comparemela.com
Home
Live Updates
ビジネス環境や働き方の変化に対応してセキュリティーと利便性を高めるゼロトラストの考え方 : comparemela.com
ビジネス環境や働き方の変化に対応してセキュリティーと利便性を高めるゼロトラストの考え方
ビジネス環境や働き方の変化に対応してセキュリティーと利便性を高めるゼロトラストの考え方
セキュリティーと利便性を高めるゼロトラストの考え方
「ゼロトラスト」という言葉が、大きく注目されている。セキュリティーに関する話だと認識されてはいても、ゼロトラストとはどのようなもので、なぜ注目され、何が実現できるのか理解している人は一握りかもしれない。IPA産業サイバーセキュリティセンター(Industrial Cyber Security Center of Excellence: 以下、ICSCoE)サイバー技術研究室の専門委員を務める佐々木弘志氏に、「ゼロトラストの本当の話」をうかがった。
ビジネス環境の変化によってセキュリティーの考え方を
根本的に変えていく必要がある
「コロナ以前の数年前から、2020年の東京オリンピックで出勤が困難となるため、リモートワークを進めようという動きはありました。また、デジタル・トランスフォーメーションが注目され、オンプレミスで構築されてきた情報システムやアプリケーションをSaaS(Software as a Service)など外部サービスに置き換えていく動きがすでにありました。2020年に新型コロナの感染拡大が始まると、人との接触を避けるためにリモートで業務を行うことや業務自動化などの要望が高まり、その結果、新しいセキュリティーの考え方として、ゼロトラスト・ネットワークという考え方が注目されるようになりました」と、佐々木氏は、ビジネスのあり方の変化に伴い変化したセキュリティーのあり方について説明する。
独立行政法人 情報処理推進機構(IPA)
このような動きは企業だけに起きているのではない。政府もデジタル・ガバメント実行計画を推進し、クラウドの利用を進めようとしている。クラウドを前提とした行政サービスのデジタル化により利用者の利便性を高める計画が進められている。このように、ビジネスや政府の動きは大きく変化しており、これまでの「ファイアウォールやクローズド・ネットワークで守る」という考え方ではセキュリティーを保つことが難しい。根本的な考え方を変えていく必要があるのだという。
社内も社外も信頼せずに
アクセスのたびに常に検査していく
従来のセキュリティーの考え方は、境界防御とも呼ばれる。社内・社外を分けて考え、社外からのアクセスは信頼せず、社内からのアクセスは信用するというものだ。佐々木氏はこの境界防御を「城壁モデル」と例えて説明していく。「天守閣に殿様(重要なデータ)がいて、お堀(ファイアウォール)を置いてセグメント分離し、櫓に監視(SOC:Security Operation Center)を置いて社内に入ってこれないように監視するようなモデルが境界防御です。一関、二関、三関というように、境界を複数設けて天守閣にたどり着けないようにする多層防御を行っている場合もあるでしょう」
一方で、前述のようなリモートや自動化への要望の高まりだけでなく、パブリック・クラウドに業務で使えるアプリケーションが増え、クラウドの信頼性も高まり、コスト面でも改善が進む中で、クラウドを活用する企業が増えてきている。また、SaaSなどのクラウドサービスを活用すれば、最新の機能に自動的にアップデートされ、セキュリティーに関する対応も早く、管理の手間や運用コストが低減されるというメリットも生まれる。
「ビジネスの変化によって、セキュリティーのあり方そのものが変わってきているということが大きなポイントですね。クラウドを活用するようにビジネスが変化してきたため、殿様は天守閣におらず、天守閣を守っても仕方がない状況です。ゼロトラスト・ネットワークの考え方では、端末から直接使いたいアプリケーションやリソースに1対1でアクセスすることになるため、社内も社外も信頼せず、必ず認証とチェックを行って、端末・ユーザー・ロケーションなどのさまざまな条件で審査していくことになります。ゼロトラストという言葉は、誤解されることが多いのですが、信用ゼロということではなく、「社内にさえいれば信用される」という境界防御の対となる言葉として使われています。大切なリソースにセキュアにアクセスできるようにしっかりと守っていくというのがゼロトラストなのです」(佐々木氏)
社内を信頼して社外を信頼しない「境界防御」に対して、社内外のすべてを信頼せずに常に検査するということから、「ゼロトラスト」と名付けられた。
ゼロトラストに対しては、2020年8月にNIST(米国標準技術研究所)が「SP800-207: Zero Trust Architecture(ZTA)」というガイドラインを発行している。このガイドラインでは、「データだけでなく、コンピューティング・リソースなども含めた企業のリソースにアクセスしようとするユーザーや端末は、ポリシー決定ポイント(PDP)および対応するポリシー実施ポイント(PEP)を通じてのみ許可される」ことが定められている。
