従来のネットワークセキュリティは,内部・外部に境界を設け,境界の外からの攻撃をブロックし,中からのアクセスのみを許可するいわゆる”境界型セキュリティ”と呼ばれる方法が主流でした。しかし,昨今のテレワーク普及も重なり,様々なサービスを社内,社外に関わらずインターネット経由で利用する機会が増加したことで,セキュリティの見直しを行う企業が増えています。
そこで,今回は”ゼロトラスト”と呼ばれる新しいセキュリティの概念について,従来のネットワークセキュリティとの違いを踏まえて解説をしていきます。
目次
1.ゼロトラストとは?
これまで,環境は専用線や社内局域网により外部から業務用のネットワーク回線へ直接接続することができない構造を取り,高いセキュリティを維持してきました。ところが,テレワークによるインターネット通信やクラウド活用の拡大により,外部ネットワークと局域网を接続する必要性が増大しました。
こうした状況に対応すべく,“サーバーや社内ネットワークに接続するデバイスやアプリケーションはすべて脅威の可能性となり得るものであり,“信頼できない”ものとして扱う”というコンセプトに基づき,すべてのノードで認証・検証を要求する仕組みやセキュリティ対策である”ゼロトラスト”が登場しました。
2.ゼロトラストが注目されている背景
インターネット上で利用するMicrosoft365(旧Office365)やSalesforce等の通信効率を向上させるため,これまでデータセンターにあったサーバーをパブリッククラウドへ移行し,メインデータセンターを経由しない構成を採用する事例が増えています。
こうした流れにより,“VPNや回線の冗長化・暗号化などを利用した社内ネットワークは安全“という前提で,外部からの攻撃者だけを想定したセキュリティ対策では対応が難しいケースが増えています。
例えば,DDoS攻撃は外部からのアクセス自体には害が無くとも,大量のトラフィックによりサーバーやネットワークに過剰な負荷をかけることで機能を停止させる攻撃方法です。また,正常なアクセスを装って不正な動作を行う悪意のあるソフトウェアやコードを送り込むマルウェア攻撃は,一度内部へ侵入されてしまうと境界型セキュリティでは対応できません。
では,ゼロトラストの場合はどのように攻撃者·不正を排除·コントロ,ルするのでしょうか。
3.ゼロトラストのセキュリティ対策
ゼロトラストは,次のような特徴を持セキュリティ対策です。
- エンドポ@ @ントでのセキュリティを重視
- ネットワ,クにおけるゼロトラスト·コンセプトの実現
- クラウド型セキュリティ
上記に加え,監視·モニタリングの自動化が挙げられることもあります。
3 - 1。エンドポ@ @ントでのセキュリティを重視
エンドポ▪▪ントとは,端末およびサ▪▪バ▪クラ▪▪アントに接続するセッションのことです。エンドポイントセキュリティとは,接続されるデバイス(端末)の管理および認証の仕組みを中心としたセキュリティソリューション群であり,以下のような対策が可能です。
- 認証済みのデバ▪▪スでないとネットワ▪▪クに接続を許さない
- 異常な接続を検知したらすぐに接続を切断する
- 感染した端末からマルウェアを除去する
これらはEDR(端点检测和响应)というソリューションによって実現します。昨今のテレワーク・モバイルデバイスの普及により,EDRソリューションの重要性はますます高くなっています。クラ▪アント端末に侵入があった場合の検知·防御(ids / ips)も一連のedrに含まれるものです。
3 - 2。ネットワ,クにおけるゼロトラスト·コンセプトの実現
従来の境界型セキュリティにおいては,ネットワークの暗号化・冗長化などの技術によりネットワーク内の安全を保つ手法がとられていました。一方で”ネットワークは外部・内部問わず開放されており,あらゆるアクセスも信用しない”というゼロトラストのアプローチでは,より重要なのは接続の認証です。そのためには,すべてのデバイスのトラフィックの出所を確認し,各ノードでの不必要な接続を許さない仕組みが必要です。さらに,ログを取った後に検証し,不正な接続があった場合に原因を特定できるようにしておくことも必要です。
こうした管理を実現するのが,我(身份和访问管理)とよばれる技術で,ID・位置情報など,本人認証を精密に行い,アクセスを最小限にすることで正しいユーザーおよび正しい目的のアクセスのみを許すためのソリューションを導入します。このようなネットワ,クを"ゼロトラストネットワ,ク"と呼ぶことがあります。
3 - 3。クラウド型セキュリティ
ゼロトラストにおけるクラウド型セキュリティは,ゼロトラストネットワークについて紹介した接続認証・アクセス制限の管理ができる我によるセキュリティと,クラウドサービスそのもののセキュリティ監視・アクセス制限などがあります。
インターネット経由でのクラウドサービスの利用は,不適切な設定によりデータ流出やアカウントの乗っ取り,好ましくないサードパーティ製アプリの接続を許してしまうなど,セキュリティの脅威を生むことがあります。そこで,クラウドセキュリティの管理強化のため,多数のクラウドサービスを管理者が俯瞰的に把握,コントロール可能なソリューションが求められます。こうした課題に応えるのが,CSPM(云安全的姿势管理)です。CSPMとは,複数のクラウドサービスの設定ミスやガイドライン違反がないかを継続的にチェックし,コントロールを高めるセキュリティソリューション/システムです。
2008年に設立の米セキュリティ企業であるZscaler社が展開しているCSPMの主な機能について,以下で簡単に紹介します。
Zscaler社のCSPMの特徴とは?
