巧妙化するサイバー攻撃に対抗するためのセキュリティモデルとして重要性を増すゼロトラスト。その実装に当たっては、多様なツールやポリシーの見直し、ユーザー体験との両立などさまざまな課題に向き合う必要があります。
全てのアクセスを信頼しないことを前提にする「ゼロトラスト」は、巧妙化するサイバー攻撃に対抗するためのセキュリティ対策を語る上で、欠かせなくなりつつあります。ゼロトラストの実装を成功させるためには、何を知り、何を実行すべきなのでしょうか。
本連載では第4回「『ゼロトラスト移行』はどこから着手すべき? SASEを使った事例5選」までに、ゼロトラストの必要性や概念、活用例などについて説明してきました。実際にゼロトラストを実装するとなると、さまざまなハードルを乗り越える必要があります。それは単にセキュリティ製品やサービスの導入に関するものから、セキュリティポリシーに関わるものまで考慮する必要があります。導入前に押さえておくべき、ゼロトラストの基本と注意点をまとめました。
まず、ゼロトラストのセキュリティ構築に必要な機能面から見ていきます。IPA(情報処理推進機構)が2022年6月に発表した「ゼロトラスト移行のすゝめ」では、ゼロトラストを構成する要素としては次の仕組みが挙げられています。
ゼロトラストを実現するには、これらの仕組みを併用することが基本になります。そのためには、設計・構築段階からゼロトラストを意識しなければなりません。その際に重要になるのは、ネットワークとセキュリティの両面からゼロトラストの構築を検討することです。
例えば、ネットワークの面では「SD-WAN」(ソフトウェア定義WAN)の併用を検討することがあります。調査会社Gartnerが提唱した概念「SASE」(Secure Access Service Edge)のネットワーク機能に位置付けられます。SASEはセキュリティとネットワークの機能をクラウドでまとめて提供する概念であり、ゼロトラストを構成する要素も含まれています。
ゼロトラストのセキュリティを構築し、その効果を最大限に引き出すためには、セキュリティポリシーの見直しも必要になります。例えば、
などが挙げられます。セキュリティポリシーの見直しについては経営層も認識する必要があります。まずは経営層がセキュリティリスクを正しく捉え、企業価値の維持、向上にゼロトラストが重要であることを意識して施策を推進する必要があります。
ゼロトラストのアーキテクチャの基本として参考になるのが、NIST(米国国立標準技術研究所)が発行するガイドライン「NIST SP 800-207」です。ゼロトラストのアーキテクチャに関して7つの考え方が示されています。IPAもゼロトラスト移行のすゝめの中で、ゼロトラストの前提知識としてこれら7つの考え方に触れています。
| 項目 | 内容 |
|---|---|
| 1 | 全てのデータソースとコンピューティングサービスをリソースと見なす |
| 2 | ネットワークの場所に関係なく、全ての通信を保護する |
| 3 | 企業リソースへのアクセスをセッション単位で付与する |
| 4 | リソースへのアクセスは、クライアントアイデンティティー、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する |
| 5 | 全ての資産の整合性とセキュリティ動作を監視し、測定する |
| 6 | 全てのリソースの認証と認可行い、アクセスが許可される前に厳格に実施する |
| 7 | 資産、ネットワークのインフラ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する |
SASEは、こうしたゼロトラストの構成要素を実現する機能の一つであり、それをクラウドによって実現するものです。SASEを導入することは影響範囲が全社に及ぶため、導入前の準備は重要です。複数のセキュリティツールを導入、あるいは見直すことになるため、コストも時間もかかりがちです。場合によっては数年をかけて導入を進めることもあります。
複数のツールを新規で導入したり、従来の防御対策の後継として導入したりすると、コストが増加する場合もあります。一方で社内に設置していたセキュリティアプライアンスやサーバが不要になり、コスト効率化ができる場合もあります。ゼロトラストを構成する複数の機能を搭載したツールもあるので、ベンダーと相談しながら最適な製品やサービスを選ぶべきです。
SASEを段階的に導入すると、その順番によっては従業員がシステムを利用する際の負荷が高くなることもあります。ゼロトラストを実装するとユーザー認証が厳しくなり、ユーザーの手間が増えてしまうことがあります。そのため、多要素認証とSSO(シングルサインオン)の仕組みを合わせて導入することも、ユーザーに負担を掛けないためには有効な選択となります。
例えばNTTPCコミュニケーションズのゼロトラスト製品「Secure Access Gateway」には、
がラインアップされており、1つのツールで複数の機能を導入することができます。これにSD-WANの「Master'sONE CloudWAN」を加えることで、1つのベンダー製品でSASEを実現することができます。
次回はゼロトラスト実装を進めるためのステップを3段階に分けて解説します。
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
