HC
橋爪兼続
2023/07/25
ゼロトラストという用語をよく聞くようになりました。今回は、ゼロトラストとは何かという基本的な内容から運用に至るまで解説いたします。
ゼロトラストとは
ゼロトラストとは、特定の製品やジャンルを指す用語ではなく、全てを信頼しないという前提に基づいたセキュリティの考え方です。従来は、機器の持ち出しが少なかったため、社内と社外の境界線を越える場合のリスク対策を行うことが基本でした。 しかし、テレワークやクラウドサービスの普及により、社内と社外という境界線の引き方が機能しなくなりつつあります。また、社内という環境であっても、情報漏洩のリスクは否めません。そのため、社内だから信頼するという考えは通用しなくなってきています。そこで出てきたのがゼロトラストという全てを信頼しないという前提に立った考え方です。
ゼロトラストネットワークとは
ゼロトラストネットワークでは、社内・社外にかかわらず社内ネットワークに対するアクセス及び社内ネットワークのトラフィックを検査します。全てのアクセスとトラフィックを検査することにより、セキュリティレベルをチェックし、従来の考え方にとらわれないセキュリティを実現することができます。 このゼロトラストネットワークを実現するためには、「ネットワーク」「デバイス」「ID」「ワークロード」「データ」「可視化・分析」「自動化」の7つの要件があるとされています。いずれも基本的な考え方としては、データを中心にセキュリティ対策を行うことにあるとされています。
①ネットワーク
ネットワーク対策には、Secure Web Gateway(SWG)、Software Defined Perimeter(SDP)、インターネット分離の3種類があります。 SWGは、Webのフィルタリングです。ゼロトラストでは、クラウド型のプロキシです。社内ではもとより、社外からでもフィルタリングを行い安全にアクセスさせることが可能となります。 SDPは、ファイアウォールのような物理的対策に依存せずに、端末とシステム間に制御するソフトウェアを介在し認証することにより、安全なアクセスのみネットワークに接続させます。具体的には、端末のチェック機能などです。会社の指定したバージョンのソフトウェアを導入しているという条件により、安全な端末としてアクセスできるようにします。 インターネット分離は、画像の転送技術を用いたセキュリティ対策です。インターネットにアクセスすると、通常は、コンテンツを端末にダウンロードします。しかし、インターネット分離では、端末にダウンロードせずに、Webコンテンツを無害化し、端末に画面を転送するというものです。これにより、端末がマルウェアに感染するリスクを排除します。
②デバイス
デバイス対策には、Endpoint Protection Platform(EPP)、Endpoint Detection and Response(EDR)、IT資産管理、Mobile Device Management(MDM)の4つがあります。デバイス対策では、端末を如何に制御するかがポイントです。 EPPはエンドポイント保護プラットフォームのことで、マルウェア感染を防止することに特化したものです。これにより、組織内に侵入したマルウェアを検知し、マルウェアが実行されることを防いだり自動的に駆除したりします。 EDRはエンドポイントでの検出と対応です。EPPでマルウェアを完全に防ぐことはできません。EDRは、感染後の被害を如何に防ぐかを考え、マルウェアの侵入経路を確認して対策を行います。 IT資産管理は、そもそも物理的な端末がどれだけあって、それぞれにどのようなOSやソフトウェアがあるかという資産情報を管理する物です。 MDMは、モバイルデバイス管理のことです。万が一紛失した場合のリモートでのデータ削除や不必要なアプリを動作しないようにする制限などです。
③ID
ID管理は、重要なセキュリティ対策の一つです。対策には、多要素認証、統合ID管理、特権ID管理等があります。 多要素認証は、IDとパスワードが万が一漏洩した場合にログインされるリスクを減らす機能です。ID・パスワードと所持情報や生体認証を組み合わせます。 統合ID管理は、複数のサービスのIDを一元的に管理することにより、ゴーストIDの発生を防ぐ機能です。 特権ID管理は、システムの管理者権限等の強い特権を持っているIDの管理を厳重に行う機能です。
④ワークロード
