- IT統制
2022.02.15
更新日:
2021.04.27
全2回 話題のゼロトラストについて最低限知っておきたい基礎知識 《連載:第2回》 ゼロトラストの現実的な導入方法とは?
前回もお伝えしたように、ゼロトラストは何か単一の製品を導入すれば実現できるというものではありません。複数のソフトウェアなどを連携させながらアーキテクチャを構築していくことが必要です。また、その構築手法についても、唯一の正解があるわけではありません。企業や組織のシステム環境、規模などによって、手順も必要な要素も異なります。
ITサービス運用でお困りなら、ITサービス管理ツール「SmartStageサービスデスク」へ
全2回話題のゼロトラストについて最低限知っておきたい基礎知識
ゼロトラストの導入例
例えば、ゼロトラストの公的文書として言及されることの多いNIST(米国立標準技術研究所)発行の『SP 800-207 Zero Trust Architecture』には、アーキテクチャを構築するための様々なコンポーネントが紹介されていますが、これらは文書内にも書かれている通り理想像であって、真に受けてそのまま実装する必要はありません。
実際にゼロトラスを導入するにあたっては、既存のセキュリティも活用しつつ、段階的に進めていくのが現実的です。なにしろ、あのGoogleでさえ、自社でゼロトラストを実現させるのに8年もの歳月がかかっています。現状、ほとんどの企業が従来の境界防御によるセキュリティシステムであることを考えると、一挙に刷新するのは、技術面・コスト面・運用面であまりにもハードルが高過ぎます。まずは重要度が高く、効果もわかりやすい領域から始めてみるのが良いでしょう。
最初のステップとして最適なのがID基盤の構築です。従来のID・パスワードによるユーザー認証では、漏洩やなりすましのリスクが伴います。ID管理だけでなく、使用デバイスやアプリケーションのセキュリティ状態によるアクセス管理の機能も持つIAM(Identity and Access Management)などを導入すれば、よりセキュアなアクセス環境が実現できます。
続いてはデバイスの統制です。デバイスのセキュリティ保護に適しているコンポーネントが、MDM /MAM、EDR。MDM (Mobile Device Management)はスマートフォンやタブレットなどのモバイル端末からの情報漏洩を防ぐ機能を持ち、MAM(Mobile Application Management)はそれらの端末にインストールしたアプリケーションを管理します。EDR(Endpoint Detection and Response)は、エンドポイント=パソコンやサーバー、モバイル端末などを監視し、マルウェアの侵入などサイバー攻撃の脅威を検知次第、自動で対処するソフトウェアです。こうしたコンポーネントの実装と同時に、ネットワークに接続するパソコンやスマートフォンはセキュリティチップ内蔵機種に限定することも重要です。
ここまではゼロトラストを開始するための基盤づくりのようなもの。本格的にゼロトラストに取り組む上で避けて通れないのが、「脱VPN」のステップです。前回、リモートワーク移行の成功事例として株式会社LIXILの事例を紹介しましたが、同社が脱VPMを実現するために導入したのがIAP(Identity-Aware Proxy)でした。直訳すると「アイデンティティ認識型プロキシー」。ユーザーとアプリケーションの間に入ってユーザー認証やアクセス制御を行い、許可されたユーザーと端末のみをアプリケーションにアクセスさせる機能を持っています。また、VPNや専用線を介さずにアクセスできるため、多くの社員が一斉にリモートワークを実施しても利便性を損なうことがありません。
他にも、複数の拠点間をIP-VPNでつないでいる場合はその廃止、SaaSなどのクラウドを利用しているならCASB (Cloud Access Security Broker)による監視・分析、マルチクラウドの場合はCWPP(Cloud Workload Protection Platform)の導入、監視・分析やインシデント対応の自動化・脱属人化を実現するための次世代型SIEM(Security Information and Event Management)またはSOAR(Security Orchestration, Automation and Response)の活用など、まだまだステップは続いていきますが、今回は基本レベルの解説のため、ここまでの紹介にいたします。
なお、繰り返しになりますが、現在のところゼロトラストに最適解はありません。上記の方法も、すべての企業に有効なソリューションというわけではありません。あくまで一例として参考にしてください。
ゼロトラスト にも過信・妄信は禁物
ここまではメリットを中心に紹介してきましたが、他のセキュリティ対策と同様、ゼロトラストも完璧というわけではありません。先述のNISTのレポートにも、クラウドサービスの障害の影響、リソースへのアクセスを許可するPE(ポリシーエンジン)の誤設定など、7つの脅威が挙げられています。導入によって監視・運営方法も大きく変わるので、情報ガバナンスの構築(体制を含めた)は必須です。
また、いくら効果的だとはいえ、あらゆる企業がゼロトラストに移行すべきというわけでもありません。リモートワークに関しても、社員数が少なく、証明書や複数パスワードの使用など、厳密なセキュリティチェックと適切なネットワークキャパシティーの管理が実現できているのであれば、VPNでも問題が起こる可能性は少ないはずです。
同様に、「もはやファイヤーウォールや境界防御は不要」という考え方も極端過ぎるでしょう。ファイヤーウォールや境界防御で守れる部分は守り、それ以外はゼロトラストで守るという手法の方が、対策の手段が多い分、セキュリティレベルは高いという意見もあるからです。
とはいえ、クラウドやIoT、リモートワークとの親和性の高さを考えると、ゼロトラストがデジタルトランスフォーメーション(DX)に取り組む企業にとって見逃せないセキュリティ対策であることは事実ですし、そうでない企業も一度は検討すべき課題であることは間違いありません。あらゆるバズワードと同じく、過信・妄信を排し、導入自体が目的とならないように気を付けてください。
