2021年12月21日 05時00分 公開
特集/連載

“放置アプリ”であふれる企業を襲うセキュリティの問題とは?「ゼロトラスト」で効率化するセキュリティ運用【前編】

企業が利用するアプリケーションが日々多様化する中、企業が対処すべき脆弱性も多様化しています。従来のセキュリティ運用が引き起こしかねないセキュリティ問題には、どのようなものがあるのでしょうか。

[宮澤敏明,シトリックス・システムズ・ジャパン]

 セキュリティ担当者の日々の業務は「もぐらたたき」のようなものです。日々モグラのように飛び出す問題に対処するために、逐一新たな技術を導入することは得策とは言えません。セキュリティベンダーは概して“飛び出てきたモグラをたたくためのハンマー”を提供しています。しかし時には、対症療法的な対処ではなく、問題の根本的な対処が必要な場合もあります。本連載は、どうすれば根本的なセキュリティ対策を実現できるのかを探ります。

 エンドユーザーは、自社サーバ内のアプリケーション、ベンダーがSaaS(Software as a Service)として提供するアプリケーション、モバイルアプリケーションというように、さまざまな種類のアプリケーションを利用します。各アプリケーションが組み込んでいるセキュリティ機能にはさまざま種類があり、用途もセキュリティポリシーもばらばらです。全てのアプリケーションが同等のセキュリティレベルを確保しているとも限りません。

“放置アプリ”の山がもたらすセキュリティ問題の正体

 「鎖の強さは最も弱い輪で決まる」ということわざがあります。企業が管理するシステムという「鎖」の中に、十分に管理できず制御できないアプリケーションがあると、それがシステムの「弱い輪」となって、企業内外の両方の脅威に対する脆弱(ぜいじゃく)性になる恐れがあります。システム内に管理が不十分なアプリケーションが複数あると、以下のセキュリティ問題が生じます。

  • ホワイトリストに載っているアプリケーションを自動的に安全だと判断したり、特定のデバイスやWebページを無条件で信頼したりするアプリケーションは、システムを脅威にさらす恐れがある(信頼対象がマルウェアを含んでいる可能性があるため)
  • 全アプリケーションにわたって一貫したリスクプロファイル(現在保有しているリスクの種類や量をまとめたもの)を作成することは困難

 アプリケーションを一元管理できていると、ビジネスの成果達成だけでなく、ユーザーエクスペリエンス(UX:ユーザー経験価値)とセキュリティの改善にもつながります。これには全てのアプリケーションが従うことのできる共通の運用ポリシーが必要です。ネットワーク境界よりもエンドユーザーとアプリケーションを重点的に保護するセキュリティ製品を導入することで、脆弱性を攻撃にさらす機会を減らし、保護対象のシステムのセキュリティを強化できます。この保護方法を取り入れたセキュリティモデルは「ゼロトラストセキュリティ」と呼ばれ、上記の問題を解決に導きます。

 従来型セキュリティは、エンドユーザーとアプリケーション間の信頼関係をログイン時のみに確認していました。それとは異なりゼロトラストセキュリティは、さまざまな場面で継続的に信頼関係を確認します。全てのデバイスやアプリケーションへのセキュアなアクセスを可能にするアプローチであり、単一の製品ではありません。ゼロトラストセキュリティ実現のためには具体的にどのような製品を組み合わせればよいのかを、後編で解説します。

著者紹介

宮澤敏明(みやざわ・としあき) シトリックス・システムズ・ジャパン

宮澤氏

ダイヤルアップやメインフレームの時代からネットワークを担当。さまざまな基盤で活用されるアプリケーションインフラのソリューションを提供し、企業WANからオンプレデータセンターやクラウドまでエンタープライズITの進化を支援。


ITmedia マーケティング新着記事

news084.jpg

2021年の国内動画広告市場は前年比142.3%の成長、コロナ禍の落ち込みから反転――サイバーエージェント調査
インターネットを通して配信される動画広告の年間広告出稿額推計とこれからの市場規模推...

news053.jpg

対Amazon包囲網も? ポストCookieにおけるCriteoの勝算
Criteoが3億8000万ドルでIPONWEBを買収する。サードパーティーCookie廃止はアドテク企業...