ゼロトラストは、境界ベースのセキュリティ対策の負荷が増大する中で、それに対処する必要性を表現する用語として調査会社Forrester Researchが2010年に提唱した。ゼロトラストへの関心は高まりつつある。Forresterのアナリスト、ポール・マッケイ、チェース・カニンガム、エンザ・ラノンポロの3氏がまとめた報告書「How To Implement Zero Trust Security In Europe」(欧州でゼロトラストを実装する方法)によると、欧州の企業インフラに関する意思決定権者を対象に実施した調査では、パブリッククラウドを積極利用しているという回答が54%を占め、2016年の19%から急増していた。(続きはページの末尾にあります)
コロナ禍を経てテレワークが当たり前の働き方になる中で、「ゼロトラストセキュリティ」の導入が広がっている。ゼロトラストセキュリティが必要になる理由を、事例を交えて紹介する。
リモートアクセスのためのVPNの代替手段になり得る「ZTNA」を導入する際、組織は幾つかの問題を乗り越えなければならない。ZTNAの導入を難しくする2つの課題とは。
場所を問わない働き方の普及や、攻撃手法の巧妙化を背景に、「ゼロトラスト」の重要性が高まった。その技術の一つである「ZTNA」の仕組みを理解しておこう。
VPNベンダーの調査により、アラブ諸国は世界トップレベルのVPN普及率を誇っている状況が明らかになった。背景に何があるのか。
オフィス出社への回帰は当たり前だし、テレワークにしがみつくのは単なる甘えだ――。こうした考えは否定されるものではない。ただしその判断が、優秀なソフトウェアエンジニアの確保を妨げる可能性がある。
クラウドサービスの導入やテレワークの採用などで、従来の「境界」を意識したセキュリティモデルが通用しなくなりつつある。その対抗策として浮上しているのが「ゼロトラスト」だ。その概要を説明する。
アクセス管理の複雑化に頭を抱える企業は、「ゼロトラストセキュリティ」に目を向け始めています。ゼロトラストセキュリティの実装には具体的にどのような機能や製品が必要なのでしょうか。
テレワーカーが安全に社内LANに接続するためのセキュリティ対策といえば、従来はVPNが主だった。それに代わる手段を、さまざまなベンダーが打ち出し始めている。どのようなサービスがあるのか。
テレワークの普及で、旧来のセキュリティ対策である「VPN」に課題が見え始めた。それは何なのか。有力な対策となり得る「ゼロトラストセキュリティ」の有効性と併せて考える。
「ゼロトラストセキュリティ」は、テレワークを支える有力なセキュリティアーキテクチャだ。ただし全ての企業がゼロトラストセキュリティの価値を引き出せるわけではない。どのような企業に向かないのか。
新型コロナウイルス感染症の影響で急きょテレワークを導入した企業は、顕在化した課題の解決策として「ゼロトラストセキュリティ」に目を向けているという。それはなぜなのか。
ロックダウンやオフィス閉鎖を受けて、企業はテレワークへの移行を急ピッチで進めることになった。その中で企業が注目しているのが「ゼロトラストセキュリティ」だ。どのような点にメリットを感じているのか。
企業が現状利用するセキュリティ対策では防ぎ切れない脅威が登場している。その問題を解決し得る新たなセキュリティの概念が「ゼロトラストセキュリティ」だ。なぜゼロトラストセキュリティは有効なのか。
セキュリティベンダーがこぞって「ゼロトラストセキュリティ」を宣伝する状況には、良い面と悪い面があると専門家は指摘する。それはどういうことなのか。
さまざまなセキュリティベンダーが「ゼロトラストセキュリティ」の重要性を強調している。その背景にある変化とは何か。専門家に聞いた。
コロナ禍で導入したテレワークを安全に継続するためには、何をすればよいのでしょうか。企業が従来利用してきた「VPN」の限界と、「ゼロトラストセキュリティ」の重要性を説明します。
「VPN」は在宅勤務などのテレワークを安全に実施するために、重要な役割を担う。ただしVPNを導入しただけで、安全なテレワークが実現するわけではない。それはなぜなのか。
ゼロトラストに向けて世界が動き始めている。ゼロトラスト導入の課題は何か。MicrosoftとGoogleの取り組みを交えて紹介する。
今、セキュリティかいわいでは「ゼロトラスト」がもてはやされている。だが導入・実践は困難でコストもかかる。ゼロトラストの効果を早期に得ることができる導入方法を紹介する。
