ゼロトラストを真に機能させる“11項目” 「テレワーク拡大期のネットワーク移行」は何が不十分だった？：「誤解だらけ」のゼロトラスト

企業などの組織のネットワーク構成は、コロナ禍における在宅勤務の急速な拡大に伴って大きく見直されました。VPN装置の増強を進めたり、ゼロトラストセキュリティの考え方を取り入れたりするなど、対策を進めた組織は多いでしょう。その対策が部分最適で終わっていないか、ゼロトラストセキュリティを真に機能させるには何が必要なのかなどを見直してみましょう。

[石塚 健太郎（A10ネットワークス）, 編集：遠藤文康，＠IT]

　企業のネットワーク構成は、新型コロナウイルス感染症（COVID-19）の流行期において大きな変化を迫られました。出社禁止の動きとテレワーク実施の増加、クラウドサービスやWeb会議の利用拡大といった変化の中で、多くの組織が直面した最初の問題は、「リモートアクセス用VPN装置の処理能力不足」（その多くはSSL VPN装置）と、「リモートアクセス回線の帯域幅不足」でした。

　社内システムへの接続時のみならず、社外からクラウドサービスを利用する場合にも、リモートアクセスにまつわる同様の問題を引き起こすことがありました。境界防御を維持する場合、VPNで一度社内を経由してからクラウドサービスに接続する形態になることがあるからです。

　帯域幅の逼迫（ひっぱく）、あるいは輻輳（ふくそう）は、ユーザー体験の低下や業務効率の低下を招きます。その対策として多くの企業が採用したのが、VPN装置やネットワーク帯域幅の増強です。その後、COVID-19が「5類感染症」に認定されると出社回帰の動きが広がりました。ただし完全に以前の状態に戻ったというより、一般的にはハイブリッドワークの体制が維持されているのが以前との大きな違いです。

VPN増強だけでは解決できなかった

　ネットワークインフラに目を向けると、変更が部分最適にとどまったケースが少なくありません。例えば、VPNの増強は進んだ一方、境界型防御に内在するセキュリティリスクへの対処が不十分だったことです。

　近年は、特にSSL VPN装置の脆弱（ぜいじゃく）性が頻繁に見つかっています。もちろん、VPN装置の脆弱性ばかりが原因というわけではありませんが、組織内部への侵入を許すリスクの高まりが指摘されるようになりました。その背景には、テレワークで境界防御の外側で業務を遂行する機会が増え、攻撃者が組織のネットワークにより容易に侵入しやすくなる状況が生まれたこともあります。

　そうした中でゼロトラストセキュリティへの関心が高まっていきました。実際にその検討が加速したことは確かですが、導入についてはそれほど進んでいない部分もあるのが現実です。

「SSL VPNをZTNAに変更した」のにゼロトラストにならない

　そこでここからは、ゼロトラストセキュリティを実現する上でありがちな誤解について述べた上で、真に機能させるためのポイントをまとめていきます。

　ゼロトラストセキュリティは、「決して信頼せず、常に検証する（Never Trust, Always Verify）」という考え方を基本原則とします。このゼロトラストセキュリティについて、前回は、以下のポイントが重要であるということと、その考え方についてのよくある誤解について述べました。

• 暗黙の信頼を置く領域を作らない
• リソースへのアクセスへの認証・認可を動的に実施する
• アクセスに付与する権限は常に最小権限とする

　ゼロトラストセキュリティを実現する上でありがちな誤解としては、次の3つが挙げられます。

1．リモートアクセスだけを守っても実現しない

　第1の誤解は、テレワークへの対応策として『ゼロトラストネットワークアクセス』（ZTNA：ゼロトラスト型のリモートアクセス制御）を導入すればゼロトラストセキュリティが実現できているというものです。

　ゼロトラストセキュリティはリモートアクセスだけに関わるものではありません。以下のようなリソース全てに関わるものであり、テレワーク対応以外にも組織内のネットワークで対応すべき点が多々あります。

• 組織内から組織内外へのアクセス
• クラウドサービスへのアクセス
• 提供しているAPI
• 保管されているデータ

　同様の誤解として、SSL VPNをZTNAに置き換えればゼロトラストセキュリティを実現できているというものもあります。前回も述べたように、特定のツールを導入すればゼロトラストセキュリティが実現できるわけではありません。

2．認証は「入り口」に過ぎない

　第2の誤解は、認証を強化して二要素認証（Multi-Factor Authentication; MFA）やシングルサインオン（SSO）を導入すればゼロトラストセキュリティは実現できているというものです。もちろん認証の強化は重要で、結果としてセキュリティが強化される側面はあります。ただし、認証はあくまでリソースへの入り口を制御しているに過ぎず、認証が通ったら組織内のネットワーク全体にフラットにアクセスできるようでは既存のVPNと何も変わりません。

