連載
» 2021年08月13日 05時00分 公開

ゼロトラストセキュリティの始め方Gartner Insights Pickup(219)

セキュリティとリスク管理のリーダーは、ゼロトラストのハイプ(誇大宣伝)を超えて、2つの重要なリスク軽減プロジェクトを実行する必要がある。

[Susan Moore, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 これまでのセキュリティモデルは、ファイアウォールが内部の企業ネットワークとデータセンターを境界で守る「城と堀」型のアーキテクチャに依存してきた。

 このセキュリティモデルでは、「外部にあるものは全て信頼できず、内部にあるものは全て信頼できる」と考えられていた。

 だが、物理的な位置に基づく信頼は、モバイルユーザーが増加し、外部パートナーが企業ネットワークへのアクセスを求めるようになると崩れてしまう。こうしたユーザーやパートナーへの過剰な暗黙の信頼から、従来のセキュリティモデルによる対策にほころびが生じ、それを攻撃者に悪用されてしまうからだ。

ゼロトラストの出番

 このところ、セキュリティ製品のマーケティングに「ゼロトラスト」という言葉が多用されている。あらゆるコンピューティングインフラストラクチャから、暗黙の信頼を排除するアプローチを簡略的に説明するのに便利だからだ。実際、ゼロトラストアプローチでは、企業リソースへの必要最低限のアクセスを必要な時間だけ許可するように、信頼のレベルが明示的かつ継続的に計算、変更される。

 「ゼロトラストは考え方であり、特定の技術やアーキテクチャではない」と、Gartnerのアナリストでディスティングイッシュト バイスプレジデントのニール・マクドナルド(Neil MacDonald)氏は説明する。

 「肝心なのは、暗黙の信頼が存在しないことだ。その排除こそがわれわれの目指す目標だ」(マクドナルド氏)

 完全なゼロトラストのセキュリティ体制は、完全には実現しないかもしれない。だが、具体的な取り組みを今から始めることはできる。

 Gartnerは、ゼロトラストを実装しようとしている企業に、ネットワークに関連する2つのセキュリティプロジェクトから始めることを勧めている。では、なぜネットワークから始めるのか。

 TCP/IPネットワーク接続は、信頼を前提とした時代に構築されたからだ。構築の目的は人々や組織をつなぐことであり、認証することではなかった。ネットワークアドレスは、良く言っても弱い識別子だ。ゼロトラストネットワーキングでは、新しい境界の基盤としてアイデンティティーを使用する。

プロジェクト1:ゼロトラストネットワークアクセス(ZTNA)

 これまでは“信頼できる”企業ネットワークからユーザーが離れると、VPNを使って企業ネットワークをユーザーまで拡張していた。攻撃者は、ユーザーの認証情報を盗めれば、企業ネットワークに容易にアクセスできた。

 ゼロトラストネットワークアクセス(ZTNA)は、アクセスメカニズムを抽象化、一元化して、セキュリティエンジニアおよびスタッフが責任を負えるようにしたものである。人とそのデバイスのアイデンティティーおよびコンテキスト(日時、地理的位置、過去の使用パターン、デバイスの状態など)に基づいて、適切なアクセス権を付与する。その結果、より安全で強靭(きょうじん)な環境が実現し、柔軟性やモニタリングも向上する。

 新型コロナウイルス感染症(COVID-19)のパンデミックによりリモートワークの比重が拡大したことで、ZTNAへの関心が強まった。メディアには、「VPNは役目を終えた」といった見出しが躍った。

 一般的に、ZTNAはVPNの代替を目的に導入されることが多いが、VPNを代替するのではなく、VPNを補強する。企業は、ユーザーが必要なものにアクセスできるようにし、クラウドベースのZTNAサービスに移行することで、VPNインフラに過大な負荷がかかるのを避けられる。

 長い目で見ると、このZTNAのセキュリティ体制は、人々がオフィス勤務に戻っても引き続き運用できる。

プロジェクト2:アイデンティティーベースのセグメンテーション

 アイデンティティーベースのセグメンテーション(「マイクロセグメンテーション」や「ゼロトラストセグメンテーション」とも呼ばれる)は、攻撃者がネットワークに侵入した後で仕掛けるラテラルムーブメント(横展開)を制限する効果的な方法だ。

 アイデンティティーベースのセグメンテーションでは、企業が個々のワークロードを“暗黙に許可する”モデルではなく、“デフォルトで拒否する”モデルに移行できるようにすることで、過度な暗黙の信頼を減らす。ネットワーク通信を許可するかどうかを判断する一環として、動的ルールを用いてワークロードとアプリケーションのアイデンティティーを評価する仕組みだ。

 アイデンティティーベースのセグメンテーションを開始するときは、最も重要なアプリケーションとサーバを少数選び、まずそれらを対象に実装し、そこから拡大していく。

 ZTNAとアイデンティティーベースのセグメンテーションを実装したら、ゼロトラストアプローチをテクノロジーインフラストラクチャ全体に展開する、他の取り組みを進めるとよい。

 こうした取り組みには、エンドユーザーシステムからのリモート管理権限の削除やリモートブラウザ分離ソリューションの試験導入、パブリッククラウドに保存された全データの暗号化、開発者が新しいアプリのために作成するコンテナのスキャン開始などが含まれる。

出典:New to Zero Trust Security? Start Here(Smarter with Gartner)

筆者 Susan Moore

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。