はじめに
ゼロトラストセキュリティは『すべての要素を信頼しない』という考え方をもとに対策を講じるセキュリティです。ワークプレイスや業務に用いるデバイスが多様化した昨今では、ゼロトラストに基づいた対策が重要になっています。
本記事ではゼロトラストセキュリティの実現に必要なポイントや、具体的な対策、導入時の注意点について解説していきます。
ゼロトラストセキュリティの基本的な考え方や必要な理由についてはこちら
「ニューノーマル時代に不可欠なゼロトラストセキュリティとは?」をご覧ください。
ゼロトラストセキュリティ実現のためのポイント
ゼロトラストセキュリティを実現するには、以下7つのポイントを押さえる必要があります。
1. ネットワークセキュリティ
2. デバイスセキュリティ
3. アイデンティティ(ID)セキュリティ
4. データセキュリティ
5. ワークロードセキュリティ
6. 可視化と分析
7. 自動化
各ポイントについてみていきましょう。
1.ネットワークセキュリティ
ネットワークセキュリティでは外部からのアクセスだけでなく、内部ネットワーク上にも厳格なアクセス制御が求められます。具体的には通信の暗号化やアクセス権限の設定、ネットワークの細分化(マイクロセグメント化)などがこれにあたります。
ネットワーク内も厳しく監視することで、外部からの侵入だけでなく内部の異常にも即座に対応可能です。
2.デバイスセキュリティ
デバイスセキュリティではネットワークに接続されるデバイスが企業所有のものであるか、個人所有のものであるかにかかわらず、識別と認証管理の徹底が求められます。またデバイスに潜り込んだ脅威をすばやく検知・対処できるよう、利用するデバイスごとに適切な対策を施しセキュリティの強化を図ることも必要です。
3.アイデンティティ(ID)セキュリティ
ユーザアカウントの識別やアクセス権限の管理をアイデンティティ(ID)と呼びます。
ネットワークにアクセスするすべてのユーザに対し検証を行い、そのユーザがアクセスできる範囲を制御することで、セキュリティの強度を高めます。
4.データセキュリティ
データセキュリティでは企業が保持する情報資産を守るための保護や監視を行います。
データの破損や社員のデータ持ち出しといった内的要因から、不正アクセスやサイバー攻撃といった外的要因まで、あらゆるリスクへの備えを徹底することが重要です。
5.ワークロードセキュリティ
ワークロードセキュリティでは、利用するアプリケーションの稼働状況を監視します。これによりアプリケーションの異常や脆弱性を発見し、改ざんや不正利用といった思わぬ脅威からシステム内リソースを保護することが可能です。
6.可視化と分析
デバイスやアイデンティティ、データやワークロードといったネットワークを形作るもの、すべての可視化と分析を行います。ログを一元管理しこれらがどのような状態であるかをリアルタイムに追うことで、なんらかのインシデントがあった場合でも即座に検出と対処が可能になります。
たとえば、社員が未許可のデバイスやサービスを利用しようとすればアラートが管理者に通知されるため、内部不正防止にも役立ちます。
7.自動化
前述したネットワーク・デバイス・アイデンティティ・データ・ワークロードに関する各セキュリティ運用を効率よく、また継続して行うためにも自動化は欠かせません。ワークフローやプロセスを自動化することでインシデントの早期発見や対処が可能になり、企業に被害や損害がおよぶことを防ぎます。
ゼロトラストセキュリティ実践のための具体的な対策
ゼロトラストセキュリティを実現するためには、基本的に単一のソリューションを導入するのではなく、複数のソリューションをうまく組み合わせることが必要になります。
ここではソリューションを導入する際に実践すべきポイントを具体的に挙げていきましょう。
ID管理の強化
セキュリティ対策のカギとなるのがIDとパスワードによる認証方法です。個人を証明する方法として長らく使われてきたものの、近年では多くのユーザが複数のサービスを同じID・パスワードを使いまわすことで、漏洩やなりすましのリスクも高まっています。それゆえID管理の強化はゼロトラストセキュリティを実現するためにも優先すべき事項の一つです。
ID管理で代表的なソリューションにはIDaaS(Identity as a Service)が挙げられます。
IDaaSはID管理や認証管理、またログ管理やアクセス制御と、これらを一元管理する機能を有します。この機能によって新たなサービスを利用するごとに増え続けるIDを適切に管理でき、また信頼できないユーザからのアクセスを防ぐなど、ID管理とアクセス管理の両面を強化することが可能になります。
