サイバー攻撃はますます高度化し、リモートワークも普及する中、従来の境界防御によるセキュリティ対策では対応が難しくなりました。今必要なセキュリティは「すべてのアクセスを信頼しない」という考え方の「ゼロトラスト」モデルです。
ゼロトラストを導入するには、多岐にわたるセキュリティ要素が必要です。例えば、代表的な技術として多要素認証(MFA)や動的ポリシー設定、アクセスのリアルタイム監視やネットワークの分離などが挙げられるでしょう。しかし、これらのセキュリティ要素をすべて満たした防御を一度に実現することは困難です。技術的な複雑さに加え、既存システムとの整合性確保を同時に行うことは、現実的ではありません。そのため、ゼロトラストに必要な要素を計画的に、段階的に実装していくことが重要です。その第一歩としては、データやシステムへの窓口となる認証環境の統合から始めると効率的でしょう。
認証環境においては、多要素認証の導入がセキュリティ強化に有効です。多要素認証は、様々な企業がソリューションを提供していますが、中でもソリトンシステムズの「Soliton OneGate」をおすすめします。デジタル証明書による多要素認証を活用したサービスで、様々なクラウド環境への適用を可能にし、情報資産へのアクセスを一元管理できます。ユーザーとデバイスを限定してアクセスを許可することで“なりすまし”を防ぎ、信頼できるアクセス元だけを情報資産へアクセス許可するのです。その他、様々な機能で柔軟な認証が可能で、ゼロトラスト構築を確実に進めて行きます。
ゼロトラスト導入における一つ目の取り組みとして、Soliton OneGateを活用した多要素認証の導入準備を始めてみませんか?
Soliton OneGateについては、以下の公式サイトで紹介していますので、ぜひご覧ください。
2024年5月、営業チームで利用しているSaaS型のファイル共有サービスで不正アクセスが発生しました。攻撃者は、フィッシングメールでSaaS利用者のIDとパスワードを取得してシステムへ侵入。システムには、ユーザーやデバイスのアクセスにおけるセキュリティポリシーが適用されていなかったため、外部PCからの通信を遮断できず、契約データや顧客情報が不正にダウンロードされてしまいました。
このような被害を防ぐには、IDとパスワードによる認証だけではなく、アクセス元のデバイスなどのすべてをチェックしなければなりません。多要素認証をはじめ、不適切なデバイスからの接続を即時遮断できる動的ポリシーの適用を徹底するゼロトラストモデルの導入が、被害リスクを大幅に低下させます。
実際にゼロトラストモデルを意識し、前述の問題が発生する前に対応されたお客様の事例をご紹介します。
東海旅客鉄道株式会社様では、建設や施設保守部門の土木・建築工事の施工を受け持つ協力会社との間で、大量のデータのやり取りが行われます。そこで、業務効率化を実現するためにSaaS型の工事情報共有サービスを採用しました。また、情報セキュリティの観点から、以下の要件を満たすシステムとして「Soliton OneGate」を導入しました。
・漏洩リスクの高いID・パスワードに依存しない多要素認証が可能なこと
・フレキシブルに端末選定ができること
・私用端末などの不適切なデバイスからのアクセスを遮断できること
・使いやすい認証の仕組みであること
Soliton OneGateは同社が求める厳格なセキュリティ要件をクリアしており、試行やシステムベンダーとの認証連携もしっかりとしたサポートで安心して任せられるためです。
Soliton OneGateは、利用者パスワードを管理する必要がありません。アクセス管理も厳重で、誰が、いつ、どのデバイスからアクセスしたのかも一目でわかるため、「ログインできない」というユーザーからの問い合わせにも即時に原因把握が可能です。IT専門ではない同社でも、無理なく安心して運用ができています。
同社では、Soliton OneGateで強固なセキュリティを確保した上で、クラウドサービスとモバイル端末を活用できる仕組みを他業務の水平展開し、DX推進を目指しています。
ここに紹介した「Soliton OneGate」の導入事例については、「導入事例 東海旅客鉄道株式会社」にて詳しく紹介していますので、あわせてご覧ください。
ゼロトラストとは、「すべてのアクセスを信頼しない」ことを前提とし、あらゆる環境やデバイス、ユーザーからのアクセスをすべて検証するセキュリティモデルです。IPAでは以下のように定義されています。
ここでは、ゼロトラストセキュリティとは何かについて、従来型セキュリティモデルとの違いや、ゼロトラストの必要性について見ていきましょう。