「ゼロトラストセキュリティ」は、クラウドによって多様化する企業ITを保護するための有力なアプローチだ。どのように実現すればよいのか。必要な要素とベストプラクティスを紹介する。
ウォルシュ、グランネルズの両氏によると、ゼロトラストをデフォルトとするセキュリティ対策においてはネットワークの内側も外側も何も信用しない。そのためリスクを許容できるレベルに抑えるためのコントロールが必須になる。これは深層防御と呼ばれる。
両氏は言う。「ゼロトラストでは、『信じよ、だが検証せよ』としてきた従来のモデルが変化する。従来のモデルではネットワーク内の機器や資産は許可される可能性が高く、社内限定のリソースに安全にアクセスできるとしながらもそれを検証していた。それが『決して信じるな、常に検証せよ』に変化した。会社のリソースにアクセスする端末は全て認証を通過してセキュリティポリシーのチェックを受けなければならず、アクセスはコントロールされて必要な範囲に限定される」
ゼロトラストでは、ITセキュリティがコントロールを取り戻すことができると両氏は解説する。
「ゼロトラストへのシフトは、情報セキュリティ部門がエコシステムの新しい境界の多くでコントロールを取り戻す場になる。セキュリティはアドレスおよびロケーション層からデータ中心モデルへとシフトする。ゼロトラストネットワークセグメンテーションではトラフィックも可視化され、『誰が、何を、いつ、どこで、なぜ、どうした』を把握できるようになる。これはアクセス、セキュリティ、モニター、コンプライアンスを管理するために重要だ」
Forresterの報告書を執筆したマッケイ、カニンガム、ラノンポロの3氏によると、非セキュリティ幹部はゼロトラストを単なるネットワークセキュリティアーキテクチャにすぎないと考える。Forresterの調査では、欧州でこれまでゼロトラストの採用を加速させているのはネットワークセキュリティの意思決定権者だったことが分かった。CISO(最高情報セキュリティ責任者)以上の幹部とはほとんど相談していなかった。
Forresterによると、ゼロトラストモデルの採用に関しては、コストが一つの懸念材料になっていることが分かった。Forresterが構築した中核的なゼロトラストモデルは、IDなどの基本的なセキュリティコントロールと導入済みのコントロール基盤を使った攻撃表面の削減から着手することにより、ゼロトラストの原則に向けた段階的な進化に重点を置く。
Forresterアナリストのマッケイ、カニンガム、ラノンポロの3氏はCISOに対し、既存のセキュリティシステムから着手し、段階的なアプローチで組織を横断するゼロトラストを導入するよう促している。「そうした分野をマスターすれば、セキュリティ監視の範囲を強化して可視性を高め、手作業のセキュリティタスクを自動化し、ゼロトラストの成熟度を高めるといった新しい分野に投資できるようになる。ゼロトラストが新しいセキュリティ製品をたくさん購入するための新たな口実ではないことを実証できれば、CISOに対する役員会の信頼も一層高まる」
ゼロトラストの進展に関する報告書によると、実際に事実上のゼロトラストネットワークアクセスを提供するソフトウェア定義型境界技術で現在のセキュアアクセスインフラを拡張している組織は4分の1に上る。
ゼロトラストは一般的に、以下のコントロール要素を組み合わせて組織のリソースにアクセスする端末とユーザー、信用レベルを管理する。
全エンドポイントにコンプライアンスを強制して管理する。会社保有の端末かBYOD(私物端末の業務利用)か、取引先が提供した端末かは問わない。これにより、自分の端末の状況(例えばOSが古くなっているなど)のセキュリティ脅威を把握できる。
1回のサインオンで完全に検証された認証情報をシステムからシステムへと受け渡す。ゼロトラスト環境における使いやすいユーザーエクスペリエンスでは、単一のユーザーIDとユーザーの認証情報を検証する単一のエントリーポイント、組織のシステムを出入りするログが重視される。
信用された端末、ハードウェアセキュリティキー、生体認証、行動分析、位置情報、時間ベースの制限といった全てを組み合わせ、ユーザーの身元を確認するために複数要素で構成される「プロファイル」を構築できる。全ユーザーの検証が必須になれば、単一要素に依存するという選択肢はなくなる。
出典:Fieldfisherのジェームズ・ウォルシュ氏、ロブ・グランネルズ氏
ITmediaはアイティメディア株式会社の登録商標です。