デバイス管理の強化
近年は企業のネットワークに接続するデバイスも多様化しています。それにともないネットワーク全体を安全な状態に保つためにも、末端(エンドポイント)に接続される機器(デバイス)を保護する、エンドポイントセキュリティが重要になってきます。
エンドポイントセキュリティで代表的なソリューションの例には、EDR(Endpoint Detection and Response)やEMM(Enterprise Mobility Management)などが挙げられます。
EDRの主な働きはデバイス操作・動作のログ管理です。エンドポイントの動きを常時監視することでウイルスやマルウェアなどの脅威を素早く検知し、被害を最小に抑えられます。また分析機能により原因の特定や被害範囲を把握することも容易になります。
EMMはスマートフォンやタブレットなどのモバイルデバイスを総合的に管理します。テレワークの促進で私用モバイルを業務に使用するBYOD(Bring Your Own Device)も増えた中では、モバイルデバイスの強化は必須であるといえるでしょう。
インターネットとの接続対策
インターネットへの接続に関するセキュリティ強化も重要なポイントです。社内の機器だけでなくモバイル機器などさまざまな機器からアクセスする際の安全性を確保できるソリューションとしては、SWG(Secure Web Gateway)が代表的です。
SWGはエンドユーザとインターネットの中継として存在するクラウド型プロキシーです。これをエンドユーザとインターネットの間に設置することでトラフィックの監視や分析を行い、ネットワーク上の問題を把握することが可能になります。
インターネット上に提供されるクラウドサービスの利用増により、社内ネットワークとインターネットの線引きが曖昧となった今、SWGのようなソリューションを用いてネットワークの出入口対策をしっかり行うことがセキュアなネットワークの維持につながるでしょう。
運用の効率化
ゼロトラストセキュリティの実現には、前述したポイントごとに管理や監視を徹底させることが重要です。そのため従来の人員だけでは人手が足りないといったケースも考えられます。そこで、セキュリティ運用を効率化するための自動化ソリューションが必要になってきます。
セキュリティ運用自動化の代表的なものとしてはSOAR(Security Orchestration, Automation and Response)が挙げられます。
SOARの主な働きはシステム上で脅威となる要因の情報収集や検知、インシデントの管理から対処までを自動で行うことです。SOARを活用することで迅速なインシデント対応が可能になり、またセキュリティ運用の属人化解消にも役立ちます。
ゼロトラストセキュリティ導入で注意すること
セキュリティ課題を解決し、企業の情報資産を守る手段としてゼロトラストセキュリティの実現は効果的な手段ですが、一方で導入にあたり注意すべき点もあります。
コストの算出が難しい
ゼロトラストセキュリティ実現には、複数のソリューションを組み合わせる必要があります。利用するソリューションの選択にもよりますが、トータルコストの算出はどうしても難しくなるのが実情です。
導入時にはとくに課題となる部分を洗い出し、費用対効果も考えながら必要なソリューションを検討するとよいでしょう。
利便性低下の可能性も
ゼロトラストセキュリティでは厳格な認証が必要であり、セキュリティの強度を高められる反面、業務効率が低下するといった課題があげられます。認証を一元管理できるアプリケーションを利用することや、社員への周知や説明を徹底させ協力や理解を得るなど、利便性を意識しながら運用を行うことも重要です。
まとめ
働く場所や業務に用いるデバイスの多様化から従来のセキュリティ対策では十分とはいえなくなり、ゼロトラストセキュリティの実現は企業にとって急務となっています。
しかし実現のためには本記事でご紹介したポイントに沿った対策を行わなければならず、またそれをうまく運用するだけの知識や人材も必要です。
ソリューション選別や社員教育の実施、またセキュリティ担当者の運用負荷軽減のためにも、組織のゼロトラストセキュリティの実現をプロにお任せしませんか?
セラクでは専門性をもつセキュリティ技術者が、24時間365日の体制でお客様のIT資産を強固にお守りします。お客様の状況にあわせて、ゼロトラストセキュリティの実現に必要なソリューションの選択や内製化サポートといったサービス提供が可能です。
ゼロトラストセキュリティの導入や実現についてのご相談はセラクへお問い合わせください。