ワークロードは、クラウドやオンプレミスを問わず、一連の処理が最初から最後までスムーズに行われることで、この一連の流れを監視します。CSPM(Cloud Security Posture Management : クラウドセキュリティ態勢管理)や脆弱性管理等があり、CSPMは、セキュリティの設定不備を検出する物です。例えば、自社で使用しないポートがデフォルトの設定で開いていたり、セキュリティポリシーが弱かったりという脆弱性を検出します。また、 脆弱性管理は、OSやアプリケーション等の脆弱性を早期に発見し、それを対策するものです。
⑤データ
データセキュリティは、そのデータ事態を守るものです。特に重要なファイルについては、システム管理者であってもアクセスさせないなどの厳格なファイルアクセス制御も含めて対策を検討する必要があります。
⑥可視化・分析
ログを可視化し、それを分析することにより、予兆を察知し、速やかに対策を行わなければなりません。対策としてはCASBや統合ログ管理とSIEM等があります。
⑦自動化
自動化は、セキュリティの運用の自動化を実現することを指します。具体的には、セキュリティインシデントが発生した時に検知して管理者にアラートを通知し、その後の処理まで自動的に行う対策です。なお、この技術については、現在発達途上の状態です。
ゼロトラストのメリット・デメリット
ゼロトラストのメリットとしては、「クラウドを安心して利用可能となる」や「接続元に依拠せずに業務を安全に行うことができる」等があります。また、デメリットとしては、「コストが大きい」や「利便性の悪化」等が考えられます。 そのため、まずは社内でゼロトラストに対する理解を深めることが重要です。ゼロトラストに関連したソリューションやサービスを導入することにより、今までできたことができなくなったり、複雑そうであったりすると、利用されないことで無用の長物となってしまうからです。したがって、運用においては、定期的に見直しを行ったり、必要に応じてポリシーの変更を行ったりする必要があります。
まとめ
ゼロトラストネットワークを導入するにはハードルは高いですが、導入によりセキュリティの確保をすることができます。また、今後、テレワークやクラウドサービスが更に浸透することが予想されるため、ゼロトラストネットワークは必須となるでしょう。適切なタイミングで導入し、セキュリティの確保に努めていきましょう。
ゼロトラストとは
ゼロトラストという用語をよく聞くようになりました。今回は、ゼロトラストとは何かという基本的な内容から運用に至るまで解説いたします。
ゼロトラストとは、特定の製品やジャンルを指す用語ではなく、全てを信頼しないという前提に基づいたセキュリティの考え方です。従来は、機器の持ち出しが少なかったため、社内と社外の境界線を越える場合のリスク対策を行うことが基本でした。 しかし、テレワークやクラウドサービスの普及により、社内と社外という境界線の引き方が機能しなくなりつつあります。また、社内という環境であっても、情報漏洩のリスクは否めません。そのため、社内だから信頼するという考えは通用しなくなってきています。そこで出てきたのがゼロトラストという全てを信頼しないという前提に立った考え方です。
ゼロトラストネットワークとは
ゼロトラストネットワークでは、社内・社外にかかわらず社内ネットワークに対するアクセス及び社内ネットワークのトラフィックを検査します。全てのアクセスとトラフィックを検査することにより、セキュリティレベルをチェックし、従来の考え方にとらわれないセキュリティを実現することができます。 このゼロトラストネットワークを実現するためには、「ネットワーク」「デバイス」「ID」「ワークロード」「データ」「可視化・分析」「自動化」の7つの要件があるとされています。いずれも基本的な考え方としては、データを中心にセキュリティ対策を行うことにあるとされています。
①ネットワーク
ネットワーク対策には、Secure Web Gateway(SWG)、Software Defined Perimeter(SDP)、インターネット分離の3種類があります。 SWGは、Webのフィルタリングです。ゼロトラストでは、クラウド型のプロキシです。社内ではもとより、社外からでもフィルタリングを行い安全にアクセスさせることが可能となります。 SDPは、ファイアウォールのような物理的対策に依存せずに、端末とシステム間に制御するソフトウェアを介在し認証することにより、安全なアクセスのみネットワークに接続させます。具体的には、端末のチェック機能などです。会社の指定したバージョンのソフトウェアを導入しているという条件により、安全な端末としてアクセスできるようにします。 インターネット分離は、画像の転送技術を用いたセキュリティ対策です。インターネットにアクセスすると、通常は、コンテンツを端末にダウンロードします。しかし、インターネット分離では、端末にダウンロードせずに、Webコンテンツを無害化し、端末に画面を転送するというものです。これにより、端末がマルウェアに感染するリスクを排除します。
