「ゼロトラスト」を理想論で終わらせない――SASEによる現実的な実装方法:最新の脅威とゼロトラストの全貌【第5回】
巧妙化するサイバー攻撃に対抗するためのセキュリティモデルとして重要性を増すゼロトラスト。その実装に当たっては、多様なツールやポリシーの見直し、ユーザー体験との両立などさまざまな課題に向き合う必要があります。
全てのアクセスを信頼しないことを前提にする「ゼロトラスト」は、巧妙化するサイバー攻撃に対抗するためのセキュリティ対策を語る上で、欠かせなくなりつつあります。ゼロトラストの実装を成功させるためには、何を知り、何を実行すべきなのでしょうか。
本連載では第4回「『ゼロトラスト移行』はどこから着手すべき? SASEを使った事例5選」までに、ゼロトラストの必要性や概念、活用例などについて説明してきました。実際にゼロトラストを実装するとなると、さまざまなハードルを乗り越える必要があります。それは単にセキュリティ製品やサービスの導入に関するものから、セキュリティポリシーに関わるものまで考慮する必要があります。導入前に押さえておくべき、ゼロトラストの基本と注意点をまとめました。
ゼロトラスト実装には適切な導入プロセスが必要
まず、ゼロトラストのセキュリティ構築に必要な機能面から見ていきます。IPA(情報処理推進機構)が2022年6月に発表した「ゼロトラスト移行のすゝめ」では、ゼロトラストを構成する要素としては次の仕組みが挙げられています。
- IDaaS(ID as a Service)
- ID管理、シングルサインオン
- MDM(Mobile Device Management)
- デバイスの機能制限、紛失時の対応
- EPP(Endpoint Protect Platform)
- マルウェアの検知・遮断
- EDR(Endpoint Detection and Response)
- 監視機能、攻撃を受けた後の対応
- IAP(Identity Aware Proxy)
- アプリケーション単位の接続制御
- SWG(Secure Web Gateway)
- 悪性なWEBコンテンツへのアクセス制限
- CASB(Cloud Access Security Broker)
- シャドーITの可視化・制限、クラウドサービス利用時のマルウェア検出
- DLP(Data Loss Prevention)
- 機密情報の不正な取り扱い防止
- IRM(Information Right Management)
- 機密ファイルやメールの暗号化とアクセス制御
- SIEM(Security Information and Event Management)
- あらゆる機器からのログ集約と可視化、収集したログの分析
ゼロトラストを実現するには、これらの仕組みを併用することが基本になります。そのためには、設計・構築段階からゼロトラストを意識しなければなりません。その際に重要になるのは、ネットワークとセキュリティの両面からゼロトラストの構築を検討することです。
例えば、ネットワークの面では「SD-WAN」(ソフトウェア定義WAN)の併用を検討することがあります。調査会社Gartnerが提唱した概念「SASE」(Secure Access Service Edge)のネットワーク機能に位置付けられます。SASEはセキュリティとネットワークの機能をクラウドでまとめて提供する概念であり、ゼロトラストを構成する要素も含まれています。
ゼロトラストのセキュリティを構築し、その効果を最大限に引き出すためには、セキュリティポリシーの見直しも必要になります。例えば、
- 職務におけるアクセス権限の整理
- ユーザーとデバイスのひも付けとそのアクセス管理
- デバイスにおけるOSやアプリケーションのセキュリティアップデート
- 業務で使用可能なアプリケーションの定義
などが挙げられます。セキュリティポリシーの見直しについては経営層も認識する必要があります。まずは経営層がセキュリティリスクを正しく捉え、企業価値の維持、向上にゼロトラストが重要であることを意識して施策を推進する必要があります。
導入前に押さえておくべき注意点
ゼロトラストのアーキテクチャの基本として参考になるのが、NIST(米国国立標準技術研究所)が発行するガイドライン「NIST SP 800-207」です。ゼロトラストのアーキテクチャに関して7つの考え方が示されています。IPAもゼロトラスト移行のすゝめの中で、ゼロトラストの前提知識としてこれら7つの考え方に触れています。
| 項目 | 内容 |
|---|---|
| 1 | 全てのデータソースとコンピューティングサービスをリソースと見なす |
| 2 | ネットワークの場所に関係なく、全ての通信を保護する |
| 3 | 企業リソースへのアクセスをセッション単位で付与する |
| 4 | リソースへのアクセスは、クライアントアイデンティティー、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する |
| 5 | 全ての資産の整合性とセキュリティ動作を監視し、測定する |
| 6 | 全てのリソースの認証と認可行い、アクセスが許可される前に厳格に実施する |
| 7 | 資産、ネットワークのインフラ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する |
SASEは、こうしたゼロトラストの構成要素を実現する機能の一つであり、それをクラウドによって実現するものです。SASEを導入することは影響範囲が全社に及ぶため、導入前の準備は重要です。複数のセキュリティツールを導入、あるいは見直すことになるため、コストも時間もかかりがちです。場合によっては数年をかけて導入を進めることもあります。
複数のツールを新規で導入したり、従来の防御対策の後継として導入したりすると、コストが増加する場合もあります。一方で社内に設置していたセキュリティアプライアンスやサーバが不要になり、コスト効率化ができる場合もあります。ゼロトラストを構成する複数の機能を搭載したツールもあるので、ベンダーと相談しながら最適な製品やサービスを選ぶべきです。
SASEを段階的に導入すると、その順番によっては従業員がシステムを利用する際の負荷が高くなることもあります。ゼロトラストを実装するとユーザー認証が厳しくなり、ユーザーの手間が増えてしまうことがあります。そのため、多要素認証とSSO(シングルサインオン)の仕組みを合わせて導入することも、ユーザーに負担を掛けないためには有効な選択となります。
例えばNTTPCコミュニケーションズのゼロトラスト製品「Secure Access Gateway」には、
- DNSセキュリティ
- セキュアWebゲートウェイ
- セキュアエンドポイント
- SSO(IDaaS)
がラインアップされており、1つのツールで複数の機能を導入することができます。これにSD-WANの「Master'sONE CloudWAN」を加えることで、1つのベンダー製品でSASEを実現することができます。
次回はゼロトラスト実装を進めるためのステップを3段階に分けて解説します。
Copyright © ITmedia, Inc. All Rights Reserved.