どこから始める? ゼロトラストの第一歩、全体像を考えるヒント:働き方改革時代の「ゼロトラスト」セキュリティ(11)
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、企業や組織がどこからゼロトラストに取り組んでいけばよいのかを考えます。
ゼロトラストについて学ぶ本連載『働き方改革時代の「ゼロトラスト」セキュリティ』では、「ゼロトラスト」のコンセプトの解説を中心に、いまなぜゼロトラストが必要とされているのかについて考えてきました。今回から、「どこから始める? ゼロトラストの第一歩」として、企業や組織がどこからゼロトラストに取り組んでいけばよいのかを考えます。
どこから始める? ゼロトラスト
ゼロトラストは単体の製品やソリューションではありません。ゼロトラストは、複数の機能によって構成された、セキュリティのコンセプトです。
例えばステレオコンポでは、アンプやCDプレーヤー、スピーカー単体では音が鳴らせないように、それぞれの機能を連携させて初めて音楽が再生できるようになります。
ゼロトラストも同様に、それぞれのコンポーネントを連携させて機能させる必要があります。ゼロトラストは役割に応じた、下記のような幾つかのコンポーネントで構成されます。それぞれがコンポーネントの機能として提供されるサービスや製品を組み合わせてゼロトラストを構成します。
- IDaaS(ID as a Service)などのクラウド型統合ID基盤
- CSPM(Cloud Security Posture Management)やCASB(Cloud Access Security Broker)などのクラウドセキュリティ
- EDR(Endpoint Detection and Response)やEPP(Endpoint Protection Platform)などの端末セキュリティ
- SWG(Secure Web Gateway)などのインターネットへのアクセス制御
- 動的なポリシーと利用者の状態によって認証認可をするコンテキストベースのアクセス制御
ゼロトラストに取り組むと決めたときに、多様なゼロトラストのコンポーネントや製品を前にして、どこから手を付けるかは非常に悩ましい問題です。果たして、いま取り組むべき本当に必要なものは何でしょうか? どこからゼロトラストを始めればよいのでしょうか? そこで、まずは自分たちに必要なゼロトラストの全体像を考えるようにします。
ゼロトラストで何を守るのか
ゼロトラストの全体像を考えるに当たって、まずは、自分たちがいま、何を守れていて、何を守れていないのかを知る必要があります。
現実問題として、境界型セキュリティで守られた内部ネットワークの中は、標的型攻撃による侵害が発生しています。一度侵入が成功した攻撃者は、正規利用者のアカウントを奪い取り、ネットワークの内部で正規利用者と同じようにデータにアクセスします。インターネットとの境界を強固に防御していても、ネットワーク内部で動作していたソフトウェアが更新によって改ざんされ、裏口になってしまえばなすすべはありません。
内部ネットワークという信頼への依存は、複雑化、巧妙化するサイバー攻撃の脅威を前に、今後ますます危うさを増す状況です。さらに、費用対効果が高く、柔軟で利便性の高い商用パブリッククラウドサービスはますます進化しています。組織におけるSaaSやIaaSなどのクラウドサービスの活用はとどまるところを知りません。個人ではもはや、スマホを中心にクラウドサービスを利用しない日はないといえるような状況です。
働き方改革とともに感染症対策によって推奨されたテレワークは、新しい生活様式として定着しつつあります。東京都内のオフィス空室率は11カ月連続で上昇し続けており(参考:東京オフィス空室率、11カ月連続で上昇傾向|楽待不動産投資新聞)、オフィスへの出勤がなくなりつつある職場も多くあります。
従来の境界型セキュリティの抱える現実的な問題とともに、クラウドサービスの活用、テレワークの導入によって、これまでネットワークの内側で守ってきたはずのデータや人の存在がネットワークの外側へと移っています。これまでのようにオフィスの建物やデータセンターなど、目に見えるものを伴って守られていた境界が、いまやあいまいなものとなっています。
このような状況で、従業員が勝手にクラウドサービスを使ったり、デバイスを持ち込んだりしてしまうシャドーITや、管理が届かない個人の自宅ネットワークの利用など、新たなセキュリティの問題も生じています。
組織を取り巻く環境や課題を正しく理解するには、組織が資産として保有しているデータや端末、利用者や利用者にまつわるアイデンティティーが、どのような形で存在するのかを把握する取り組みが重要です。
- 境界型ネットワークの内部にあるシステムや端末の把握
- 境界型ネットワークの内部にある利用者の環境の把握
- 境界型ネットワークの内部で運用されているアイデンティティーの把握
- 契約しているクラウドサービスの把握
- クラウドサービスで運用されているアイデンティティーの把握
- テレワークの利用実態の把握
デジタルによる業務が当たり前になった現在、その形態が変化すれば守り方も変わります。その考え方の一つがゼロトラストです。上記の取り組みによって把握した組織の現状を基に「どこに課題があるのか」「ゼロトラストのコンポーネントをどのように適用すれば解決できるのか」を考えます。
ゼロトラストの旅路
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
当社のゼロトラストはどこまで進んでいる? Microsoftが「ゼロトラストアセスメントツール」をリリース
Microsoftは2020年4月2日(米国時間)、ゼロトラストセキュリティ対策状況の評価を支援する「ゼロトラストアセスメントツール」を開発したと発表した。ゼロトラストセキュリティフレームワークに基づくセキュリティ対策の取り組みが、どのような段階にあるかを、企業が判断するのに役立つという。
コンテナ、サーバレスなどクラウドネイティブに求められる「開発者に優しいセキュリティ」がゼロトラストな理由
コンテナ、マイクロサービス、サーバレス、そしてアジャイル/DevOpsといった、デジタルトランスフォーメーション(DX)時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。
「人とパケットは違う」――セキュリティの一線で活躍するエンジニアが語る「本当の信頼」とは
「ゼロトラスト」のコンセプト発案者であるPalo Alto NetworksのJohn Kindervag(ジョン・キンダーバーグ)氏。農場の仕事に比べたらITの仕事は楽と笑顔で語る同氏がセキュリティに出会い、やがてゼロトラストという考えに至ったきっかけとは何だったのか。