テレワークやリモートワークによって、働く環境はオフィスから自宅やサテライトオフィスなどへとさまざまな場所に移っています。そんな中で注目されているのがゼロトラストの考え方によるセキュリティ対策です。本記事では、ゼロトラストセキュリティの実現に必要な3つのセキュリティ対策と、ゼロトラストを実現するためのステップをご紹介します。
ページコンテンツ
セキュリティ対策は境界型からゼロトラストへ
従来では、社内ネットワークとインターネットの境界で通信を検証する、境界型と呼ばれるセキュリティモデルが主流でした。しかし、近年になりゼロトラストと呼ばれるモデルへの移行が進んでいます。
本章では、セキュリティモデルの移行が進んでいる理由についてご紹介します。
ゼロトラストとは
ゼロトラストとは「全てを信用しない」という考え方です。
この考え方に基づいて構築されたセキュリティ対策の概念をゼロトラストセキュリティと言います。
これまで主流であった境界型のセキュリティでは、「信用はするけれど検証もする」といった考え方のもとでセキュリティ対策が講じられていました。しかし、ゼロトラストセキュリティでは社内ネットワーク(内部)とインターネット(外部)どちらからの通信であっても、全てを疑い認証・認可させます。このような社内外の全てを疑うゼロトラストセキュリティが近年注目を集めています。
従来のセキュリティ対策では対応しきれなくなっている
ゼロトラストに注目が集まっている理由には、働き方・環境の変化が挙げられます。
新型コロナウイルスの流行もあり、テレワークやリモートワークを取り入れる企業も増えたことで、自宅やサテライトオフィスなどの社外で業務をする人が増加しました。また、テレワークの増加に伴い、外部にデータを保管するようなクラウドサービスの利用も増加しているため、内部と外部の境界線が無くなってきているのが現状です。
このような新しい働き方・環境を狙った攻撃への対策は従来の境界型セキュリティでは困難とされており、有効なセキュリティ対策の概念としてゼロトラストセキュリティが注目を集めています。
次章では、実際にゼロトラストセキュリティを展開するうえで必要な対策について紹介していきます。
ゼロトラスト実現のために必要な3つのセキュリティ対策
ゼロトラストを実現するためには、デバイス・ネットワーク・データの3つの視点で対策を講じる必要があります。
ここでは、3つの視点から講じることができる具体的な対策についてご紹介します。
デバイスでの対策:エンドポイントセキュリティ
ゼロトラストを実現するためには、外部から接続するPCやスマートフォンなど、デバイスのセキュリティを強化することが重要です。
上記のような端末(エンドポイント)のセキュリティ強化にはEPP・NGAV・EDRがあり、どの製品も有効ではあります。しかし未知なマルウェアやランサムウェア等はすり抜けてしまう可能性があります。また、外部接続で使用する端末管理としては、管理・制御を遠隔で行うMDMが有効です。
ランサムウェアについては、以下の記事でも詳しく解説していますのでご覧ください。
ネットワークでの対策:ネットワークセキュリティ
次にあらゆる場所からアクセスしても安全な環境を実現する、ネットワークのセキュリティ対策を行うことが必要です。たとえば、リモートアクセス、インターネットアクセス、拠点アクセスなど、通信を制御する仕組みの導入が重要です。
データでの対策:クラウドセキュリティ
データに対しても対策を講じる必要があります。
企業の重要な資産であるデータを守るためには、リモートアクセス、クラウドアクセス制御、データセキュリティといったクラウドセキュリティによって保護すべき情報を整理し、データへのアクセス制限を適切に管理することが重要です。
これら3つがゼロトラストを実現するうえで必要な管理やセキュリティです。
次章ではゼロトラストを実現するまでのステップについてご紹介します。
ゼロトラスト実現のステップ
ゼロトラストを実現するまでには、4つのステップを経る必要があります。
ここでは、それぞれのステップについてご紹介します。
STEP1:スコープの選択(境界型との切り分け)
最初のステップはスコープの選択です。
ゼロトラストは複数のセキュリティ対策を組み合わせたアーキテクチャであるため、構成方法は企業によってさまざまです。そのため、まずはスコープの選択(境界型との切り分け)を実施したうえで、セキュリティの重要度に応じた段階的・部分的に導入を進めていくことを推奨します。
STEP2:システムフロー図の作成
次に実施するのはシステムフロー図の作成です。
システムフロー図を作成するためには、企業ごとにゼロトラストアーキテクチャを特定していく必要があります。その際には、「通信アクセスを全て可視化し検証する」「全て記録に残す」「必要最低限での認可」の3つの条件を基に特定し、システムフロー図を作成しましょう。
STEP3:IDの運用管理体制と自動プロビジョニング
3つ目のステップでは、IDの運用管理体制と自動プロビジョニングの構築を実施します。
IDの運用管理体制を構築するうえで重要となるのは、アクセスしてきたユーザーが本人であるかの確認を厳密に行うことです。上記を実現するためには、パスワード以外の情報を組み合わせて認証する多要素認証などを導入する必要があります。
また、従業員(ユーザー)の退職や異動があった際にはアクセスができないように、自動的に権限を変更するような自動プロビジョニングも重要です。自動プロビジョニングが構築されていない場合、異動・退職後のアクセス権の変更が適切に行われず、不正アクセスのリスクが残ってしまう可能性があります。
STEP4:セキュリティツールの選定
ゼロトラスト実現の最後のステップはセキュリティツールの選定です。
代表的なセキュリティツールとしては以下4つが挙げられます。
・エンドポイントセキュリティ:EPP・NGAV・EDR・MDM
・ネットワークセキュリティ:リモートアクセス、インターネットアクセス、拠点アクセス
・クラウドセキュリティ:リモートアクセス、クラウドアクセス制御、データセキュリティ
・ID管理:シングルサインオン(SSO)など
このようにさまざまな製品があるため、自社のセキュリティポリシーやゼロトラストアーキテクチャに合う製品を選定しましょう。
シングルサインオン(SSO)については以下の記事で詳しく解説していますので、あわせてご覧ください。
ゼロトラストの実現はエンドポイントから!まずは自社に合ったツールの選定を
ゼロトラストセキュリティは昨今の働き方や環境の変化に対応した新しいセキュリティ対策の概念です。
実現することで、情報漏えいのリスク低減やセキュリティ担当の運用負荷軽減のメリットがあります。しかし、5GやIoTなど、新しいテクノロジーの利用にあわせて対策すべき方向性は変化していきます。そのため、常に改善していくことが重要です。
ゼロトラストのメリットについては以下記事で詳しく紹介していますので、こちらもあわせてご覧ください。
大興電子通信では、ゼロトラスト実現に必要とされるエンドポイント対策も多く提供しており、お客さまにあった最適な対策をご提案できます。
セキュリティ対策は大興電子通信にお任せください!
最適なセキュリティ対策をご提案いたします。