポイントセキュリティは非常に注目を浴びています。
モバイル管理において以前から存在したものはMDM(Mobile Device Management)がありましたが、それにMAM(Mobile Application Management)の機能が合わさったものがEMMです。会社支給モバイルがある企業においてはMDMさえあれば良いと思いますが、BYOD(Bring Your Own Device)を採用している企業であれば、端末にインストールしたアプリケーションの管理を行えるのでEMMを推奨します。
また、EPP(Endpoint Protection Platform)だけではマルウェア被害を100%回避する事は出来ないとして、インシデント発生後の被害の抑え込みに重点を置いたEDR(Endpoint Detection and Response)もこれからのセキュリティ対策には必要でしょう。
保護された社内ネットワークからだけではなく、管理の行き届かない外部のネットワークからも企業の重要情報にアクセスしてくる働き方になっています。ZTNA(Zero Trust Network Access)やSDP(Software-Defined Perimeter)でVPNをクラウド化し、必要なユーザに必要な時だけ動的に通信経路を用意することで、VPN機器や管理が及ばない従業員の自宅ネットワーク等の脆弱性をターゲットにさせずに安全な社内通信を確立する他、従来より社内と社外で起こる通信の番人であったプロキシサーバをSWG(Secure Web Gateway)に置き換え(または多層防御的に追加し)シャドーITを含む全ての通信を監視・制御する対策なども有効だと思います。
ゼロトラストセキュリティへの取り組みは、従来の情シス人員だけでは対応しきれない可能性が高いです。より情報セキュリティに特化した知識が必要であったり、既存の担当者に知識があったとしても単純にリソースが不足すると予想されます。インシデント発生時に、原因を調査する為に膨大なログを読み解く時間とスキルが用意できるでしょうか。
また原因を特定するのと同時並行で(もしくはそれより前に)被害を抑える為の初動を起こさないといけませんし、食い止めた後は再発防止を検討しなければなりません。これらに対応できる人材育成は容易ではなく、人員不足が日本全体で喫緊の課題と謳われています。そこで外部サービスで足りない部分を埋めていきます。ログ管理についてはSIEMで可読性を高め、SOAR(Security Orchestration Automation and Response)で速やかなインシデント対応を実行し、SOC(Security Operation Center)でPDCA(というよりOODA)を回し、よりセキュリティを強化していくイメージです。
まとめ
ゼロトラストセキュリティは、デバイス・OS・ネットワーク・ユーザといったあらゆる観点で認証・確認作業を実施するセキュリティのアーキテクトモデルです。それぞれのデータやアプリケーションを個別に保護することで、高いセキュリティ能力が発揮されると期待されています。社内と社外の境界線を取り払ってしまうゼロトラストネットワークは、リモートワークなど柔軟な働き方に必要不可欠となっています。
企業は、ゼロトラストを導入するかどうか?ではなく、どのようにゼロトラストを導入するかどうか?のステージにいると言っても過言ではありません。
コロナによりクラウド利用が急増 これからのネットワーク構成に欠かせない「ゼロトラストネットワーク」
テレワークが定着したことでネットワークの境界線は曖昧になりつつあります。そのような背景で、従来ファイアウォールで分けていた「社内」「社外」という境界にフォーカスしたセキュリティ対策では対応できなくなってきています。そこで生まれた「ゼロトラスト」という考え方について解説します。
SDPとは?ゼロトラストで提唱されるクラウド時代のネットワークセキュリティ
VPN・閉域網
セキュリティ
SWGとは?機能や特徴、類似セキュリティサービスとの違いを解説
クラウド
セキュリティ
SASEとは?仕組みやメリットを解説!クラウド時代のセキュリティとネットワークの新フレームワーク
クラウド
セキュリティ