Written by MashiNari
ITベンダー、インフラ全般サービス企業で、プロジェクトマネージャー/リーダー等の経験を経て2016年にフリーランスへ転身。
インフラやクラウドシステムを中心に、要件定義、設計、構築、保守まで携わっています。
インフラの土台からweb周りの案件にも視野を広げ、近頃ではフロントエンド・バックエンドの開発にも従事し、日々奮闘中です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
クラウドサービスの利用やテレワークを行う企業が急増し、境界型防御のセキュリティ環境が実情とマッチしない面が見えてきました。
サイバー攻撃とこれからのビジネス環境に対応するための新たなセキュリティ概念として、ゼロトラストが注目されています。
ゼロトラストの概念はエンドポイントやネットワーク、様々なクラウドサービスの利用など、多くの要素を内包しています。
この記事ではゼロトラストを実現するゼロトラストネットワークとはどのようなものなのかを解説します。
ゼロトラストネットワークとは
「ゼロトラストネットワーク」とは、ゼロトラストの基本である「全てのアクセスや通信は信頼しない」考え方を実現するネットワークを指します。
現代は高度化するサイバー攻撃や働き方の多様化、クラウドサービスの活用など、組織を取り巻くビジネス環境が大きく変化しています。
多くの組織では変化に対応するべく様々な対策を行っていますが、現在主流である境界型防御自体がビジネス環境にマッチしなくなってきているのが実情です。
ゼロトラストネットワークを実現するメリットとして、このような環境の変化に対応することが挙げられます。
クラウドサービスや業務用端末、社内システムを全て信頼せず検証を行うことで、サイバー攻撃被害の抑制や安全なクラウドサービスの活用、多様化する働き方への柔軟な対応を見込めます。
従来のセキュリティ環境との違い
現在の主流である境界型防御の環境とゼロトラストネットワークでは、どのような違いがあるのでしょうか。
通信を信頼せず、確認する
境界型防御では、組織ネットワークの内部に存在する接続は安全で信頼できるものとして扱っています。
ゼロトラストネットワークでは、ユーザーやデバイス、接続元のネットワークにかかわらず、常に接続の信頼性を確認します。
ネットワークの内外の区別がつきにくくなった現代のビジネス環境にマッチした考え方であり、テレワークやクラウドサービスの利用を安全にする効果を見込めます。
クラウドサービスによるセキュリティ環境
ゼロトラストネットワークを構成する要素のほとんどはクラウドサービスです。
そのため、組織のゼロトラストネットワークはインターネット上に存在することになります。
境界型防御では機密情報は社内に配置されているという前提があるため、テレワーク中の従業員が機密情報へアクセスするためには安全な通信経路を確保してオフィスと接続する必要がありました。
クラウドサービスを利用していれば従業員の自宅から直接インターネットで接続することも可能ですが、従業員が個人で契約しているインターネット回線で組織のセキュリティポリシーを満たす環境を整えることは困難です。
クラウド上のセキュリティサービスを利用するゼロトラストネットワークでは、従業員の自宅からゼロトラストネットワークへアクセスすることで必要なセキュリティを確保し、不審な通信やクラウドサービスの利用を監視・制限することが可能となります。
攻撃を受け侵入されることを前提とした設計
境界型防御はネットワークの境界線にセキュリティを集中させ、外部からの攻撃やマルウェアの被害を防ぐことを念頭に構成されます。
それに対してゼロトラストネットワークでは、不正アクセスやマルウェアの攻撃を受けることを想定しています。
そのため、ネットワーク内部に到達している通信であっても安全性を確認し、不審な点があればブロックや管理者への通知を行います。
それにより、ネットワークの境界線が曖昧になっている現代のビジネス環境の安全性が増すことを期待できます。
ネットワークの境界線を意識するかしないかが、境界型防御とゼロトラストネットワークの大きな違いです。
ゼロトラストネットワークを実現する主要サービス
実際にゼロトラストを実現するためには、どのような仕組みが必要となるのでしょうか。
ゼロトラストを構成する代表的なクラウドサービスを紹介します。
IAM
「Identity and Access Management」の頭文字を取った略語です。
