アシストのブログ

  • アシストの視点
2021.09.16

アシストが考える最速・最適なゼロトラストの実現方法とは(後編)

アシストが考える最速・最適なゼロトラストの実現方法とは(後編)



本記事は、いま話題のゼロトラストが具体的によくわからないというお客様からの声にお応えするもので、ゼロトラストが注目されるようになった背景や、ゼロトラスト提唱の歴史を交えながら、最速かつ最適な状態でゼロトラストを実現するにはどうすればよいのかをテーマに解説します。

前編 では、注目されるようになった背景、提唱の歴史、ゼロトラスト化に必要な7つの機能などをご紹介してきました。後編となる今回は、アシストが考える最速・最適なゼロトラストへの取り組み方を具体的にご紹介します。本記事を読めば、今すぐ、ゼロトラスト化を始められます。


アシストが考えるゼロトラストへの取り組み方


さて、ゼロトラストは考え方の一つであって実際にどう進めるべきなのか、悩まれているお客様も多いのではないでしょうか。その理由はゼロトラストというのは考え方の一つであってある意味正解がないということにあります。

ここからは、今すぐゼロトラスト化を行いたいお客様に向けて、アシストが提案する最速、最適な取り組み方についてご紹介します。

最速・最適なゼロトラスト化で重要な3つのポイント


最速かつ最適にゼロトラスト化を推進するためのポイントは3つあります。

1.ゼロトラスト適用の目的を明確化する

ゼロトラスト化が目的とお考えのお客様もいらっしゃるかもしれません。しかし、ゼロトラスト化は何かを実現するための手段であって、それ自体が目的ではないのです。例えば、 デジタルトランスフォーメーション(DX) 推進のためにデータを上手に活用して企業としてどんどん成長していきたい、という目的があるならば、そのセキュリティ対策としてゼロトラストを取り入れます。

2.ゴールイメージを設定する

1年後、3年後と、技術はどんどん進化していきます。またゼロトラストはセキュリティの考え方の一つであって非常に範囲の広いものです。そのため、今現在考えられる技術の中で、明確化した目的に合わせたゴールイメージを設定することが重要です。また、ゼロトラストは既存の対策を否定するものではなく、既存の対策をそっくり入れ替えるというものでもありません。優先度の高いところから少しずつ適用していくことがポイントです。

3.ゴールを決めたらその取り組み方を考える

繰り返しになりますが、ゼロトラストはセキュリティの考え方の一つであって、非常に漠然とした範囲の広いものです。それならば、先人たちが提唱している指針に沿って取り組み方を検討すべきです。
以降で目的の明確化から順に手順を解説していきます。

1.ゼロトラストの目的は、安心・安全なデータ活用


企業の価値向上、競争力強化という不変のテーマへの解は「データ活用」にあります。今後もデータを活用してビジネスを進めていく重要性は増していきます。一方で、標的型攻撃やクラウドシフト、テレワーク推進で安全・安心なデータ活用のハードルが年々高くなっています。

そこでどの企業にも確実に当てはまる普遍的な目標として、アシストでは「安心・安全なデータ活用(アクセスの実現)」を目標にすることをご提案します。以降はこの目標に沿って話を進めていきます。

2.ゴールイメージを設定する


ゼロトラストは考え方の一つであり範囲も広いため、どこに焦点をあてて進めるかそのゴールイメージを設定することが重要です。ゴールイメージを設定する前に、いったん先ほどアシストからご提案させていただいた「安心・安全なデータアクセスの実現」に関わる全体像を俯瞰して見てみましょう。

クラウドシフトで資産が社外へ、テレワークでシステム利用者も社外へ出ている状況であることから、ゼロトラスト化にあたっては、社外・社内問わず、あらゆるロケーションからのデータアクセスに対し、多様なネットワーク対策(RBI、CASB、DLP、SDP、SWG)で安全性を検証・確認する必要があります。

ここでスタート地点になるのは、図の一番下にある「人」と「デバイス」であることがお分かりになるかと思います。

ゴールイメージを作る前に全体像を俯瞰

ゴールイメージを作る前に全体像を俯瞰

データアクセスしている人が社員本人ではなくなりすましだったり、デバイスがマルウェアに感染している状態であれば、そのデータアクセスは決して安全とは言えません。そのため、以下の図のように、人(アカウント)とデバイスに注目して、優先度の高い順にネットワーク対策やチェック体制を検討していきます。

人とデバイスから考える「ゼロトラスト適用」

人とデバイスから考える「ゼロトラスト適用」


「人(アカウント)」→「デバイス」→「データ」という図式に、Forrester Research社が提唱している3つのコンセプトを対比してみます。

・場所やホストの種別、クラウド、オンプレまたは併設されたリソースであろうと、誰がどこから通信しようと、すべてのリソースが安全にアクセスできることを保証する

・最小権限の原則を適用することで、禁止されたリソースへアクセスされるリスクを排除し、アクセス制御を徹底

・疑わしい活動の兆候を検出するための、継続的なログ取得とユーザー通信の分析

上記のForrester Research社の3つのコンセプトは、一言でいうと、「すべてのデータアクセスに対し、安全なアクセスであることを確認する」ということになります。 これに加え、継続的なログ取得やユーザー通信の分析が確実に行われているということも重要なポイントになるということです。これらを総合すると、1つのゴールイメージが見えてきます。

