ゼロトラストに移行したい！IPA推奨の導入順序とソリューションを解説します

みなさんこんにちは。長谷川まりです。

お客様とセキュリティ対策のお話をするとき、少し前までは、ゼロトラストとは何か？の考え方中心だったのが、最近では実際の進め方に及ぶことが多くなっています。どこからどのようにゼロトラストを実現できるのでしょう？今回はIPA（独立行政法人 情報処理推進機構）が推奨する導入のステップを踏まえながら、ゼロトラストを実現するソリューションについて解説します。

ゼロトラストの進め方の拠り所として、IPAが公開している「ゼロトラスト移行のすゝめ」（※）という資料が参考になります。「ゼロトラスト移行のすゝめ」は、ゼロトラスト移行を検討している組織の担当者に向けて2022年7月に公開されました。

章立てはわかりやすく3章で構成されています。ゼロトラストとは？の概念の話から移行の進め方、体制まで、ゼロトラストを自組織に実装する際に必要となる検討の流れやメリット、ソリューションの導入順序がわかります。

さて今回のテーマであるゼロトラスト導入順序については、まず大きく以下Phase1から5で説明しています。具体的な対策やソリューションを検討するPhase2では、担当者に、次の投資判断のための丁寧なグランドデザインが求められる部分と言えます。

ではそのグランドデザインとして、具体的に何をどのように導入すれば良いのでしょう？この導入ステップを、IPAではID統制、デバイス統制、…といった以下の分類で示しています。まず最初に取り組むべきとされているのがID統制で、ログ管理・分析まで、4つのステップとなっています。

もう少しイメージを深められるよう、これら4つのステップを追いながら、実際に皆様がいくつかは耳にされたことがあるかもしれないソリューションと、そのソリューションが提供する機能をご紹介します。

ID統制はゼロトラストの概念において、「誰が」リソースにアクセスしようとしているかを的確に識別し認証・認可を行うことが重要であるとされているため、最初のステップに置かれています。ID統制に関連する主要なソリューションはIDaaS（ID as a Service）で、ID管理、SSO、アクセスコントロール、といった機能が提供されます。

次の取り組みはデバイス統制です。各企業でテレワーク導入が進み、デバイスが攻撃を受けてしまうリスクが以前より増して高くなっているためです。また、テレワーク環境下では適切なセキュリティ設定を施すこととその確認が難しくなっています。そのため、組織で管理すべきデバイスの洗い出しを行い、従業員がどこにいてもデバイスの統制が取れる環境を作る必要があります。主にMDM（Mobile Device Management）やITAM（IT Assset Managment）といったソリューションにより、デバイスの機能制限、紛失時の対応、ポリシーやアプリケーションの一斉配信などの機能が提供されます。

ステップ3では企業の状況によって選択します。多くのソリューションがありますので、リスクの度合いや環境、コスト、運用といった固有の状況から取り組みを判断する領域です。

サイバー攻撃が年々増加していますが、攻撃を受けるリスクが高いのがエンドポイントのデバイスです。マルウェア対策を行っていない企業はほぼないと思いますが、パターンマッチングによる検知は限界とも言われ、AI（機械学習）を取り入れたソリューションが注目されています。エンドポイント保護のソリューションはEPP（Endpoint Protection Platform）、EDR（Endpoint Detection and Response）で、マルウェア検知や遮断、挙動監視や攻撃を受けた後の対応（ネットワーク隔離など）といった機能が提供されています。

テレワーク環境下では、ゲートウェイを通らない通信が保護できないという課題があります。社内からの通信でも、通信量増大に伴いローカルブレイクアウトで直接インターネットに抜けるようにしていて、保護できないケースもあります。また、組織が把握しておらず、セキュリティ上の管理や制御が及ばないSaaSが利用されるといったシャドーITも課題です。ソリューションとしてはSWG（Secure Web Gateway）やCASB（Cloud Access Security Broker）により、Webへのアクセス制御、SSL復号機能、マルウェア検出、シャドーITの可視化、制限といった機能が提供されています。

サイバー攻撃では、社外から社内にアクセスする際に利用するVPN装置経由で、社内ネットワークに侵入されてしまうケースが多くあります。VPNにはその仕組み上、「外部からアクセス可能なゲートウェイを必要とし、攻撃表面が増加してしまう」、「一度認証されるとすべてのリソースに対してアクセスが可能となってしまう」というセキュリティリスクがあり、ゼロトラストの概念に適していません。そこで「脱VPN」とも称されるZTNA（Zero Trust Network Access）というソリューションで、アプリケーション単位での接続許可機能や、デバイスポスチャ等をもとにした制御機能が提供されています。

データ漏洩防止はゼロトラストの概念上、すべてのデータが対象です。そのため外部の攻撃者だけでなく内部による不正な持ち出しも防ぎ、持ち出されたとしてもデータを閲覧させない対策が必要です。DLP（Data Loss Prevention）、IRM（Information Rights Management）といったソリューションにより、機密情報の不正な持ち出し禁止、データの暗号化とアクセス制御といった機能が提供されています。

ステップの最後とされるのはログの収集・分析です。まずはStep3までの対応を行うことで、防御の観点で必要なセキュリティ対策の基盤を構築した上で環境の監視を行います。社内IT環境を構成する機器からログを収集・分析することで、サイバー攻撃の早期検知や対応を行うことはもちろん、恒久的な対策の検討も行うことも可能になります。こういったログ管理のソリューションとしては、SIM（Security Information Management）やリアルタイムの分析も併せたSIEM（Security Information and Event Management）があります。ログ管理の選択肢を詳しく知りたい方は、別の記事「統合ログ管理とSIEMの違い」も是非ご覧ください。

以上のように、ゼロトラスト移行の具体的な進め方には、IPAの公開する「ゼロトラスト移行のすゝめ」が参考になります。IPAがこの文書で推奨しているステップと、アシストが考える対応ソリューション、機能を一覧にすると、以下の通りになります。

実際のソリューションについてはアシストで全てご相談可能です。以下よりゼロトラストを実装するパッケージソフトウェアの一覧と、上記でご紹介したステップ別での構成例が図解でわかる資料をダウンロードいただけますので、今後のセキュリティ対策のご計画にご利用ください。