また、ゼロトラスト・アーキテクチャーの基本要素として、「すべてのデータソースとコンピューティング・サービスをリソースとみなす」「アクセス元/先のネットワーク・ロケーションにかかわらず、すべての通信をセキュアにする」「リソースへのアクセスはセッションごとに許可する」「リソースへのアクセスは、アクセス者の身元や使用しているアプリケーション種別、アクセス先の資産の状態、ふるまい、環境的な属性を考慮に入れて動的なポリシーによって制御する」「企業はアクセス元の端末の完全性やセキュリティー対策状況などをしっかりと監視・評価を行う」「リソースへのアクセスを許可する前に、動的かつ厳格な認証を行う」「企業はアクセス元の端末やアクセス要求の内容などに関して、できる限りの情報を収集して、最適な動的ポリシーの適用を行う」の7つが定義されている。
しっかりとしたビジネスゴールを判断材料として
必要なソリューションを選んでいく
佐々木氏は、ゼロトラストとは、「どのユーザーもどの端末も信用しない」「すべてのアクセスを均等に評価したうえで認証する」「評価・認証結果に基づき、必要最低限のアクセスポリシーを“動的”に付与する」「アクセス内容をしっかりと監視する」「アクセスログをしっかりと取得し、必要に応じて解析を行う」ことだと説明する。その上で、「究極を言ってしまえば、これらの要件に関連するセキュリティー対策であれば、なんでもゼロトラストと呼べてしまいますね」と話す。ゼロトラストが注目され、その必要性に迫られているからこそ、安易にゼロトラスト・ソリューションに飛びつくのではなく、しっかりと考えてほしいというのだ。
「ICSCoEの中核人材育成プログラムでは、企業から1年間社員を派遣いただき、産業サイバー・セキュリティーの教育を行っていますが、今年の卒業プロジェクトのテーマの1つに『ゼロトラスト』が取り上げられました。そうすると、皆さん最初はゼロトラストとは何かを一生懸命に調べ始めるんです。しかし、我々がやりたいのは「ゼロトラストを実現すること」ではなく、「ビジネス環境の変化に対して適切なセキュリティー対策を行うためのツールとしてゼロトラスト・ソリューションを使うこと」なのです。その卒業プロジェクトでも、その成果を自社に持ち帰って使えるかどうかに注力しました。すなわち、ゼロトラスト・ソリューションを選ぶときには、ベンダーの言いなりになって機能が多いものを選ぶのではなく、導入によってビジネス目標が実現できるかを判断材料とする必要があります」(佐々木氏)
さらに、佐々木氏は次のように話を続ける。「いきなりすべてをゼロトラストにすることは難しい。徐々に取り入れながら、最初は基本的にハイブリッドになると思います。ハイブリッドで進めながら、ビジネスゴールに応じて使用するソリューションを変えていかなければなりません。何も考えずに進めていくと、本来のビジネス目標とは異なるソリューションに投資してしまい、その結果セキュリティーも機能しないということも起こり得ます。これからゼロトラストに挑戦していこうと考えている方は、判断する基準をしっかりと作ってからソリューションを選ぶことが非常に重要となってきます」
(※)参照:中核人材育成プログラム卒業プロジェクト
SASEを構成する技術要素とは
「2019年にガートナーが定義したSASE(Secure Access Service Edge)は、ゼロトラストを実現する1つの技術要素となっています」と佐々木氏は、話を続ける。「SASEは、デバイスやユーザーの場所に依存しないネットワーク・セキュリティーを提供する仕組みで、アクセススピードやパフォーマンスを維持しながら、いつ・どこで・どのようにデータやデバイスが使われていたとしても、ユーザー・データ・デバイスを管理・保護可能にし、セキュリティー・サービスによるコストおよび複雑さを軽減することが定義されています。スムーズに拠点間や自宅と会社、クラウドとの通信を行い、安全かつ高速なネットワークを構築してビジネスを高速化させ、接続性とセキュリティーの両方のソリューションを組み合わせて考えていくのがSASEです」
SASEの技術要素は、単一のベンダーのソリューションではカバーできないくらい多岐にわたり、SASEを実現するソリューションと謳っていても、SASEの一部を提供するソリューションとなっていると佐々木氏は説明する。例えば、ウェブサイトへのアクセスを安全に行うためのSWG(Secure Web Gateway)やRBI(Remote Browser Isolation)、社内のデータセンターなどに対するアクセスを行うZTNA(Zero Trust Network Access)やSDP(Software-Defined Perimeter)、社内システムへのアクセスで利用するWAAPaaS(Web API Protection as a Service)などがSASEのセキュリティーに関する技術要素となる。