②デバイス
デバイス対策には、Endpoint Protection Platform(EPP)、Endpoint Detection and Response(EDR)、IT資産管理、Mobile Device Management(MDM)の4つがあります。デバイス対策では、端末を如何に制御するかがポイントです。 EPPはエンドポイント保護プラットフォームのことで、マルウェア感染を防止することに特化したものです。これにより、組織内に侵入したマルウェアを検知し、マルウェアが実行されることを防いだり自動的に駆除したりします。 EDRはエンドポイントでの検出と対応です。EPPでマルウェアを完全に防ぐことはできません。EDRは、感染後の被害を如何に防ぐかを考え、マルウェアの侵入経路を確認して対策を行います。 IT資産管理は、そもそも物理的な端末がどれだけあって、それぞれにどのようなOSやソフトウェアがあるかという資産情報を管理する物です。 MDMは、モバイルデバイス管理のことです。万が一紛失した場合のリモートでのデータ削除や不必要なアプリを動作しないようにする制限などです。
③ID
ID管理は、重要なセキュリティ対策の一つです。対策には、多要素認証、統合ID管理、特権ID管理等があります。 多要素認証は、IDとパスワードが万が一漏洩した場合にログインされるリスクを減らす機能です。ID・パスワードと所持情報や生体認証を組み合わせます。 統合ID管理は、複数のサービスのIDを一元的に管理することにより、ゴーストIDの発生を防ぐ機能です。 特権ID管理は、システムの管理者権限等の強い特権を持っているIDの管理を厳重に行う機能です。
④ワークロード
ワークロードは、クラウドやオンプレミスを問わず、一連の処理が最初から最後までスムーズに行われることで、この一連の流れを監視します。CSPM(Cloud Security Posture Management : クラウドセキュリティ態勢管理)や脆弱性管理等があり、CSPMは、セキュリティの設定不備を検出する物です。例えば、自社で使用しないポートがデフォルトの設定で開いていたり、セキュリティポリシーが弱かったりという脆弱性を検出します。また、 脆弱性管理は、OSやアプリケーション等の脆弱性を早期に発見し、それを対策するものです。
⑤データ
データセキュリティは、そのデータ事態を守るものです。特に重要なファイルについては、システム管理者であってもアクセスさせないなどの厳格なファイルアクセス制御も含めて対策を検討する必要があります。
⑥可視化・分析
ログを可視化し、それを分析することにより、予兆を察知し、速やかに対策を行わなければなりません。対策としてはCASBや統合ログ管理とSIEM等があります。
⑦自動化
自動化は、セキュリティの運用の自動化を実現することを指します。具体的には、セキュリティインシデントが発生した時に検知して管理者にアラートを通知し、その後の処理まで自動的に行う対策です。なお、この技術については、現在発達途上の状態です。
ゼロトラストのメリット・デメリット
ゼロトラストのメリットとしては、「クラウドを安心して利用可能となる」や「接続元に依拠せずに業務を安全に行うことができる」等があります。また、デメリットとしては、「コストが大きい」や「利便性の悪化」等が考えられます。 そのため、まずは社内でゼロトラストに対する理解を深めることが重要です。ゼロトラストに関連したソリューションやサービスを導入することにより、今までできたことができなくなったり、複雑そうであったりすると、利用されないことで無用の長物となってしまうからです。したがって、運用においては、定期的に見直しを行ったり、必要に応じてポリシーの変更を行ったりする必要があります。
まとめ
ゼロトラストネットワークを導入するにはハードルは高いですが、導入によりセキュリティの確保をすることができます。また、今後、テレワークやクラウドサービスが更に浸透することが予想されるため、ゼロトラストネットワークは必須となるでしょう。適切なタイミングで導入し、セキュリティの確保に努めていきましょう。
執筆者:
橋爪兼続
ライトハウスコンサルタント代表。2013年海上保安大学校本科第Ⅲ群(情報通信課程)卒業。巡視船主任通信士を歴任し、退職後、大手私鉄の鉄道運行の基幹システムの保守に従事。一般社団法人情報処理安全確保支援士会の前身団体である情報処理安全確保支援士会の発起人。情報処理安全確保支援士(第000049号)。
本記事の内容に誤り等がございましたら、こちらからご連絡ください。
マネーフォワード Adminaについて