従来型のセキュリティモデルは、内部のネットワーク(LANなど)は安全であり、ネットワーク外部(WAN)からのアクセスを脅威とする“境界型のセキュリティモデル”が主流でした。組織内をはじめとした「内部ネットワークからのアクセスは安全」を基準にしているため、ファイアウォールやUTMによってネットワークの出入口のみを検閲していたのです。また、遠隔地からの通信はVPNを活用することで内部ネットワークとみなし、セキュリティ強化を行っていました。しかし、このような境界型防御は攻撃者が一度でも内部に侵入すると弱いことや、内部脅威に対して脆弱であるという課題があったのです。
しかし、ゼロトラストモデルは、ネットワークの内外を区別することなく、どこからのアクセスも信頼しないという概念でセキュリティを構築します。どこからのアクセスでも、すべての通信を検閲対象とするのです。アクセス元がオフィス内のユーザーデバイスであっても認証を求めます。また、ユーザーやデバイス、接続元の環境・状況に応じた動的ポリシーを適用してアクセス認証と許可を行うため、リモートワークの拡大やクラウドサービスの普及にも柔軟に対応しながら、高いセキュリティの確保が可能です。
このようにゼロトラストは、従来型のセキュリティ概念では防ぎきれない脅威に対応できる、新たなセキュリティモデルなのです。
高度化するサイバー攻撃は、従来の境界防御に依存したセキュリティだけでは防ぐことが難しくなりました。例えば、近年世界中で猛威を振るうランサムウェア、情報漏えいに繋がるフィッシング攻撃は、内部ネットワークへ侵入した後にシステム全体、あるいは従業員のPCに被害を広げるケースが急増しているためです。
また、リモートワークやクラウドサービスなどの普及により、内部ネットワークの境界線が曖昧になったため、攻撃者のターゲットが拡大しています。社内のネットワークからだけではなく、自宅やカフェからシステムやデータへアクセスする機会も増えたため、サイバー攻撃を仕掛けやすくなったのです。
総務省でも、サイバーセキュリティ上の脅威が増加している旨を以下のように発表しています。
サイバーリスクは年々増加しており、それは企業への不正アクセスや情報漏えいリスクが高まっているということでもあります。ゼロトラストセキュリティ導入の取り組みは、早急に行うべきセキュリティ対策なのです。
ゼロトラストを実現するためには、基本原則を理解しておく必要があります。以下は、NIST(米国立標準技術研究所)の「Special Publication 800-207」による基本的な考え方です。
“データソースとコンピュータサービスは、全てリソースと見なす”
ゼロトラストでは、社内外のすべてのデータやコンピューティングリソースを対象とします。
“ネットワークの場所に関係なく、すべての通信を保護する”
内部ネットワークおよび外部ネットワークを区別せずに、すべての通信においてセキュリティが維持されるよう保護します。
“企業リソースへのアクセスをセッション単位で付与する”
ユーザーのアクセスは、その都度認証を行います。
“リソースへのアクセスは、動的ポリシーにより決定する”
アクセス権限は、ユーザーやデバイスの状況・環境に合わせ、条件に応じてリアルタイムに決定します。
“すべての資産の整合性とセキュリティ動作を監視し、測定する”
あらゆるデバイスやリソースのセキュリティ状態を常に監視し、異常な動作が発見された場合は即座に検出・対処します。
“すべてのリソースの認証と認可を?い、アクセスが許可される前に厳格に実施する”
アクセスを許可する前に、ユーザーやデバイスの認証と認可を徹底して行います。
“通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利?する”
すべての通信とアクセスデータを収集・分析し、異常を検知できる体制を整えます。
(引用・参考:NIST Special Publication 800-207)
ゼロトラストを理解する上での基本的な考え方として把握しておきましょう。
ゼロトラストセキュリティの実現には、主に7つの構成要素が必要です。ここでは、各要素について見ていきましょう。
※それぞれの要素ごとに技術例を挙げていますが、各要素に特化した技術ではありません。ここに挙げている技術は、複数の構成要素をカバーできる機能を持っています。
ゼロトラストセキュリティにおいて、デバイス(エンドポイント)の管理は重要な要素です。デバイス管理は、「すべてのデバイスを保護する」ための構成要素です。
例えば、以下のような技術が活用できます。
・EPP(Endpoint Protection Platform):PCやモバイル端末のセキュリティ対策ソフト。
・EDR(Endpoint Detection and Response):デバイス上の不審な動作を検知。
・MDM(Mobile Device Management):モバイル端末の設定などを一元管理。
ゼロトラストでは、内部外部を区別せず、ネットワーク上のすべての通信を保護する必要があります。ネットワークセキュリティを強化し、信頼性の高いネットワーク構築するために、以下のような技術が活用できます。
