失敗しない「ゼロトラスト」導入法実は困難なゼロトラスト

今、セキュリティかいわいでは「ゼロトラスト」がもてはやされている。だが導入・実践は困難でコストもかかる。ゼロトラストの効果を早期に得ることができる導入方法を紹介する。

2020年04月21日 08時00分 公開
[Simon PersinComputer Weekly]

 デジタルトランスフォーメーションは、ネットワークの境界に制限されることなく業務の運用を可能にする。このパラダイムシフトには、クラウドホスト型のシステムやサービスを導入することや、業務プロセスを専門テクノロジーパートナーに外部委託することも含まれる。だが、これによって社外へと広がるネットワーク上の機器、システム、アプリケーションの制御や責任の境界が曖昧になる。その結果、セキュリティの課題が飛躍的に増加する。

 この状況をさらに悪化させるのがシャドーITだ。個人や部門が各自の職務のためとはいえ、IT部門の管理が及ばない製品やサービスを購入すると、それらはセキュリティ標準プロセスの管轄外になる。

 このような変化によって、これまで境界を利用してきたネットワークセキュリティ戦略の有用性が失われる。そこで重視されるようになってきたのがゼロトラストによってセキュリティを確保するアプローチだ。ゼロトラストでは、認証済みのユーザーでも悪意を持った操作を行う恐れがあると想定してアクセス許可を設定する。

 ゼロトラストの考え方は単純だが、何も信頼しないことが前提となるため導入と管理が複雑になり、リソースを大量に消費する恐れがある。業務で実際に必要なレベルを超えるセキュリティが設けられる可能性もある。それによってセキュリティが厳格かつ過度になり、業務効率が損なわれるかもしれない。そこで、ゼロトラストが本当に必要なのかそれとも願望にすぎないのかをまず考える必要がある。

 重要なのは、着信トラフィックと発信トラフィックを両方制御できるかどうかだ。例えば、オンラインショッピングサイトで顧客が在庫を確認できるようにするという戦略を決めたとする。その場合、在庫情報を公開する必要がある。そうなると、信頼していない人々もその情報を見られるようになる。同様に、政府が企業データへのアクセスを合法的に要求できる国もあれば、技術的な暗号化レベルが不適切な場合もある。ゼロトラストポリシーを追求するかどうかの決定は、企業のリスク許容度と技術力次第だ。

リスクベースのアプローチ

 それでもゼロトラストが確かな目標であり続けるならば、1回限りの改革として導入するのは非現実的で不可能になる恐れが高いことを理解しなければならない。ゼロトラストによって生じる例外の量や業務に起きる混乱、そして言うまでもなく導入にかかる実際の直接的コストを考えれば、とても実行可能とは言い難い。

 そこで重要になるのが、リスクベースのアプローチで保護すべきアプリケーション、サーバ、機器、ユーザー、データを特定することだ。制御の点から優先順位を付け、防御を強化してゼロトラストを導入することが特に重要だ。その後運用プロセスを開始しながら重要な資産のみに例外を設ける。

 同時に、こうした優先順位付けはネットワークの残り部分のプロトタイプとなり、機器構築の「中核」となる。最もリスクが高く複雑な脅威を伴う重要なアプリケーションを最初に強化することで、最高の投資価値が実現する。重要なのは、成すべきことと、それをどの程度積極的に行う必要があるかを理解することだ。

 優先順位付けは展開のアプローチも決める。重要な領域のセキュリティ業務と監視を徐々に強化し、ビジネスクリティカルなアプリケーションの重要度に基づいて付加的なセキュリティ(アクセス主導のマルウェアスキャンなど)を施す。

技術仕様

 導入するのは、既知のものから未知のものまで全て監視して不審物を検出できる能力を持つシステムだ。ワンストップソリューションが魅力的に思えるが、長期的に見ればコストが高く、導入と運用が難しくなる恐れが高い。

 アプリケーションと端末にゼロトラスト機能が組み込まれていれば手間は減るが、レガシーシステムも考慮に入れなければならない。レガシーシステムがモデルに準拠するには追加のコンポーネントが必要になる。ソリューションは、脅威の状況と同じ(早い)ペースで進化できるよう、業務の成長に合わせて拡張可能かつ時代遅れにならないようにする必要がある。

 一切を信頼しないことで、定義済みの目標に対して非常に多くの例外が生まれる。このためリソースの監視には、業務の混乱や信頼目標の急速な侵食を回避するために発生する全てのインシデントに対応できるだけの人材と処理能力が必要になる。

ゼロトラストの実践

 強力なID管理と端末管理は不可欠だ。認識しないユーザーと端末に対しては、全てのアクセス権を拒否しなければならない。

 データフローのマッピングでは、アクセスや更新の方法の他、データの送信元と送信先を示す。オンラインにする必要がないアプリケーションやファイルサーバにアクセスする不要なアプリケーションはブロックする。