　認証だけでなく、併せて以下の要素も重要です。

• そのリソース（特にファイルやデータなど）に本当にアクセスする権限があるかどうかの「認可」の精緻化
• 最小権限に基づくアクセス制御
• 動的なポリシー適用

　具体的には、例えばファイル共有システム上のファイルにアクセスする場合でも、その端末とユーザーがそのファイルやフォルダにアクセスしていいかどうかを細かく設定し、端末やユーザーの状態の変化に応じてアクセス可否を動的に変更するようにしていく取り組みなどが必要です。

　SSO（シングルサインオン）も、一度認証すればどこにでもアクセスできるような“従来型のSSO”ではなく、認証後も裏では継続的にアクセスを検証し、異常を検知したらセッションを無効化して再認証するゼロトラスト型のSSOである必要があります。

3．本質は「境界型防御をやめる」ではない

　第3の誤解として、組織内ネットワークへの暗黙の信頼をやめた（≒境界型防御をやめた）からゼロトラストセキュリティは実現できているというものです。よく「ゼロトラスト＝何も信用しない」という表現が使われてしまっているのでそう思いがちですが、どちらかというと「ゼロトラスト＝常に検証する」という方が正しい表現と言えるでしょう。

　重要なのは上記のように端末やユーザーの状態をコンテキストに合わせて評価し、継続的に監視して認証・認可を実現する取り組みです。認証・認可と言ってしまうと、ついID中心で考えがちですが、どちらかというと“IDにひも付くコンテキスト”が重要になります。単純な例ではありますが、例えば同じIDでもこれまで日本国内からアクセスしていたのに急に海外からのアクセスがあった場合などは、そのアクセスを十分検証する必要があります。

　同様にゼロトラストセキュリティの取り組みそのものに対しても常に検証していくことが必要で、一度設計したら終わりではなく、継続的に評価・改善していく運用が必要になります。

誤解されたゼロトラストにありがちな構成

　ゼロトラストセキュリティを実現していると誤解されている場合にありがちな構成としては、以下があります。

• SSL VPNの代替としてZTNAを入れただけ
  • 認証した後はフラットなネットワークにログインできる
• MFAやSSOを入れただけ
  • 認証後の個々の権限設定はしていない

　また、動的な監視を行うためのツールとして「EDR」（Endpoint Detection and Response；端末の監視と制御）や「CASB」（Cloud Access Security Broker；クラウド利用の監視と制御）、また「SIEM」（Security Information and Event Management；セキュリティ情報の統合監視と管理）などがありますが、これらのツールを導入していても、監視が不十分だったり相関分析を実施するなどの連携が取れていなかったりすれば、その効果を有効に引き出せているとは言えません。

ゼロトラストセキュリティを機能させるためのポイント

　上記の誤解を踏まえ、ゼロトラストセキュリティを現実に機能させるために不足しがちな要素を以下に挙げます。

• 詳細なIDと権限設計、およびデバイスの信頼性評価
  • 個々人やデバイスの権限をより詳細に、かつ動的に決める
  • デバイスのパッチ状態やEDRの正常稼働などを常に検証する
• コンテキストに基づく動的なアクセス制御
  • 単純な認証・認可だけでなく、デバイスの健全性やユーザーの振る舞いに応じた制御を行う
  • コンテキストに照らした異常検知と通信セッションの遮断を行う
• 可視化と相関分析・自動化
  • 全てのアクセスをログに残し、ログの集約と可視化および相関分析を行う
  • 即時のセッション遮断やMFAの強制など、発見された異常に対して自動化されたリアルタイム対応を実施する
• リソースを中心とした保護（アクセス制御）の考え方
  • ネットワークにアクセスするための認証だけでなく、データなどのリソースを保護する
  • データの正しい分類や暗号化・アクセス制御、データ損失防止の取り組みを実施する
• 全組織的な取り組みとインシデントを前提とした運用
  • セキュリティ部門だけでなく、業務部門も含めて連携（業務影響を考慮したポリシー設計など）する
  • インシデント発生時に検知・封じ込め・復旧ができる運用体制を導入する
  • ポリシーの定期的見直しやインシデントからのフィードバックなど、継続的な改善に取り組む

　最後に継続的な改善について述べさせていただいている通り、これらを一度に導入することは困難です。最初から完璧を目指す必要はなく、重要なリソースへの対応から始めるなど、段階的な導入も重要です。また、セキュリティの考え方全般に言えることですが、特に長期的な取り組みになることから、業務の生産性を落とさないよう、ユーザー体験を重視した導入が現実的には重要となります。

---

　本稿ではテレワークにまつわる企業・組織のネットワークの変化とゼロトラストセキュリティ実現における誤解と重要なポイントについて述べてきました。次回は出社回帰で再び重要な拠点となった企業拠点のネットワークとその変化について述べます。

著者紹介

石塚 健太郎（いしづか・けんたろう）

A10ネットワークス株式会社　ソリューション開発・推進部 部長／情報安全確保支援士／博士（情報学）

自社製品を用いた各種ソリューションを他社ソリューションとの連携も含め検討・開発・提案している。デジタル庁においてもネットワークエンジニアリング業務に従事。