テレワークの増加によりで企業ではセキュリティが心配されます。より強固なセキュリティが必要とされる現代ですが、絶対はないという「ゼロトラスト」の観点でクラウドを利用する等によりセキュリティの強化を実現できます。この記事では「ゼロトラスト」の導入からメリットなどを紹介します。
ゼロトラストの概要とは?
ゼロトラストは「信用をゼロにする」という意味で、「絶対的なセキュリティは存在しない」という考え方を表します。セキュリティを強化しても新たにセキュリティを破るソフトが次から次へと開発されているのです。
ハッカーや悪意のあるユーザーの不正侵入が、新たな手口でいつ侵入してくるかわからないという観点から対策するため、セキュリティを強化するというのが「ゼロトラスト」です。従来の「境界防御型セキュリティ」は境界を決めて、そこにファイアウォールやIPS/IDSなどを設置して境界内部のデータや社内システムを守るという構成です。
「ゼロトラスト」は絶対的なセキュリティはないという考えで、境界を決めずに外部はもちろん内部にもセキュリティを強化するモデルです。デバイスやユーザー、ネットワーク等を常に確認し、その結果を元にデータや社内システムへのアクセスを制御します。
ゼロトラスト導入前に確認すべきポイント
ゼロトラスト導入には前持ってID管理やアクセス管理など、取り組んでおく必要があります。ここでは、ゼロトラスト導入前に確認すべきポイントを紹介します。
アクセス管理とIDの整備
ゼロトラストの構築にはまず外部からのアクセスを管理することです。ゼロトラストはセキュリティ機能を一括してクラウドに移管してWebトラフィックを保護します。
そのためには、IDとパスワードの一元化が必要です。多くのIDが存在すると管理が大変でセキュリティホールの可能性もでてきます。クラウドのID・パスワードと1つにすると管理認証ができます。
アクセス状況の可視化
セキュリティ強化にはアクセス管理を可視化するシステムが必要です。「誰がどのデータにアクセスしたのか・しているのか」を常時閲覧可能にしておくことで、高いセキュリティレベルを維持するのです。そのためにアクセスログが監視できるソフトを導入しておく必要があります。アクセスログが残っていればユーザーの動きや、閲覧したページなどがわかりアクセス状況の透明性を維持できます。
エンドポイントセキュリティ
エンドポイントはパソコンやスマートフォンの端末のことを言います。端末のセキュリティ強化には、ウィルス対策ソフトの導入・IDパスワードの管理・端末番号での管理などが必要です。
ID・パスワードの単一化と「多要素認証」を取り入れる事です。「社内ではパスワードのみでアクセスできても、社外からのアクセスに対しては2段階認証を取り入れる」など、より柔軟なセキュリティ強化を実施可能です。そのために「シングルサインオン(SSO)」、多要素認証、アクセス制御、ウィルス対策などがあるサービスツールを利用しましょう。
ゼロトラストを導入するメリット
ゼロトラストを導入するメリットは、データ流出リスクの軽減、インデント発生時の早期問題点の特定などがあります。どんなメリットがあるか具体的に紹介します。
社内セキュリティの強化
テレワークが増えている中、社内の1台のPCがウィルスに感染してネットワークにつないだ時に社内全体に感染が広がってしまいます。境界防御モデルの場合は感染の特定や原因究明が難しくなります。
ゼロトラストの場合はメールの添付ファイルやURLを解析して、悪性ファイルの除去や悪性URLをブラックリストに入れるなど自動でしてくれるセキュリティソリューションSecurity Orchestration Automation and Response(SOAR)があります。感染が出た場合に感染後の情報漏えいの防止、感染拡大の防止、感染の調査ができるEndpoint Detection and Response(EDR)があります。
上記はゼロトラストには欠かせないソリューションです。セキュリティ関する人材不足でセキュリティ対策が万全でない場合におすすめです。
テレワーク・リモートワークに対応
従来のセキュリティ対策はインターネットへVPNゲートウェイを通って接続することでセキュリティ機能をリモートアクセスでも利用できます。しかしながら、「すべての接続がVPNゲートウェイを通過すること」と「リモートワークの増加していること」もあり、セキュリティを維持するのが困難となっています。
ゼロトラストはVPNゲートウェイ機能をクラウドに移してセキュリティ機能を維持するようになっています。これにはService Web Gateway(SWG)の利用がおすすめです。
従来のセキュリティモデルではセキュリティを強固にするために、パスワードは長く複雑にして、システムにより異なりました。これはユーザー負担が大きく、パスワードの間違いでのロックがかかるなど手間がかかります。
ゼロトラストでは1つのパスワードでさまざまなシステムにアクセスできるシングルサインオンをクラウドベースで提供しています。ユーザーの利便性を損なわずセキュリティを維持できます。
またリモートアクセス用にポートを常時開放することは危険です。そこでZero Trust Network Access(ZTNA)は、クラウドで提供されている仲介システムを使い接続します。したがって「社内システムが直接インターネット上で接続を待ってしまう」というリスクはなくなります。
VPNと比べてシンプルな設定方法
VPNは接続したい拠点には専用のルーターを設けて通信網を構築します。その際、トンネリング・暗号化・承認などを設定してセキュリティリスクを軽減しているのです。加えて、使用端末については、ファイアウォールの設定が必要となるでしょう。
ゼロトラストなら、クラウドでセキュリティの構築がされるので、システムアーキテクチャの複雑さを軽減できます。企業規模を拡大した場合やグローバル化したときにも容易にセキュリティ環境の構築をできます。セキュリティ対策に必要なIT人材やコストの負担も軽減されるのです。
Azureセキュリティで社内データを保護する
クラウド技術は発展していて、クラウドサービスとしてAmazon Web Services (AWS)、Microsoft Azure (Azure)、Google Cloud Platform (GCP)などが有名です。その中でAWSは古く10年以上の実績があります。Azure Sentinel はSIEM(Security Information Event Management)というハードウェアとソフトウェアからログを収集・分析して脅威を検知する仕組みになっています。
またSentinelはWindowsやAzure ADとMicrosoftのソフト・クラウドサービスなどから収集したログ以外に、デバイスや電子メールなどからログを集約して脅威を検知、社内データも保護します。
Azure ADとの連携で、SaaSアプリケーションログインについて、リスクのあるアクセスを禁止することができます。基本的には、IPアドレス制限・端末制限・バッチ非適用端末の制限・場所の制限などに、積極的に活用されています。
Microsoft Azureとは何か?入門から応用まで徹底解説
まとめ
テレワークが必要な時代にセキュリティ対策はより強固にする必要があります。従来の境界防御型モデルからゼロトラストモデルに移行されつつあります。日本の一流企業も利用しているクラウドサービスでWindowsサーバーとMicrosoft製品と親和性が高くオンプレミスから移行がスムーズなAzureがおすすめです。ゼロトラストモデルはどのような構成なのか、どのようなセキュリティのメリットがあるのか紹介しました。今後導入するときの参考にしてください。