「セロトラスト適用」のゴールイメージ

「セロトラスト適用」のゴールイメージ


ゴールイメージは次の3つのポイントにまとめられます。

ポイント1:「人」に関しては、誰がアクセスしてもその本人であることを確認できること
ポイント2:「デバイス」に関しては、どこからデバイスを利用しても、そのデバイスが安全であることを確認できること
ポイント3:1と2の確認が適切に行われているということをチェックできること

対象範囲が広いと思われていたゼロトラストも、「人」と「デバイス」に焦点をあてることでシンプルになり、より具体的なアクションに落とすことができます。

3.取り組み方を考える

先ほどゼロトラストのゴールイメージを3つのポイントにまとめました。今度はポイントごとの取り組み方について、Forrester Research社の「 ゼロトラストを実現するための7つの機能 」に当てはめて考えていきます。


「誰がアクセスしてもその本人であることを確認できる」の解決策

人に関しては2つの課題があります。1つ目は、パスワード認証だけでは不十分だということです。社内と社外の境界がなくなり、あらゆる環境からデータアクセスが可能になったため、 前編の「クラウドシフトのお客様は特に注意、ゼロトラスト化しておくべきだった事例」のように、なりすましが増え、大きなセキュリティ被害も出ています。また、クラウドサービスの中には多要素認証を必須とするサービスも増えていることから、パスワード認証だけのシステムについては早急な対応が必要です。

もう1つの課題は、接続先のサービスが増えているということです。サービスが増えると、管理者側としては、サービスごとに IDを管理する手間が増え、管理自体がずさんになってしまう危険性が高くなります。また実際にお客様からお聞きする話として、ユーザー側からサービス利用のたびに IDとパスワードを入力するのが面倒だという不満の声が数多く寄せられることになります。IDは間違いなく増え続けるため、管理ができなくなる前に対処しなければなりません。

これらの課題は、Forrester Research社の「 ゼロトラストを実現するための7つの機能 」の「ID管理」で説明した「多要素認証」と「シングルサインオン」で対応できます。

現在、多要素認証とシングルサインオンを同時に実現する製品としてiDaaS(Identity as a Service)が注目されています。iDaaS製品は、クラウド上で ID を管理し、オンプレミス、クラウド問わずあらゆるシステムへのアクセスを多要素認証により厳格化することに加え、シングルサインオン機能により利用者がいちいちログインし直さずにアクセス可能なサービスを利用できるようにするものです。

「セロトラスト適用」の実現イメージ(ポイント1)

「セロトラスト適用」の実現イメージ(ポイント1)

多要素認証については、顔認証や指紋認証などを柔軟に組み合わせ、厳格でありながらユーザーの利便性を損なわない認証の仕組みが大切です。また最近ではリスクベース認証といって、認証を行うシーンやロケーションに応じて認証を強化するという考え方もあります。例えば国内のマシンからのアクセスと海外のマシンからのアクセスでは、海外の方の認証の強度を高めるといった対応です。近頃人気のiDaaS製品ですと、このあたりのリスクベース認証、ワンタイムパスワードによる認証など非常に柔軟な多要素認証の実装が可能になっています。


「どこからデバイスを利用しても、そのデバイスが安全であることを確認できる」の解決策


通信や認証を厳格に検証しても、デバイス自体がマルウェアに感染していればセキュリティリスクが高くなります。デバイスセキュリティの観点では、デバイス自体の保護と、デバイスの安全性を確認した上でネットワークへの接続を許可することの2点に注目します。

デバイス自体を保護する対策として、既存のEPP、つまりアンチウイルスソフトの見直しを行います。従来型のアンチウイルスソフトはパターンマッチ方式であるため、パターンにマッチする既知のマルウェアは検知できますが、未知のマルウェアは検知できないという致命的な欠点があります。

この課題は、Forrester Research社の「 ゼロトラストを実現するための7つの機能 」の「デバイス管理」の項目である機械学習型EPPで対応します。最近では機械学習を使用して未知のマルウェアに対しても高い検知率を上げてくれるような 製品が人気です。

2つ目の対策は、安全なデバイスだけをネットワークにアクセスさせることです。この課題については、Forrester Research社の「 ゼロトラストを実現するための7つの機能 」の「ネットワーク」の項目である「SDP(Software Defined Perimeter)」で実現します。

ネットワークアクセスの経路上にSDP を介在させることで、SDPがデバイスの安全性を検証し、安全なデバイスだけをシステムに接続させます。具体的には、SDPがデバイスの証明書やデバイスに導入されているソフトウェアをチェックし通信を確立するというイメージになります。SDPはクラウドサービスで提供されているため、場所を問わず、あるところからあるところへの通信すべてに対して、安全性チェックの仕組みを実装することができます。