SASEのセキュリティー技術要素は多岐にわたり、その接続先も社内システムからパブリック・クラウド、」ウェブサイトと異なり、目的やビジネスゴールによってソリューションを選んでいく必要がある。
ゼロトラスト・ソリューションと同様に、SASEを実現しようとする場合にもしっかりと考える必要があると佐々木氏は説明を続ける。「例えば、すべてプライベート・クラウドでシステムを組んでいる企業は、シャドウIT対策のためにCASB(Cloud Access Security Broker)を導入しても効果が薄く、もっと安価にシャドウIT対策のソリューションを利用できるはずです。一方で、今後パブリック・クラウドの利用を加速させていくと考えているのであれば、あらかじめ機能が豊富なCASBを導入して、将来的にクラウドにつなげていくことも考えられます。また、社内システムが多く、今必要だからといってZTNAを導入しても、将来的にパブリック・クラウドに移行していくことが分かっているのであれば、その投資が最後は無駄になってしまいます。SASEだから買うのではなく、今後数年で自社がどのような方向に進むのかを考えた上で、ソリューションを選んでいく必要があります。これからは、セキュリティーのことだけを考えればよいのではなく、ビジネスゴールをしっかりと考えることが求められていくでしょう。経営層からSASEをやれとか、ゼロトラストをやれと言われても、会社の方向性に合わせてセキュリティープランを説明できるようにしなければならないと思います」
ゼロトラストはコストではなく
ビジネスの可能性を拡げる投資と考えるべき
「これまで、ゼロトラストとSASEを解説してきましたが、これらはOSよりも上のアプリケーション・レイヤーの話です。攻撃者は、OSよりも上だけを攻撃するわけではなく、メモリに侵入して攻撃するなどのハードウェアに対する攻撃も増えてきています。ゼロトラストは、境界を設けずに、クラウドと端末がエンドツーエンドでつながるところを守る必要がありますが、アクセスするためのノートブックPCなどの端末や、クラウド上のサーバーなどのハードウェアの保護も重要になってきます。ハードウェア・レイヤーでバックドアなどを仕掛けられたり、ファームウェアを書き換えられたりしても、OSやアプリケーション・レイヤーでは見つけることが困難なので、何らかのセキュリティー対策を取る必要が出てくると考えています」(佐々木氏)
2019年には、マルウェアの約10%がBIOSの下のレイヤーに対して攻撃を行っていたという調査もある。BIOSの中の管理者権限が乗っ取られ、物理メモリーに書き込まれているさまざまな情報を盗んでネットワークを使って外部に送られていても、OSよりも上のレイヤーからは検知することができない。
「ビジネスで利用する端末は、セキュリティーをしっかりと考慮したハードウェアであることが重要です。ZTNAはアプリケーション・レイヤーでエンドツーエンドの保護を行いますが、ハードウェア・レイヤーでもエンドツーエンドの保護を行ったほうがより強固な保護を行えるようになり、リモートでもファームウェアの更新ができるような仕組みなども必要です。攻撃を受けたときに対処できる仕組みがハードウェア・レベルで備えられていて、ハードウェア・メーカーがSDKなどで提供してくれていれば、セキュリティー・ベンダーが活用できることになります。IoTなどが進み、デバイスツーデバイスで接続されることが増えてくると、ハードウェア・レイヤーでのセキュリティーはより重要になってくると思います」と佐々木氏は、今後は端末などのハードウェアでどれだけセキュリティーが担保されるかが重要だと説明する。
インテルでは、企業向けのPCに対してインテル
Related Keywords
Tokyo
,
Japan
,
Thailand
,
Ichinoseki
,
Iwate
,
Ukaga Tsu
,
Committee Sasaki Hiroshi Mr
,
Ru Intel Technology
,
Ru Intel Threat Technology
,
Gartner
,
Research Office
,
Intel
,
Tokyo Olympic Games
,
New Corona
,
Government Run
,
Tower Pavilion
,
Tsu Te Terminal
,
Tsu Te Island
,
Yobe Te Island
,
Shadow Racing Cars
,
Operating System
,
டோக்கியோ
,
ஜப்பான்
,
தாய்லாந்து
,
ஈசிணோசெக்கி
,
இவதே
,
கார்ட்னர்
,
ஆராய்ச்சி அலுவலகம்
,
இன்டெல்
,
டோக்கியோ ஒலிம்பிக் விளையாட்டுகள்
,
புதியது கொரோனா
,
அரசு ஓடு
,
கோபுரம் பெவிலியன்
,
நிழல் பந்தய கார்கள்
,
இயங்குகிறது அமைப்பு
,
comparemela.com © 2020. All Rights Reserved.