 業務処理アクティビティーを余すことなく含めようとしても、見逃すことも起こり得る。この時点で、必要な機能を含むアプリケーションが突如無効になって混乱が起きることで、それまで知られていなかった「重要な」業務プロセスが特定されることが多い。

 シャドーITはこの可能性を増幅する。というのも、ITセキュリティチームは、自身があずかり知らない業務ソリューションを警告なしに一方的にブロックする可能性が高いためだ。サービスを元に戻すには、IT部門が即座に対応して、ゼロトラストが特定した誤検出を修正しなければならない。同時に経営幹部は、安全な方法で技術を使用する方法、そして長期的にはITセキュリティチームや運用チームと早くから効率的に連携する必要性について直ちに学ばなければならない。

 ネットワーク、アプリケーション、インターネットのさまざまな部分の間を流れるデータフローは、データ統合ツールによって1カ所で管理することが可能だ。業務の正当性、合意済みの契約条項などの技術以外の情報も事実上技術チャネルを流れることを考えておけば、さらに適切な保護プロトコルの導入が可能になる。

 定期的に端末検出チェックを行うことで、不正端末が接続しないようにはできる。だが、予期しない端末が現れた場合に対処する計画を立て、このチェック体制を強化しなければならない。ID管理と端末管理を適切に設定すれば、未承認の通信を全て防ぐことが可能になる。だが、不正端末が別の制御を迂回(うかい)する恐れもある。また、ITセキュリティチームへの事前の知らせなく業務上の変更が行われたことが示される場合もある。

 ネットワークは、企業の進化に従って変化する必要がある。ゼロトラストモデルは、新しいアプリケーションや新しいアクセス方法の登場に適応しながら、残りのIT資産のゼロトラスト状態が損なわれないようにしなければならない。

 業務効率を高めようとすると、侵入を許しやすいネットワーク境界の必要性が増す。ゼロトラストは最新のソリューションを提供するが、万能薬ではない。他のあらゆるIT投資と同様に厳しい評価を実施して、企業にも、現在直面するセキュリティ問題にも、確実に「適したもの」にしなければならない。

Copyright © ITmedia, Inc. All Rights Reserved.

鬯ョ�ォ�ス�エ�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ス�ー鬯ッ�ィ�ス�セ�ス�ス�ス�ケ�ス�ス邵コ�、�つ€鬯ゥ蟷「�ス�「髫エ蜿門セ暦ソス�ス�ス�ク髯キ�エ�ス�・�ス�ス�ス�。鬯ゥ蟷「�ス�「�ス�ス�ス�ァ�ス�ス�ス�ス�ス�ス�ス�、鬯ゥ蟷「�ス�「髫エ荳サ�ス隶捺サゑスソ�ス�ス�ス�ス�ス�ス�ス鬯ゥ蟷「�ス�「髫エ雜」�ス�「�ス�ス�ス�ス�ス�ス�ス�シ鬯ゥ蟷「�ス�「髫エ荵暦ソス�ス�ス�ス�サ�ス�ス�ス�」�ス�ス�ス�ス�ス�ス�ス�ス

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

市場調査・トレンド ServiceNow Japan合同会社

増加の一途をたどるランサムウェア、攻撃に対して先手を打つには?

さまざまなITツールの導入が進んだことで、脅威アクターにとっての攻撃対象領域も拡大し、ランサムウェア攻撃が増加し続けている。しかし、多くの企業で対応が後手に回ってしまっている。この状況から脱却するにはどうしたらよいだろうか。

技術文書・技術解説 ServiceNow Japan合同会社

毎秒1.7MBが生成されるデータ時代、個人データ保護を実現する9つのステップ

世界中の企業が取り扱う個人データには、不正使用による悪影響やデータ侵害による被害といったリスクが付き物だ。今やグローバル課題となった適切なデータ利用と保護を実現するためのアプローチを、具体的に解説する。

市場調査・トレンド ServiceNow Japan合同会社

サイバー攻撃を効果的に“予測・排除・阻止”するための優れた10の方法

サイバー脅威に対するレジリエンスと脆弱性管理を強化することは、多くの企業にとって喫緊の課題になっている。リソースとコストが限られている中で、効果的に進めるにはどうすればよいのか。そのヒントを解説する。

製品資料 ServiceNow Japan合同会社

セキュリティツール増が招くアラート対応やデータ管理の煩雑化、解決するには?

激化するサイバー攻撃に対抗すべく複数のセキュリティツールを導入する企業は多いが、アラート対応に追われたり、データ管理が煩雑になったりといった、新たな課題に悩むケースも少なくない。これらを解決するための6つのステップとは?

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...