企業の資産であるデータ自体へのセキュリティ対策も、ゼロトラストの重要な構成要素です。特に、クラウドサービス上で管理・保管するデータへは、厳重なセキュリティを意識せねばなりません。具体的には、不正なデータ転送の監視や暗号化などによるデータの保護が考えられるでしょう。データに対するセキュリティ対策には、以下のような技術の活用が挙げられます。
ゼロトラストには、アクセス制御が欠かせない要素のひとつです。アクセスごとにアイデンティティ(ID)を認証・認可することで、アクセス権を最小権限にとどめます。アイデンティティのアクセス権限については、以下のような技術活用が挙げられます。
多要素認証については【「多要素認証」の記事リンク】について詳しく解説していますので、あわせてご覧ください。
クラウド環境やサーバー環境のアプリケーションやデータベース、仮想マシンのセキュリティ対策において、ワークロード(業務アプリやシステム間通信)の保護が重要です。クラウド設定のミスや、脆弱性を見逃してはなりません。ワークロード保護では、以下のような技術が活用できます。
セキュリティ内容の可視化と分析は、ゼロトラストにおいて不可欠です。セキュリティインシデントの迅速な検知と対応が可能になります。可視化と分析については、以下のような技術が活用できます。
セロトラスト実現において、セキュリティインシデントの検知や対応の自動化は欠かせません。セキュリティポリシー設定の自動化やアクセス制御の自動化は、ヒューマンエラーの低減やセキュリティ運用負担を軽減し、一貫したセキュリティを確保します。自動化では、以下のような技術が活用できます。
ゼロトラストを導入することで、従来型よりも強固なセキュリティを実現できます。ここでは、ゼロトラスト導入の具体的なメリットを見ていきましょう。
ゼロトラストは、境界防御による従来型のセキュリティモデルでは防ぎきれないサイバー攻撃のリスクを大幅に軽減します。データやシステムへのアクセスすべてが認証・認可で管理されるため、不正アクセスの遮断が可能です。例えば、攻撃者が従業員のアカウントを取得した場合でも、多要素認証が不正アクセスを防ぎます。通信が暗号化されますので、データの盗聴や改ざんリスクも大幅に低減可能です。アプリケーションやシステム内での異常な挙動は、リアルタイムに検知されるため、管理外のデバイスや通常とは異なる環境からのアクセス試行に対して迅速な対応ができます。仮に、内部ネットワークへ侵入された場合でも、ネットワークを分離していることで、脅威が横展開されることはありません。ゼロトラストの多層防御によって、サイバー攻撃のあらゆるリスクが軽減されるのです。
内外のネットワークを問わず、一貫したセキュリティポリシーで管理されるセキュリティ環境は、リモートワークをはじめとした業務環境の安全を確保します。例えば、すべての通信が暗号化されることで、自宅からの通信はもちろん、公共Wi-Fiからのクラウド環境接続に対するリスクを大幅に低減します。デバイスの状態や接続元のIPアドレスがリアルタイムに検証され、不正アクセスが検出されると即座に遮断します。また、すべてはログデータとして収集され、通常とは異なる動作があれば管理者に通知されますので、迅速な対応が可能です。これにより、リモートワーク環境の安全が確保できます。
ゼロトラストは、内部不正リスクも抑止します。透明性の高い管理機能が、リソースへのアクセスをすべて検閲し、特権アカウントによる異常行動も見逃しません。例えば、業務で不要な機密性の高いデータへアクセスされた場合は追加認証を求めるなど、アクセスおよびデータが厳重に管理されます。従業員の退職や移動があった場合は、動的ポリシーにより権限が変更されますので、該当アカウントの「不要な権限の保持」防ぐことが可能です。徹底したアカウント権限の管理は、内部不正リスクも回避することができます。
ゼロトラスト導入には様々なメリットがあります。一方、導入におけるデメリットや注意点もありますので、ここで確認していきましょう。
ゼロトラスト導入には大きなコストがかかります。多要素認証をはじめ、ゼロトラストに必要な構成要素を満たすための専用ツール導入、既存システムの改修やITインフラの見直しが必要になるためです。例えば、古くから利用しているネットワーク機器は、最新のセキュリティ要件に対応していないことも少なくありません。この場合、ルーターやスイッチなどの機器をリプレースしなければならない可能性もありますし、同時にソフトウェアの購入も必要です。ゼロトラストの専門知識を持つ人材の確保や、従業員への教育コストもかかるでしょう。安定した運用を行うためのランニングコストも考慮しておかなければなりません。このように、ゼロトラストの導入には、様々なコストがかかることがデメリットや注意点として挙げられます。
