「ゼロトラストセキュリティ」が“感謝されるIT部門”を生む理由と、その作り方：「ゼロトラスト」で効率化するセキュリティ運用【後編】

アクセス管理の複雑化に頭を抱える企業は、「ゼロトラストセキュリティ」に目を向け始めています。ゼロトラストセキュリティの実装には具体的にどのような機能や製品が必要なのでしょうか。

[宮澤敏明，シトリックス・システムズ・ジャパン]

　社内LANにあるデバイスにエンドユーザーがアクセスすることを許可し、データセンターを保護する――。これまでのアクセス管理の目的は、こうしたシンプルなものでした。テレワークが当たり前になり、クラウドサービスが浸透したことで、社内LAN外のデバイスから、さまざまなタイプのアプリケーションにアクセスするようになりました。

　アクセス管理も複雑化しています。システム内にシングルサインオン（SSO）製品やアクセス管理製品といった複数の認証製品がある場合は、複雑さが増すと同時に、認証製品ごとに脆弱（ぜいじゃく）性を突かれる危険性が生じます。そこで台頭したのが、「エンドユーザーとアプリケーション間の信頼関係を常に見直すべきだ」という考え方の「ゼロトラストセキュリティ」です。

「ゼロトラスト」がIT部門もエンドユーザーも“幸せ”にする

　企業はゼロトラストセキュリティの枠組みに沿って、全てのユーザー認証でエンドユーザーの正当性を確認することで、上記の要因に伴うアクセス管理の複雑さを軽減できます。これを実現するには、認証時だけでなくセッション（通信の開始から終了までの単位）を通じて、アプリケーションがクラウドサービスにあるかオンプレミスサーバにあるかにかかわらず、全アプリケーションに単一のアクセスポリシーを提供する製品が必要です。

　ゼロトラストセキュリティの実現には、ゼロトラストセキュリティの原則にのっとり、統合管理可能で、ビジネス成果に寄与するセキュリティコンセプトまたはセキュリティ製品が不可欠です。これによって似た機能を持つセキュリティ製品を重複して導入したり、攻撃を受けにくくする作業を繰り返したりする必要がなくなり、IT部門の業務効率化が期待できます。

　エンドユーザーにとってセキュリティは“目に見えないもの”でなければなりません。パスワードを1日に何度も入力する、忘れたパスワードを再発行するなどのささいなことでエンドユーザーは集中力が切れ、生産性とモチベーションの低下を招きかねません。企業は、IT部門が管理しやすく、エンドユーザーの生産性を保てるセキュリティ体制を築くことで、IT部門とエンドユーザー双方の業務効率向上を図れます。ゼロトラストセキュリティはそれを実現し得るアプローチです。

併せて読みたいお薦め記事

ゼロトラストセキュリティが必要な理由

• 「ゼロトラストセキュリティ」はなぜ必要か？　“急造テレワーク”問題の解決策
• 「ゼロトラストセキュリティを選ばざるを得ない企業」がコロナ禍で続出の訳

ゼロトラストセキュリティの実現に必要なもの

　クラウドサービスやオンプレミスサーバにあるアプリケーションへのアクセスでは、ユーザーID、ネットワーク、接続先のIPアドレスなどによって最適な認証を実行する必要があります。これらのアプリケーションへのアクセスやセキュリティ状態のチェックを異なる製品で実施する仕組みでは、企業は業務ごとにサイロ化された従来構造のシステムから脱却できず、包括的なセキュリティモデルの構築が困難になります。

　ゼロトラストセキュリティを実現するために必要なコンポーネントにはさまざまな選択肢があります。その中でも、一貫性のあるユーザーエクスペリエンス（UX：ユーザー経験価値）を実現できるものが理想的です。以下の機能を活用することで、エンドユーザーにツールの違いを感じさせることなく、セキュリティとUXを両立できます。

• ファイルサーバ
  • エンドユーザーのデバイスにデータを保存せず、サーバで一括管理することにより、セキュリティポリシーを適用しやすくなります。
• 仮想デスクトップ
• ネットワーク分離
  • インターネットとLANを分離することで、インターネット経由の攻撃からLAN内のデバイスを保護します。
• VPN（仮想プライベートネットワーク）やリモートデスクトップ接続などのリモートアクセスを実現する技術
• SD-WAN（ソフトウェア定義WAN）
  • WANを仮想化し、一元的に制御しやすくします。
• アプリケーションストリーミング
  • アプリケーションをサーバで一括管理し、クライアント端末に配信するため、パッチの適用漏れなどのセキュリティ問題を減らせます。

　ゼロトラストセキュリティを実現する製品の具体例は以下の通りです。

• CASB（Cloud Access Security Broker）
  • クラウドサービスの利用状況を可視化したり、アクセスを制御したりします。
• CSPM（Cloud Security Posture Management）
  • クラウドサービスの設定を確認、修正します。
• EDR（Endpoint Detection and Response）
  • エンドポイントへの攻撃を検出、対処します。
• EMM（Enterprise Mobility Management）
  • モバイルデバイスを統合管理します。
• IDaaS（Identity as a Service）
  • さまざまなサービスのIDを一元管理します。
• IRM（Information Rights Management）
  • ファイルへのアクセス権限を付与、管理します。
• SASE（Secure Access Service Edge）
  • セキュリティ機能とネットワーク機能を組み合わせて提供し、エンドユーザーが安全かつ迅速にクラウドサービスに接続できるようにします。
• SDP（Software Defined Perimeter）
  • デバイスの種類や接続方法に応じてアクセス制御に関する設定を変更し、安全な接続を確立させます。
• SWG（Secure Web Gateway）
  • URLフィルタリングやプロキシサーバなどの機能を組み合わせて提供し、Webページへのアクセスを安全にします。
• SOAR（Security Orchestration, Automation and Response）
  • セキュリティ製品の情報を集約し、統合運用や運用自動化を支援します。
• UEBA（User and Entity Behavior Analytics）
  • LAN内のエンドユーザーやデバイスの異常な振る舞いを検出します。

著者紹介

宮澤敏明（みやざわ・としあき）　シトリックス・システムズ・ジャパン

ダイヤルアップやメインフレームの時代からネットワークを担当。さまざまな基盤で活用されるアプリケーションインフラのソリューションを提供し、企業WANからオンプレデータセンターやクラウドまでエンタープライズITの進化を支援。