「ゼロトラスト実装」どこから着手すべき？ 失敗しない“3つのステップ”とは：最新の脅威とゼロトラストの全貌【第6回】

ゼロトラストを実現するには、段階的かつ現実的なステップを踏んでいくことが重要です。エンドポイント対策、ネットワーク構築、ID管理の観点から、ゼロトラストのステップをどう踏み出すべきかを解説します。

[大野智史, 大久保敦史, 佐山明人，NTTPCコミュニケーションズ]

　全てのアクセスを信頼しない「ゼロトラスト」の重要性を認識していても、具体的な実装のステップに着手できていない企業は少なくありません。ゼロトラストの実現に向けて、現実的にはどのようなステップを踏んでいけばいいのでしょうか。導入前に押さえておくべきゼロトラストの基本や注意点に触れた第5回「『ゼロトラスト』を理想論で終わらせない――SASEによる現実的な実装方法」に続き、今回はゼロトラスト導入を迷わず進めるためのステップを3段階に分けて紹介します。

確実な導入手順：失敗しないために

併せて読みたいお薦め記事

ゼロトラスト移行のヒント

• 「VPN」をやめて「SDP」や「SASE」に移行すべき4つの条件
• “パスワードのいらない世界”実現に「ゼロトラスト」「行動生体認証」が役立つ理由

　ゼロトラストのセキュリティを実現するために、すでに動き出している企業は多いことでしょう。しかし、その導入には適切なプロセスと全体戦略、体制が必要になることには注意が必要です。まずは導入しやすいセキュリティ対策からスモールスタートで開始するのも手です。その具体的な手順として、NTTPCコミュニケーションズでは次の3つのステップを提案しています。

STEP1：エンドポイントセキュリティ対策の強化

　最初のステップでは、最も攻撃にさらされているエンドポイント（従業員の端末）の対策から始めていきます。特に、テレワークで利用する業務用端末は、自宅・外出先などから直接インターネットにアクセスすることが多いため、セキュリティ強化が必要です。これらのデバイスには、すでにアンチウイルスソフトウェアが導入されていることと思いますが、サイバー攻撃も巧妙化・多様化しているのでアンチウイルスだけでは不十分です。

　業務用端末は企業ネットワークへの入り口ともなり得るので、ランサムウェア（身代金要求型マルウェア）やEmotet（拡散型のマルウェアの一種）に代表されるサイバー攻撃の標的となります。そこで、DNSセキュリティやセキュアWebゲートウェイの導入が推奨されます。これらによって、セキュリティの脅威に対する多層防御が実現できます。

STEP2：クラウド利用に適したネットワークの構築

　エンドポイントのセキュリティ強化に続いて、クラウド利用に最適な企業ネットワークを構築します。IP-VPNを中心とする従来型の企業ネットワークは、センター拠点のセキュリティ機能を介してインターネットに接続することが一般的です。この構成では接続口が1点に集約されているため、トラフィックの増加時には通信品質が悪化してしまい、クラウドやWeb会議の利用に影響を及ぼす可能性があります。

　この課題に対してSD-WANを導入すれば、各拠点からインターネットに直接接続するインターネットブレークアウトが可能になります。ネットワーク輻輳（ふくそう）を発生させず、クラウドへの快適なアクセスが実現します。

STEP3：ID管理を容易に

　SASE製品を利用することで、クラウドサービス利用時の快適性と安全性を確保しやすくなります。その一方で、クラウドサービスはインターネットというオープンな環境を利用するため、セキュリティ脅威や情報漏えいのリスクが高くなることに注意が必要です。

　このため、情報資産にアクセスするIDの管理や認証の強化が必要になります。クラウドや社内サーバへのSSOやID管理を一元的に管理でき、認証情報の漏えいやサイバー攻撃への対策を可能にすることが望ましいと言えます。NTTPCコミュニケーションズのリモートアクセスサービスとシングルサインオンの組み合わせでも実現することが可能です。クラウドサービス利用、社内業務システム利用を問わず、シームレスな認証を実現します。

---

　ここまで説明してきたように、SASEによってゼロトラストのセキュリティを実現し、より強固なセキュリティ対策を構築できます。しかしSASEには複数の機能が含まれるため、スムーズに導入するにはさまざまな知見が必要になります。スモールスタートや、豊富な経験と実績を持つベンダーに相談することも検討するとよいでしょう。