運用の負担が増加することも、ゼロトラスト導入のデメリットです。ゼロトラスト環境の運用には、ポリシー設定やシステム監視などの高度な専門知識が不可欠です。例えば、アクセスにおける動的ポリシーの変更や異常検知に対応するためには、情報システム部などの専門部署を設置する必要があるでしょう。また、インシデントによるアラートが頻繁に発生すれば、担当者の管理・運用負荷が高まります。インシデント対応に追われ、通常業務の作業効率が大幅に低下する可能性があります。専門部署などの体制を整えることが難しい小規模な企業では、運用リソースを確保することも困難です。
ゼロトラスト導入は既存システムとの整合性確保が必須です。例えば、オンプレミス環境がゼロトラスト導入に適応できないケースもあるでしょう。その場合は、ハードウェアやソフトウェアのアップグレード、新規ツールの導入が必要です。様々なクラウドサービスやシステムを活用している場合は、データの一貫性を保つための作業が発生する可能性もあります。こうした課題を解決するには、多くの時間とコストがかかるため、システムの段階的な導入計画の策定が必要です。
ゼロトラストの考え方を理解するためには、関連する用語についても把握することが大切です。ここでは、以下2つの用語について見ていきましょう。
多層防御とは、複数の防御層を組み合わせ、セキュリティ強化を図る手法のことです。エンドポイントセキュリティでPCやモバイル端末を保護し、多要素認証で不正アクセスを防ぎ、暗号化で通信やデータを防御します。
例えば、以下のようなセキュリティ構成が考えられるでしょう。
1つ目のセキュリティ:エンドポイントセキュリティを活用し、PCやモバイルデバイスに侵入するマルウェアをブロックします。
2つ目のセキュリティ:多要素認証(MFA)を導入して、不正アクセスを防御します。
3つ目のセキュリティ:データや通信の暗号化を行い、改ざんや盗聴などをはじめとする外部からの攻撃を防ぎます。
このように、複数のレイヤーにてセキュリティ対策を施す仕組みを構築し、セキュリティを強化するのです。
上記に加えて、侵入検知システム(IDS:Intrusion Detection System)や、侵入防御システム(IPS:Intrusion Prevention System)を導入すると効果的です。ネットワーク上の不審なトラフィックを監視すれば、サイバー攻撃の前兆を早期に発見できるでしょう。また、情報漏えいやデータの消失を防ぐためのDLP(Data Loss Prevention)を導入すれば、データの機密性を確保できます。
ゼロトラストを実現する際には、多層防御も視野に入れたセキュリティ基盤の構築が重要です。
ローカルブレイクアウト(LBO)は、特定の宛先に対する通信を直接インターネットに接続させる仕組みです。帯域幅を最適化して通信遅延を削減するなどのメリットがあります。クラウドサービスへのアクセスが迅速になれば、業務効率向上に繋がるでしょう。
例えば、クラウドストレージやSaaSのアプリケーションへアクセスする際に、本社を経由した通信を行うとトラフィックが集中して遅延を招く可能性があります。ここで、ローカルブレイクアウトを採用することで、リモートワークなどの遠隔地をはじめとした各拠点が、直接クラウドサービスにアクセスできるため、トラフィックを低減し効率的な通信を可能にします。
LBOはセキュリティ強化にも重要なものです。各拠点から直接インターネットに接続するため、セキュリティポリシーをローカル適用することができるのです。例えば、ソフトウェアで仮想的なネットワークを作るSD-WAN(Software-Defined Wide Area Network)や、クラウド型のプロキシであるSWG(Secure Web Gateway)の活用が挙げられるでしょう。
このように、LBOはゼロトラストを実現する要素として利用できる技術の一つです。クラウド利用やリモートワークの普及により、その重要性は高まっています。
ゼロトラストは、境界防御型セキュリティの弱点を克服できるセキュリティモデルです。「すべてのアクセスを信用しない」ことを原則とし、内外のネットワークすべてに対してアクセス認証と通信保護を行います。クラウドサービスの業務利用やリモートワークの普及、サイバー攻撃の高度化によって増大するリスクなどが、ゼロトラストの必要性を高めている要因です。
ゼロトラストは、基本原則を踏まえた上で多層防御を構築して実現します。一方、ゼロトラスト導入には、コストや運用コストの増大といった課題もあります。そのため、専門性の高い技術理解と、段階的な導入計画が欠かせません。自社ですべてをまかなうことが困難な企業も少なくないでしょう。ゼロトラストを効率的に実現するためには、信頼性の高いパートナー企業のサポートが重要になります。
そこでおすすめなのが、ソリトンシステムズのソリューションです。
「Soliton OneGate」は、許可デバイスと利用者本人の組み合わせでのアクセス制御、クラウドサービスを不正アクセスから守る多要素認証を提供します。ゼロトラスト導入を検討しているならば、豊富な実績を持つソリトンシステムズのSoliton OneGateを活用してみませんか?ゼロトラスト導入の第一歩として、まずはお気軽にお問い合わせください。