「セロトラスト適用」の実現イメージ(ポイント2)

「セロトラスト適用」の実現イメージ(ポイント2)


「人とデバイス管理が適切に行われていることをチェックできる」の解決策


アクセスログの情報の課題としては、まず、デバイス上、通信経路上、接続先の各システム上などあらゆる部分に散在してしまう点が挙げられます。ログ情報が散在していると、必要なタイミングですぐに状況を把握できず、何のためにログを取得しているのかが問われます。また、クラウドサービスのログ情報に関しては、例えばMicrosoft Azure上のログは30日、その他のクラウドサービスでも約1か月から1か月半で自動消滅してしまうという特徴があります。一方、監査に必要なログ情報については年単位で求められるため、削除せずに長期保管しなければなりません。

上記の課題は、Forrester Research社の「 ゼロトラストを実現するための7つの機能 」の「可視化・分析」にある統合ログ管理という機能が有効です。統合ログ管理機能は、散在していたログを一つのバケツに収集し、必要なタイミングでログをチェックできるだけでなく、長期保管するためにも有効な対策です。

「セロトラスト適用」の実現イメージ(ポイント3)

「セロトラスト適用」の実現イメージ(ポイント3)

今すぐ始めるゼロトラスト対策


今すぐ始めるゼロトラスト対策として、本人確認の認証についてはiDaaS製品、デバイスが安全であるかどうかは機械学習型 EPP、そしてSDP による安全性チェックの実施、最後にログを長期保管し必要な時にチェックできる状態にする統合ログ管理をご紹介しました。

具体的な製品・ソリューションとしては、iDaaS製品の代表である「Okta」、機械学習型EPPでは「BlackBerry Protect」、SDPの代表的な製品には「Zscaler」があります。Zscalerは SDP だけでなくネットワークセキュリティのあらゆる機能を内包したソリューションであり、ゼロトラスト化にあたり引き合いが非常に多い製品です。最後に統合ログ管理の代表的なものとして「Logstorage」があります。

対策イメージ(対策適用後)

対策イメージ(対策適用後)


アシストではこのほかにも「 ゼロトラストを実現するための7つの機能 」を実現する商材を扱っています。是非お気軽にご相談ください。

セキュリティ分野に関するお問い合わせ
https://www.ashisuto.co.jp/pa/contact/security-category.html


連載記事

アシストが考える最速・最適なゼロトラストの実現方法とは(前編)


執筆者のご紹介

アシスト桐本 直樹

桐本 直樹
システム基盤技術本部

銀行系SI会社、ネットワーク系SI会社を経て、2011年にアシスト入社。セキュリティへのかかわりは、20年以上従事。お客様のビジネス課題解決の視点から、全体最適を意識した改善提案活動を実施。CISSP(情報セキュリティプロフェッショナル)、CISM(公認情報セキュリティマネージャー)。

講演履歴:兵庫県立大学 2016,2018年産官学連携・育成講座 講師など。

アシスト冨士本 博紀

冨士本 博紀
システム基盤技術本部

2009年、アシストに新卒で入社。 入社以来セキュリティのエンジニアとして活動。 エンドポイントや脆弱性管理製品の専任SEを担当しつつ、 最近では、製品の枠を飛び越え、セキュリティ全般プリセールス活動に注力。

アシスト徳永 匡哉

徳永 匡哉
システム基盤技術本部

2016年に新卒でアシスト入社。 入社以来、セキュリティのエンジニアとして活動。 エンドポイント、サーバ、特権ID管理の専任SEを担当しつつ、 最近では、製品の枠を飛び越え、セキュリティ全般プリセールス活動も行う。

本記事をご覧いただいている方へのご案内

最後までご覧いただきありがとうございました。
本記事でご紹介した製品・サービスに関するコンテンツをご用意しています。また、この記事の他にも、IT技術情報に関する執筆記事を多数公開しておりますのでぜひご覧ください。

関連している記事

  • アシストの視点
2024.05.16

Bダッシュ委員会 DAO分科会発信
「DAOをビジネスに適用できるか」社内で実証実験

新商材・サービスの発掘・育成に取り組むBダッシュ委員会活動の中で、分散型自律組織(DAO)のビジネス適用の可能性を探り、アシストのビジネスにどう活かせるかを研究する「DAO分科会」についてご紹介します。

  • アシストの視点
2024.04.15

アシストの視点 生成AI時代に改めて考えたいセキュリティ対策(後編)

生成AI時代に改めて考えたいセキュリティ対策について、後編では「生成AIを活用したセキュリティ対策」を中心に解説します。

  • アシストの視点
2024.04.04

アシストの視点 生成AI時代に改めて考えたいセキュリティ対策(前編)

生成AI時代に改めて考えたいセキュリティ対策について、前編では「生成AIが使われる攻撃への対策」、「生成AIを利用する場合の対策」を中心に解説します。

ページの先頭へ戻る