“放置アプリ”であふれる企業を襲うセキュリティの問題とは？：「ゼロトラスト」で効率化するセキュリティ運用【前編】

企業が利用するアプリケーションが日々多様化する中、企業が対処すべき脆弱性も多様化しています。従来のセキュリティ運用が引き起こしかねないセキュリティ問題には、どのようなものがあるのでしょうか。

[宮澤敏明，シトリックス・システムズ・ジャパン]

　セキュリティ担当者の日々の業務は「もぐらたたき」のようなものです。日々モグラのように飛び出す問題に対処するために、逐一新たな技術を導入することは得策とは言えません。セキュリティベンダーは概して“飛び出てきたモグラをたたくためのハンマー”を提供しています。しかし時には、対症療法的な対処ではなく、問題の根本的な対処が必要な場合もあります。本連載は、どうすれば根本的なセキュリティ対策を実現できるのかを探ります。

　エンドユーザーは、自社サーバ内のアプリケーション、ベンダーがSaaS（Software as a Service）として提供するアプリケーション、モバイルアプリケーションというように、さまざまな種類のアプリケーションを利用します。各アプリケーションが組み込んでいるセキュリティ機能にはさまざま種類があり、用途もセキュリティポリシーもばらばらです。全てのアプリケーションが同等のセキュリティレベルを確保しているとも限りません。

“放置アプリ”の山がもたらすセキュリティ問題の正体

　「鎖の強さは最も弱い輪で決まる」ということわざがあります。企業が管理するシステムという「鎖」の中に、十分に管理できず制御できないアプリケーションがあると、それがシステムの「弱い輪」となって、企業内外の両方の脅威に対する脆弱（ぜいじゃく）性になる恐れがあります。システム内に管理が不十分なアプリケーションが複数あると、以下のセキュリティ問題が生じます。

• ホワイトリストに載っているアプリケーションを自動的に安全だと判断したり、特定のデバイスやWebページを無条件で信頼したりするアプリケーションは、システムを脅威にさらす恐れがある（信頼対象がマルウェアを含んでいる可能性があるため）
• 全アプリケーションにわたって一貫したリスクプロファイル（現在保有しているリスクの種類や量をまとめたもの）を作成することは困難

併せて読みたいお薦め記事

ゼロトラストセキュリティが必要な理由

• 「ゼロトラストセキュリティ」はなぜ必要か？　“急造テレワーク”問題の解決策
• 「ゼロトラストセキュリティを選ばざるを得ない企業」がコロナ禍で続出の訳

　アプリケーションを一元管理できていると、ビジネスの成果達成だけでなく、ユーザーエクスペリエンス（UX：ユーザー経験価値）とセキュリティの改善にもつながります。これには全てのアプリケーションが従うことのできる共通の運用ポリシーが必要です。ネットワーク境界よりもエンドユーザーとアプリケーションを重点的に保護するセキュリティ製品を導入することで、脆弱性を攻撃にさらす機会を減らし、保護対象のシステムのセキュリティを強化できます。この保護方法を取り入れたセキュリティモデルは「ゼロトラストセキュリティ」と呼ばれ、上記の問題を解決に導きます。

　従来型セキュリティは、エンドユーザーとアプリケーション間の信頼関係をログイン時のみに確認していました。それとは異なりゼロトラストセキュリティは、さまざまな場面で継続的に信頼関係を確認します。全てのデバイスやアプリケーションへのセキュアなアクセスを可能にするアプローチであり、単一の製品ではありません。ゼロトラストセキュリティ実現のためには具体的にどのような製品を組み合わせればよいのかを、後編で解説します。

著者紹介

宮澤敏明（みやざわ・としあき）　シトリックス・システムズ・ジャパン

ダイヤルアップやメインフレームの時代からネットワークを担当。さまざまな基盤で活用されるアプリケーションインフラのソリューションを提供し、企業WANからオンプレデータセンターやクラウドまでエンタープライズITの進化を支援。