巧妙化、複雑化するサイバー攻撃に対応するためのセキュリティ対策であるゼロトラスト。それを実現するには複数の機能を組み合わせる必要があります。ゼロトラストの構成イメージを解説します。
第1回、第2回と、誰も信用しないことを基本とする「ゼロトラストセキュリティ」(以下、ゼロトラスト)の概念や必要性を紹介しました。今回からは、具体的な対策と導入事例、効果について紹介します。ゼロトラストのセキュリティを実現するため製品群、サービス群の一つに「SASE」(セキュアアクセスサービスエッジ)があります。これはネットワーク機能とセキュリティ機能を統合したものです。SASEの構成要素の多くはゼロトラストに基づいて設計されており、両者は密接に関係しています。
ゼロトラストを実現するには、SASEを含めて複数の構成要素を組み合わせて実装する必要があります。例えばNTTPCコミュニケーションズではゼロトラストを実現する製品として「Secure Access Gateway」を提供しています。Secure Access Gatewayは主に以下の要素で構成されています。
DNSサーバは、ドメイン名とIPアドレスの変換(名前解決)の役割を担い、DNSセキュリティはこれらの悪意のあるサイトの名前解決要求を返さないことで通信を遮断します。業務に関係の無い「ギャンブル」や「暴力」「アダルトサイト」などのカテゴリを指定して、特定のサイト群へのアクセスを遮断できます。組織のアクセスポリシーは社内外を問わず適用できるため、テレワーク端末における通信も保護できます。
DNSセキュリティは不正なサイトへのDNS名前解決要求を返さないため、実際の通信を発生させず、無駄な通信トラフィック(ネットワークを流れるデータ)の発生を抑えます。DNSセキュリティのダッシュボードからはクラウドサービスの利用状況、リスク度合い、通信の許可・ブロックの統計情報、どのポリシーが適用されたかが容易に把握できます。この機能はシャドーIT対策にも有効です。
Secure Access GatewayのDNSセキュリティはネットワーク機器ベンダーCisco Systemsの「Cisco Umbrella DNS Security Essentials」を活用し、悪意のあるサイトへのアクセスを遮断して、各ロケーションから安全にインターネットにアクセスすることができます。
UTM(Unified Threat Management、統合脅威管理)を利用した境界型防御と、SWGの違いはネットワークのトポロジー(構成)にあります。UTMはインターネットへのトラフィックを1カ所に集めて処理するため負荷が高くなり、通信のボトルネックが発生しやすくなります。
SWGの場合は基本的にユーザーの最寄りのPoP(Point of Presence:接続拠点)でトラフィックを処理するため、処理を分散できます。1カ所で処理する場合もありますが、クラウドサービスで提供されるため、処理能力のスケール(拡張)が容易です。
Secure Access GatewayのセキュアWebゲートウェイ(SWG)はCisco Systemsの「Cisco Umbrella SIG Essentials」を活用しており、クラウドサービスで利用するプロキシサーバです。クライアントソフトを端末にインストールするだけで導入可能で、SWGを経由して通信することで安全にインターネットを利用できることが特長です。「CASB」(Cloud Access Security Broker)機能により従業員のクラウドアプリ利用状況も制御できます。ドメインレベルではなく、さらに詳細なURLレベルで不正なサイトへのアクセスを遮断するURLフィルタや、「HTTPS」(Hypertext Transfer Protocol Secure)通信を解析してマルウェアを検知するSSL(Secure Sockets Layer)インスペクションも搭載しています。
マルウェアのシグネチャ(マルウェアの特徴を定義したパターン情報)だけでなく振る舞いによっても検知します。検知したマルウェアの駆除と端末隔離を自動で実施することで二次被害を防止できます。過去にさかのぼって脅威を調べる「レトロスペクティブセキュリティ」機能により潜伏中のマルウェアを検知、ブロックします。これらの自動化機能により、運用の負荷が軽減することができます。
Secure Access Gatewayのセキュアエンドポイントは、Cisco Systemsの「Cisco Secure Endpoint Essentials」を活用し、EPP(Endpoint Protection Platform:ウイルス対策ソフト)とNGAV(Next Generation Anti-Virus:次世代ウイルス対策)、そしてEDR(Endpoint Detection and Response:エンドポイントにおける検知と対応)の機能を一つにしたものです。一つのエージェントで未知と既知の両方のマルウェアに対処し、脅威を自動で防御するオールインワンのマルウェア対策を実現します。
シングルサインオンは、一度の認証で複数のクラウドアプリケーションへのログインを可能にします。従来のIDとパスワードの組み合わせで強固な認証を実現しようとすると複雑になり、従業員は抜け道を探して、同じパスワードを使い回りするなど、作業を単純化しようとする傾向があります。その点、シングルサインオンはユーザーの利便性とセキュリティを両立できます。
Secure Access Gatewayの認証はリスクの高いIDとパスワードの組み合わせではなく、多要素認証を利用できます。テレワークを始めるときには、PCへのログオンからVPN(仮想プライベートネットワーク)ソフトウェアの認証、さらに勤怠管理やストレージサービス、複数の業務用サービスへのログオンなど手間が多く時間がかかります。認証方式も多彩に用意されており、機体認証との併用やワンタイムパスワード(OTP)認証などにも対応する他、IPアドレス制御やログインアラートも可能です。
次回は、ゼロトラストの製品導入に着手した企業の例を紹介します。
約20年間VPNサービスの企画に従事し、IPoEを活用した先進的なベストエフォートVPNや他社に先駆けたクラウド型セキュリティ、国産SD-WANの立ち上げを推進。NTTPCの運用ノウハウをAI化し、ユーザーの運用をサポートする新規事業の立ち上げにまい進中。
フロントSEとして、ネットワーク、サーバを含んだ大規模システム開発プロジェクトを経験。その後、サービス企画担当として、新ブランドの立ち上げに加え、クラウド、セキュリティ分野での新サービス立ち上げに取り組み、新規事業拡大を実現させた。
法人向けモバイル、インターネットサービスのプロダクト企画を経て、ゼロトラストサービスのプロダクトマーケティングを担当。デファクトになりつつあるが、導入ハードルが高いと思われがちなゼロトラストを、分かりやすく企業への現実的な導入ステップを広めていくことに奮闘している。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