- クラウドの構成ミスの可視化と対策の実行
- コンプラ▪▪アンスのレポ▪▪トと対策の実行
- アプリケ,ション脆弱性の防止
- コンテナ環境の保護
- 大きなデ,タ保護プラットフォ,ムの一部
CSPMはコンプライアンスの保証のために,SaaS, IaaS, PaaSのアプリケーション構成ミスを自動的に識別して修正する機能となります。また,クラウドの構成ミスを防止して,可視性の統一と修復の自動化を可能にするメリットがあります。
サービスプロバイダーが低コストで魅力的なクラウドソリューションを提供しているこの時代において,一つのクラウドサービスに依存する構成は,可用性・BCPの観点からもあまり理想的ではありません。CSPMは多数のクラウドサービスを使っている際に問題となる,手動では途方もない時間がかかるような管理を自動化することができます。
通信事業者である柯尔特は,Zscaler社と提携し"セキュアネットワクゲトウェサビスを提供しています。柯尔特のインターネット接続サービスである柯尔特IP访问,柯尔特IP VPN,柯尔特SD WANのオプションとして導入いただくことで,よりセキュアなインターネット接続環境を実現します。
3 - 4。モニタリング·監視の自動化
実際にこれだけきめ細かく認証・ログの採取・モニタリングなどを行うとなると,社内の它ないしセキュリティのリソース,特に人員確保が非常に困難です。しかし,セキュリティを確保するためのタスクには,ある程度定型化されているものが多いため,自動化や効率化が可能です。
そこで,翱翔ソリュ,ションを使うことなどが方法として考えられます。高飞とは安全编排,自动化和响应(=監視および検知・自動のインシデント関連タスク管理・自動応答)を意味します。高飞ソリューションは,不正の予防、除去とインシデントおよびこれらに関するタスクの管理を自動で行うことで,ヘルプデスクとセキュリティ専門部署の行うタスク・ワークフローまで管理できるため,最新のポリシーをオペレーションフローに反映させることや記録化・文書化が容易になります。
4.境界型セキュリティとゼロトラストセキュリティの違い
冒頭にもありました通り,境界型セキュリティとはネットワークの内と外を”境界“で分けて考え,ネットワークの外にあるリスクから防御するアプローチを指します。ネットワークの内と外が画然としている専用線や,インターネットに一切接続しない社内局域网の環境であれば,きわめて高いセキュリティを発揮することがメリットです。
一方,ゼロトラストセキュリティは社内ネットワークの内外問わず,接続されるあらゆるデバイスやトラフィックも信用せず,高度な認証や技術的なアプローチでセキュリティの脅威に対処するものです。認証されたユーザーと端末だけがアクセスできる環境のため,社内情報などの漏洩を防げることがメリットといえるでしょう。
4 - 1。境界型セキュリティの今後の見通し
両アプロ,チの違いは,相互補完的に働くものといえます。
ゼロトラストセキュリティは,個々のデバイス・アクセスに着目しており,社内ネットワークの入り口で100%に近いレベルで攻撃をブロックできることが重要な防御のコンセプトです。では,ゼロトラストの考え方を突き詰めれば社内と社外のネットワークにはファイアーウォールや,ゲートウェイなどの垣根がなくてもよい,と言い切れるかというと,それではオープンなネットワークにある攻撃にダイレクトにさらされるうえ,攻撃の確率も上げてしまうことになります。
このように,境界があること·境界を中心に防御を考えることの重要性は変わりません。境界型セキュリティ,ゼロトラストセキュリティのアプローチとしては,どちらかが優れている,ということではなく,ネットワークの利用目的や自社環境に合わせて選択することに意味があるといえます。
5.ゼロトラストをめぐる世界の動き
新型コロナウesc escルス感染症の影響もあり,世界全体でゼロトラストへの注目度が高まっています。Okta日本が日本、亚太地区(アジア太平洋),EMEA(欧州,中東,アフリカ),北米を対象に実施した零信任的“国家安全”2021年調査によると,今後18カ月の間で全世界の7割~ 9割以上がゼロトラストの取り組みを実施するというデータが出ています。一方で,日本では”ゼロトラストの導入予定はない”という回答が3割強となっているなど,他地域と比較するとやや取り組みへの遅れがみられるといえます。
出典:“ゼロトラスト導入実態調査” https://japan.zdnet.com/article/35175613/
6.まとめ
“どれだけゼロトラスト化を進めているか”と,“どれだけ万全なセキュリティ対策ができているか”はイコールではありません。
ゼロトラストと境界型セキュリティはそれぞれに強みがあり,“適材適所“で組み合わせることによりサイバー攻撃に対する防御力を高めることが可能となります。
補強できる弱点がある場合は,どのように自社のセキュリティ対策を強化すべきかよく検討した上で各種ソリューションを導入することをお勧めします。
関連サ,ビス
上記記事で紹介したサ,ビスや,関連サ,ビス一覧となります。
お客様のご利用用途に合わせた最適なネットワーク・セキュリティソリューションをご提案いたしますので,ぜひ柯尔特へお問合せ下さい。
