「ゼロトラスト」への動きと働き方改革の関係

近年、情報セキュリティ業界でよく聞かれる「ゼロトラスト」。この新たなセキュリティモデルの登場は、在宅勤務など働き方改革の推進によってセキュリティで守るべき「内/外」の境界がなくなってきたことに由来します。働き方改革と同時に進めたい新しいセキュリティ対策とは?

働き方改革とセキュリティを両立したい企業のジレンマ

今、働く時間や場所に縛られない働き方の実現を求めて、働き方改革が日本中で進められています。働き方改革は働く人の満足度を高め生産性向上を目指す大きな流れとなり、もはや止まることはないでしょう。企業もその流れに乗り、テレワークやリモートオフィスの利用などで働く場所の固定をなくす方向へ進んでいます。
しかし、その陰には頭を悩ませている情シスたちがいます。

今までは社内のデータセンター/サーバールームにオンプレミスシステムを構築し、重要なデータはサーバーにしまいこんで、「社内のネットワークエリアを外の攻撃者から守る」というセキュリティ対策をとってきました。しかしながら、環境は変わり積極的にクラウド(コミュニケーションツールやストレージサービスなど)を利用するようになれば、データは社外のサーバーに保管されることになり、守るべきデータも、守るべき通信も、「社内ネットワーク」という枠ではくくれなくなりました。
従来のセキュリティモデルでは、セキュリティを厳しくすればするほど、手続きが煩雑になったり、物理機器増設のための追加コストが必要となります。働き方改革に置いて行かれないように自社でもテレワークを進めたい、しかしセキュリティ対策も疎かにできない…と、複雑になるセキュリティの「内」と「外」の境界線でさまよう情シスたち。
そこで一つの解が見いだされつつあります。それが「ゼロトラスト」。「ゼロトラスト・セキュリティ」ないしは「ゼロトラスト・ネットワーク」とも表現される、新たなセキュリティの考え方です。(参考:使える! 情シス三段用語辞典90「ゼロトラスト」

 

ゼロトラストとは

ゼロトラストとは、言ってしまえば“何も信用しない”ことです。社内ネットワークの中だから安心という従来のような「内」と「外」を意識しないセキュリティモデルで、アクセス認証をはじめ様々な製品連携によるセキュリティ対策の総称です。ゼロトラストでは、社内/社外のどこから来た通信であろうと、厳格なアクセス管理の管理下に置かれ、データアクセス時に必ず検査を受けるという仕組みになっています。

アクセス管理・端末管理・ログ管理の連携がベース

ゼロトラストモデルの構成要素は、アクセス管理、端末管理、ログ管理です。

ゼロトラストのアクセス管理では、アクセス元の端末とアカウントを管理し、その各情報をアクセス時にチェックしてアクセスポリシーと照合することで、安全な通信とそうでないものを分けます。端末側でのEPP/EDR製品と連携、また各エンドポイントのログも取得し、機械学習によって動的にアクセスポリシーも変更されます。

具体的には、アクセスしてきた通信に対してどの場所から、どの端末で(どういう状態の端末かも含む)、どのアカウントでアクセスしているかの情報をもとに検査を行います。検査の内容は、以下のようなものです。

・該当IDは通信先データにアクセスする権限があるIDか
・アクセスに使われている端末は、登録管理されている端末か
・アンチウイルスの定義ファイルやセキュリティパッチが最新か
・該当端末はマルウェアに感染していないか
・該当IDは漏えいしていることが判明しているIDと一致するものかどうか

これらのチェックを通ったアクセスのみが目的のデータに到達することができます。これを、今までのようにVPNを使うのではなくインターネット経由で実現します。

 

働き方改革のセキュリティリスクをどう乗り切るか?

これによって、どのようなメリットが得られるのでしょうか。いくつかのケースを考えてみましょう。

社内ネットワークに内在するリスクをどう乗り切る?

今まではファイヤウォールやプロキシサーバ、IPS/IDSなどにより「外」と「内」の境界を引き、内部を守るという意識のもとにセキュリティ対策を講じてきました。これは、裏を返せば内部からの脅威には対策が甘い状況でもあったのです。
近年は、標的型攻撃が流行して乗っ取りアカウントから情報を盗む手口が増加しています。また、社内の人間による情報漏えいも数多く起きています。こうした内部からの攻撃にも対策すべきです。

ゼロトラストでは、データアクセス時に内部からの通信であっても関係なく全てに対して毎回検査を行い、内なる脅威にも対応ができます。

乗っ取りアカウントは、アカウント自体は正規のものであるだけに単純なアクセス管理機能では通過できてしまいますが、ゼロトラストモデルのシステムでは、EPP/EDRやエンドポイントログ管理機能との連携により、そのアカウントで不自然な場所からのアクセスや多数のアクセスリトライなど異常な行動がなされていないかまでチェックすることができます。これは機械学習を使用したふるまい検知機能で、アカウントの正常性をチェックしています。

BYODをどう乗り切る?

