検索
連載

今の境界防御セキュリティは古くて無駄になる?――テレワークをきっかけに始めるゼロトラスト導入、3つのポイント特集:境界防御からゼロトラストネットワークへ、今求められる理由と対応方法(2)

アイティメディアは2020年9月7日にオンラインで「ITmedia Security Week 秋」を開催した。本稿では、ラックの仲上竜太氏の特別講演「ニューノーマル時代のゼロトラストセキュリティのはじめ方」を要約してお伝えする。

Share
Tweet
LINE
Hatena

ラック セキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長 仲上竜太氏

 新型コロナウイルス感染症(COVID-19)の感染拡大をきっかけに急速に浸透したテレワーク。以前は多様な働き方を実現する手段としての側面が強かったものの、感染拡大以降は、「新しい生活様式」を実現する手段として会社全体で常態的にテレワーク導入を決めた企業も多い。新たな日常として定着しつつあるテレワークだが、全ての利用者が自宅などからオフィスネットワークに接続する利用形態が主流になるにつれ、気になるのがセキュリティだ。

 2020年9月7日にオンラインで開催された「ITmedia Security Week 秋」において、ラックでセキュリティプロフェッショナルサービス統括部 デジタルペンテストサービス部長を務める仲上竜太氏は「ニューノーマル時代のゼロトラストセキュリティのはじめ方」と題した特別講演の場で、テレワーク常態化時代において、解決すべき「3つの『混』」が存在すると語った。


テレワークにおけるネットワーク利用形態の変化(仲上氏の講演資料から引用)

混雑、混在、混入――解決すべき「3つの『混』」

 「1つ目は『ネットワークの混雑』。社内ネットワークに接続するため、VPN装置にアクセスが集中してしまい、トラフィックが輻輳(ふくそう)してしまう。2つ目は『オンプレミス/クラウドサービスの混在』。企業でもクラウドサービスの利用が進み、クラウドサービスにアクセスしつつ、従来のオンプレミスの社内サービスにアクセスすることで、双方にデータが分散してしまう。3つ目は『機密データと私用データの混入』。BYOD(Bring Your Own Device)であっても在宅で使用するネットワークは社員が用意する。ネットワークレベルで私物データと機密データの混入が起こってしまう」(仲上氏)

 特に3つ目の「機密データと私用データの混入」では、仲上氏は「意外とネットワーク環境が見落とされがち」と指摘。PCは支給しても個人宅のネットワーク機器や回線までは用意できないことによる脆弱(ぜいじゃく)性の存在に課題感を示した。

 例えば安価なWi-Fiルーターが使用されているケースではSSIDとデフォルトパスワードが共通となっていたり、管理画面のパスワードに共通のものが使われていたりするため、個人宅のネットワークに誰でも接続できてしまうという。

 個人宅のネットワーク機器や回線までを企業が管理することは事実上不可能といえる状況下で、一体どうすればセキュリティを保証しつつ新しい生活様式に準拠したテレワークを実施できるのか。

 仲上氏は「5GやIPv6といった新たなネットワークテクノロジーを使っていくに当たって、さまざまな観点で考えるべき課題が見えてきている。今回訪れたテレワークの常態化をきっかけにしてゼロトラストセキュリティ導入の取り組みを進めるのはどうか」と語り、ゼロトラストセキュリティによるセキュリティアプローチを紹介した。

ゼロトラストとは一体何か?

 では一体、ゼロトラストとは何なのか。仲上氏はまず、これまでのセキュリティアプローチは社内/社外といった、ゾーンによる静的なアクセスコントロールによって「過去の認証を信用する」という観点で組み立てられるものだとした。

 一方でゼロトラストによるアプローチは、ユーザー認証、デバイス認証、信頼度(信頼スコア)によるアクセスを動的にコントロールし、常に「過去の認証を信用しない」ものだという。

 「ゼロトラストの前提として、ネットワークの外側だけではなく内側を信用しないことが挙げられる。以前アクセスできたとしても、次回アクセスした場合にそのユーザーが本当に正規ユーザーなのかどうか、正規のアカウントでログインしても、それが攻撃者かどうか、1分1秒単位で認証する」(仲上氏)

 ゼロトラストが信用するのは、「登録された端末かどうか」「OSやアプリケーション、アンチウイルスソフトのパターンが最新かどうか」「端末が感染していないかどうか」「許可されていないアプリケーションが導入されていないかどうか」などだという。ゼロトラストはこれらをリアルタイムに検証し続けて常にアクセスコントロールする。


ゼロトラストモデルの信用の源泉(仲上氏の講演資料から引用)

 仲上氏は、次のようにゼロトラストを整理した。

  • 暗黙のゾーンを信用しない
  • 常に最新のポリシーで信頼度を検証する
  • 全てのリソースへのアクセスを検証する

 ゼロトラストは、境界型防御の否定ではなく、暗黙的な信頼を極限まで最小化し、動的に認証するものとして、仲上氏は次のように語った。

 「ネットワークの内側/外側といった考え方や、内側に接続するためのVPN接続などの概念を取り払うことによってインターネットの良いところを最大限に活用できる。いろいろな働き方に応じてさまざまなネットワーク環境から安全にアクセスできるようになる」

ゼロトラストセキュリティは、どう始めればよいのか?

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  4. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. ChatGPTやClaudeのAPIアクセスをかたってマルウェアを配布するPython用パッケージ確認 Kasperskyが注意喚起
  7. CrowdStrikeが引き起こした大規模障害の根本原因はメモリアクセス違反、Microsoftが確認
  8. 商用国家安全保障アルゴリズム(CNSA)の期限となる2030年までに暗号化/キー管理サービス市場が60億ドルに達するとABI Researchが予測 急成長の要因とは?
  9. 「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介
  10. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
ページトップに戻る