サイバー攻撃の巧妙化やテレワークの普及によって、従来の境界型防御に限界が見え始めています。どのような課題があるのか、「ゼロトラスト」ではどのように課題を解決するのかを解説します。
企業の内部と外部の境界にファイアウォールなどのセキュリティ製品を設置してサイバー脅威を防ぐ境界型防御モデルが限界を迎え始めています。新型コロナウイルス(COVID-19)を契機としてテレワークやクラウドサービスが普及し、企業のシステムやデータがネットワーク境界の外に存在するケースが増えたからです。
そうした中で全てを信用しない「ゼロトラスト」の考え方に沿ったセキュリティ対策が注目を集めるようになりました。
本稿では従来の境界型防御の限界と、ゼロトラストではどのように攻撃を防ぐかを解説します。
サイバー攻撃の手法の変化、そしてさらなる巧妙化や複雑化に対して、従来の境界型のセキュリティ対策では守ることが難しくなっています。従来は境界の内側、つまり社内ネットワークは安全という考え方であったため、そこに侵入する脅威を重視していませんでした。サイバー攻撃者はそこを狙って不正アクセスを実行します。
サイバー攻撃者は脆弱(ぜいじゃく)性やマルウェアによって社内ネットワークに侵入すると、内部を横移動していきます。これは、あるデバイスから隣のデバイスに移動していくような動きです。普通に考えると明らかに異常なアクセスです。しかし、境界型の対策ではその異常に気付けない。ゼロトラストでは全てのアクセスを検証するので、こうした異常を検知できます。
ゼロトラストに基づいたセキュリティであれば、アクセスに対してユーザーやデバイス、アプリケーションなども合わせて検証します。マルウェアはこれらの情報を持たないため、アクセスを遮断できます。同様に、マルウェアを利用して、ドメインコントローラーで自身の権限を昇格しようとしても、そもそもドメインコントローラー以前に感染したPCから別の場所へ移動しようとするアクセスが遮断されます。
厳密なアクセス認証はテレワーク時の有効なセキュリティ対策となります。自宅や出先から社内にアクセスする場合も、ユーザーはもちろんデバイスやネットワークに問題がなければ容易にアクセスできます。デバイスのOSバージョンやアップデートの適用有無を確認可能なため、デバイスの安全性も担保できます。さらにSSO(シングルサインオン)やMFA(多要素認証)を併用することで安全性を高めつつ手間を減らすことも可能です。
サイバー攻撃者が社内ネットワークに侵入する方法として、脆弱性の悪用と並び利用されるのがエンドポイントにあるPCなどの業務用デバイスです。ほとんどの業務用PCには、アンチマルウェアとも呼ばれるエンドポイント保護ツール「EPP」(Endpoint Protection Platform)が導入されています。
EPPはMicrosoftの「Microsoft Defender」(旧Windows Defender)のように無料または安価に利用できる場合があります。しかし、シグネチャ(マルウェアを判別するためのデータ)を収集してあるような、既知の脅威以外への対処は効果が限られる傾向にあります。
そこで近年は「次世代アンチウイルス」(NGAV:Next Generation Anti-Virus)や「EDR」(Endpoint Detection and Response)を導入する企業が増えています。NGAVはAI(人工知能)技術などを利用してシグネチャに依存せずに未知のマルウェアを検出します。EDRも、ランサムウェア(身代金要求型マルウェア)特有の挙動に応じてブロックする振る舞い検知技術などによって、未知のマルウェアに対しても検知を可能とします。
ただし、EDRの特徴は、マルウェアの検知だけでなく、インシデント対応機能を有していることです。例えば怪しいデバイスをネットワークから隔離する機能が含まれており、マルウェアの拡散や二次被害を防ぐのに役立ちます。エンドポイントセキュリティにも、ゼロトラストの考え方によるセキュリティが求められるのです(図)。
境界型セキュリティ対策では、プロキシサーバやファイアウォール、UTM(統合脅威管理)により社内ネットワークとインターネットとの境界を守っていました。これらは実際のアップロードおよびダウンロードの通信をスキャンすることで不正な通信を遮断します。一方で、インターネットへのトラフィック(ネットワークを流れるデータ)が1カ所に集中するため、クラウドサービスなどインターネット接続が必要な通信が増えるにしたがって、この部分が業務のボトルネックになってしまう問題が発生します。
テレワークの普及に伴い、従業員が自宅や拠点などから直接インターネットに接続するケースも増加しています。直接インターネットに接続することで快適にサービスを利用できるというメリットがある一方で、企業側はその通信を把握できず、保護できないことが課題です。
ゼロトラストに基づくセキュリティとして、テレワーク用デバイスを「DNS(ドメインネームシステム)セキュリティ」で保護する方法があります。DNSセキュリティはDNSの名前解決要求を利用して、フィッシングやギャンブルなど不正なサイトへのアクセスを遮断することで、インターネット上の脅威を防ぐ仕組みです。
DNSセキュリティでは実際の通信が発生する前に不正なWebサイトへの通信を検知するため、通信が発生しません。これによりインターネット回線の帯域を圧迫させることなく安全な通信を実現できます。テレワーク用デバイスを利用の際にも企業のセキュリティポリシーを適用できます。
今回は、現在の脅威の状況とゼロトラストの考え方について紹介しました。次回は実際にゼロトラストのセキュリティを導入した事例について紹介します。
約20年間VPNサービスの企画に従事し、IPoEを活用した先進的なベストエフォートVPNや他社に先駆けたクラウド型セキュリティ、国産SD-WANの立ち上げを推進。NTTPCの運用ノウハウをAI化し、ユーザーの運用をサポートする新規事業の立ち上げにまい進中。
フロントSEとして、ネットワーク、サーバを含んだ大規模システム開発プロジェクトを経験。その後、サービス企画担当として、新ブランドの立ち上げに加え、クラウド、セキュリティ分野での新サービス立ち上げに取り組み、新規事業拡大を実現させた。
法人向けモバイル、インターネットサービスのプロダクト企画を経て、ゼロトラストサービスのプロダクトマーケティングを担当。デファクトになりつつあるが、導入ハードルが高いと思われがちなゼロトラストを、分かりやすく企業への現実的な導入ステップを広めていくことに奮闘している。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