在宅勤務時のBYOD(私的端末の業務利用)を取り入れる企業も増えています。しかし私的端末は業務外利用でのWebサイト閲覧などで、マルウェア感染の危機に面する機会もより多いかもしれません。

私的端末に関して、端末がどういった状態であるかを把握することが重要です。ゼロトラストモデルの端末管理では、私的端末も登録して管理することが必要とされます。端末管理機能で、その端末のセキュリティ機能やシステムの正常性(マルウェア感染していないか、セキュリティ機能がオフになっていないかなど)を確認します。

尚、こうした確認は、アクセス時に毎回行われ、都度アクセスポリシーに反映されます。そのため、同じ端末でも、マルウェア感染が起きた場合だけアクセスが拒否されるなど状態によってアクセス可否が異なります。ゼロトラストモデルのシステムでは、こうして動的にポリシー変更を行えます。もちろんEPP/EDRによりマルウェアが駆除されればアクセス可になるので、ポリシーをいちいち手で変更する必要はなく、情シスの負担も軽くなるでしょう。

 

ゼロトラストモデルの実例

このように働き方改革の進む現代のIT事情と相性のよいゼロトラストモデルですが、実際の導入には多少のハードルがあります。様々な機能との連携を行うため大きなシステム改変が必要になることです。

ゼロトラストモデルの認証システムは、GoogleやMicrosoftなどのプラットフォーム事業者、Akamaiやシマンテックなどのセキュリティベンダーなどが提供しています。
ゼロトラストモデルの導入企業としても筆頭に挙げられるGoogleでは、2011年から7年という期間をかけて「BeyondCorp」と呼ばれるゼロトラストセキュリティシステムを構築しました。Googleは現在、グローバル全社的にこれを採用しており、全世界の従業員の誰もがインターネット経由でのアクセスを可能にしています。
このBeyondCorpは、Google Cloudのユーザー認証サービス「コンテキスト・アウェア・アクセス」として提供されておりG Suiteなどへのアクセスを細かいレベルで制御できます。
MicrosoftのMicrosoft365では、Azure ADを始めMicrosoftツールとの連携を行うゼロトラストモデルのセキュリティシステムを構築することができます。
企業で使用中のOSやアプリケーションにそこまでの影響なく導入できるのはAkamaiのEAA(Enterprise Application Access)やシマンテックのICD(Integrated Cyber Defense)などのセキュリティプラットフォームになります。
自社への導入を検討するのであれば、現在使用している製品と連携できるサービスを検討するところからスタートするのがよいでしょう。
また最初から全ての機能をそろえようとせずとも、部分的な機能を段階的に導入するとコスト的にも運用的にも負担が抑えられます。

これから“働き方改革”が進むにつれ、セキュリティモデルの主流は従来の境界型セキュリティからゼロトラストモデルへ移行していくことが予想されます。
今から少しずつでも検討を始めてみるのもよいかもしれません。

 

【執筆:編集Gp 星野 美緒】

関連記事

ピックアップ記事

  1. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  2. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  3. 経済の新たな原動力として注目されるAPI。業務システムとしてクラウド(SaaS)を利用することが一般…
  4. 不朽の名作と名高いRPGの開発をはじめ、数々の有名IPのソーシャルゲーム開発を手がけてきたオルトプラ…
  5. 経営陣から変化を求められる情シス。企業経営にITが欠かせなくなったビジネスの潮流を考えればさもありな…
  1. 運用課題のヒントがここにある!「情シスサミット2019秋」9/18開催

  2. 【情シス解体新書:Vol.1】情報システムという存在

  3. 「ゼロトラスト」への動きと働き方改革の関係

  4. KLab株式会社「情報システムマネージングプレーヤー」ポジションのご紹介 [PR]

  5. いよいよ始まった「テレワーク・デイズ2019」

  6. 【情シスTips】無線LAN設定、スモールオフィスで忘れちゃいけない5つの項目

  7. 【無料セミナー】セキュリティ・ミニキャンプ in 山梨 2019

  8. 使える! 情シス三段用語辞典90「ゼロトラスト」

  9. 【SORACOM Discovery 2019】IoTだけじゃない、情シス向けSORACOM活用術

  10. ご存じですか?「テレワーク・デイズ2019」

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. Windows 7サポート終了でWindows 10に切り替わるこの時期、アプリケーションや端末利用…
  2. Windowsに無料でついてくるセキュリティソフト「Windows Defender」。わざわざセキ…
  3. 欧州でのGDPR(一般データ保護規則)の施行や企業情報を狙ったサイバー犯罪の流行の中、情シスは顧客情…
  4. 最近では、働き方改革の旗振りのもと、多くの企業が在宅勤務やサテライトオフィスを導入するようになり、リ…
  5. 2000年にリリースされたWindows 2000 Server で初めて登場したActive Di…
  6. ついにスタートした「GDPR」。世界から注目を集めるEUの個人データ保護規制です。EUに所在する人の…
ページ上部へ戻る