企業の情報システムにおいてクラウドサービスの採用やリモートワークが一般化するにつれ、「ゼロトラストセキュリティーモデル」(以下、ゼロトラスト)が注目を集めるようになってきた。ゼロトラストはあくまでもコンセプトであって、厳密な定義は存在せず、特定の製品や技術を指すわけでもない。「実態が分かりにくい」「何を基準に製品やソリューションを検討すればいいか分からない」と感じる人も多いだろう。

 そこで今回は、実際に企業の情報システムにゼロトラストを組み込む際に、製品やソリューションを選ぶポイントを見ていく。ゼロトラストは広範囲の技術要素を含む概念だが、筆者は大きく4項目にポイントを整理できると考えている。

認証、ネットワーク、モバイル、ログ――4項目のポイントを押さえる

 まず、ゼロトラストを提唱し始めた米国の市場調査会社Forrester Research(フォレスターリサーチ)が2018年に公開した「ZTX(Zero Trust eXtended)フレームワーク」を参考にしつつ、構成要素を整理したい。「ZTXフレームワーク」では、ゼロトラストの導入を検討する際は下図にまとめた7つの領域について考慮すべきであるとしている。

ゼロトラストセキュリティーで考慮すべき7つの領域
(米Forrester ResearchのZTXフレームワークを基に筆者が作成)
[画像のクリックで拡大表示]

 今日では、ユーザー(図中の「People」)が物理的な場所や時間にとらわれず働くというワークスタイルが増えてきた。そのため、企業の資産であるデータ(同「Data」)は社内・社外を問わずさまざまなネットワークを流れ、オンプレミスやクラウドなど多様なインフラ上で動作するサービス(同「Workloads」)で利用される。データやその処理結果を保存するデバイス(同「Devices」)も、デスクトップパソコンだけでなく持ち歩き前提のノートパソコン、スマートフォン、タブレットなど多岐にわたる。このように各所に分散したデータを守るには、ログの取得などによる可視化(同「Visibility and analytics」)と、サービスの自動化(同「Automation and orchestration」)が重要だ――これが「ZTXフレームワーク」の考え方である。

 この7つの要素を念頭に置きつつ、企業システムにゼロトラストの製品やソリューションを導入する際に検討すべきポイントを整理すると、以下の①~④になる。

①ユーザー認証とアプリケーションのアクセス認可
ユーザーを特定し、必要なデータ(リソース)にアクセスするために必要最小限の権限を付与する必要がある。これを「最小権限の原則」と呼ぶ。

②インターネット中心の接続環境
閉域網中心のネットワークを前提としたセキュリティー設計を見直し、インターネット中心の接続環境を想定した対策をする。

③安全なモバイルデバイス活用
モバイルデバイスは社内ネットワークで自社向けのアプリケーションを利用するだけでなく、他社とのコミュニケーションやインターネットでの情報収集などを目的に外部ネットワークに接続するため、脅威にさらされやすい。モバイルデバイスが脅威の侵入口となるのを避けるため、端末ごとに単体でセキュリティー対策を施す。

④ログの取得分析と可視化
近年はサイバー攻撃の手口が高度化している。対抗するには各領域でログを取得して、複数領域の痕跡を相関分析し、システム全体で起こっている事象を可視化する必要がある。

 もう少し具体的なイメージをつかみやすくするため、これらを企業の情報システムに組み込んだ際のシステムの構成図を見てみよう。上で挙げた①~④の項目が、下図の①~④に相当する。

ゼロトラストを企業システムに組み込んだ際の構成図
(図は筆者作成、以下同)
[画像のクリックで拡大表示]

 ネットワーク環境はインターネット接続を前提とし、クラウド事業者が提供するセキュリティー関連サービスを活用する。例えばユーザー認証とアプリケーションのアクセス認可には、クラウド上のIDaaS(IDentity as a Service)を利用する(図中の「①認証・認可」)。オンプレミスのシステムにインターネット経由でリモートアクセスする際は「SDP」(Software Defined Perimeter)を用い、プロキシーにはクラウドサービスとして提供される「SWG」(Secure Web Gateway)を導入する。こうしたクラウドサービスの統制と可視化は、「CASB」(Cloud Access Security Broker)が担う(図中の「②ネットワーク」)。

 モバイルデバイスのセキュリティー対策としては、ポリシー管理のためにMDM(Mobile Device Management)を、振る舞い検知による未知の脅威向けにEDR(Endpoint Detection and Response)を利用する(図中の「③デバイス」)。ログの収集と分析はSIEM(Security Information and Event Management)で実現する(図中の「④可視化」)。

 では、①~④の実現手法を詳しく見ていこう。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。