IAMには利用者のIDを管理するIDデータベースと、利用可能なアプリケーションやデータを定めるアクセスポリシーがあります。
それらをもとに利用者を認証し、定められたアプリケーションやデータへの認可を行うことが主な機能です。
多くの場合は多要素認証の機能を備えており、ID・パスワード情報だけではなく、デバイス情報や生体情報を組み合わせて認証を行います。
多要素認証については、こちらの記事で詳しく解説しています。併せてご覧ください。
SWG
「Secure Web Gateway」の頭文字をとった略語です。
SWGは、利用者の端末を出入りするデータの内容をチェックする役割を持っています。
クラウドサービスやWebサイトと端末の間でどのようなやり取りを行うのかをチェックし、マルウェアの侵入や不正なサイトへのアクセスを遮断します。
境界型防御で使用するプロキシサーバーやファイアウォールに近い機能です。
EDR
「Endpoint Detection and Response」の頭文字を取った略語です。
エンドポイント(利用者のデバイス)の挙動を監視し、マルウェア感染などが疑われる動作を検知することで、被害を最小限に抑える役割を持ちます。
従来のウイルス対策ソフト(EPP= Endpoint Protection Platform)と似ていますが、マルウェアに対するアプローチが大きく異なります。
EPPではデバイスへの侵入を防ぐため、パターンマッチングや振る舞い検知によりマルウェアを検出し、駆除を試みます。
それに対し、EDRではマルウェアの侵入を受けることを前提とし、感染後の対応にフォーカスしています。
EPPをすり抜けてデバイス内で活動を開始したマルウェアによる疑わしい挙動を検知して、管理者への通知やデバイスの遮断、マルウェア動作ログの収集などを行い、感染拡大防止や事後対応に有益な機能を提供します。
そのため、エンドポイントセキュリティの観点で今後はEPPに加えてEDRを追加することが主流になると考えられています。
CASB
「Cloud Access Security Broker」の頭文字を取った略語です。
CASBは基本的に4つの機能を提供します。
-
クラウドサービスの可視化
各クラウドサービスが連携し、クラウドサービスと利用者がどのような通信を行っているのか、どのようなファイルをアップロード・ダウンロードしているのかなど、クラウドサービスの利用状況を可視化します。 -
コンプライアンス
コンプライアンスに則ったルールを定義し、クラウドサービスがコンプライアンス違反となる使われ方をしていないかを監視します。
コンプライアンスに抵触するクラウドサービスの設定やデータの取り扱いを検知し、管理者への通知や通信の遮断を行います。 -
データの保護
クライアントデバイスとクラウドサービスの通信や操作を監視・分析する機能を持ちます。
疑わしいクラウドサービスの利用を検知した場合、アクセスの遮断や管理者への通知を行うことで情報漏洩や不正なデータ利用の防止に繋がります。 -
クラウドサービス上のセキュリティ強化
クラウドサービス上に存在するマルウェアの検知や、利用者の不審行動を監視する機能を持ちます。
大量のデータをダウンロードする、普段アクセスしていないデータに大量のアクセスがあるなど、情報漏洩が発生するタイミングは不審な操作が発生すると考えられ、そのような不審な操作を検知し、通知やブロックを行います。
組織にマッチした選択でセキュリティ環境を整える
組織にマッチした形で構築し適切な運用を行うことで、ゼロトラストネットワークは多くの脅威やリスクを低減することができます。
しかし、ゼロトラストを実現するためには大規模なネットワーク更改が必要となり、ナレッジもまだ十分とは言えません。
また、ゼロトラストにおいても完全にセキュリティの境界線がない環境となるとは限りません。
社内に設置しているサーバーへアクセスする場合、社内にいる従業員が一度クラウド上のゼロトラストネットワークを経由し社内のサーバーへアクセスするのか、社内ネットワークからは直接アクセスするのかなど、環境によって検討するべきことは多数あります。
そのため、ゼロトラストの重要性を理解した上で現実的にどのような進め方が考えられるのかを十分に検討することが大切です。
“ChatGPT”の社内利用ルール、どう決める?
【AIサービス利用ガイドライン】を公開!
MOTEXが社内向けに作成したAIサービス利用ガイドラインをダウンロードできます。利用方針の決め方、作成ポイントの解説付き!
関連する記事