2020年の新型コロナウイルスまん延により、各企業ではテレワーク導入が加速度的に進みました。感染防止や働き方の改善等メリットの多いテレワークですが、セキュリティー対策が不安でなかなか導入や長期運用に踏み切れない会社も多いのではないでしょうか。本稿では今注目のゼロトラストをテレワーク下で導入するメリットについて、従来型セキュリティーとの違いに触れながらわかりやすく解説します。
ゼロトラストがテレワーク下で注目される背景
ゼロトラストの考えが発表されたのは2010年ですが、今あらためて注目されているのにはどのような背景があるのでしょうか。詳しく見ていきましょう。
クラウドサービス・モバイルシステムの利用増加
クラウドやモバイル機器の業務利用が進んだことにより、従来の「境界型セキュリティー」では対応できない状況が増えたことが背景に挙げられます。クラウドサービスを利用すると、従来内部で守っていたリソースの多くが境界外に置かれるようになるからです。
総務省の「情報通信白書(令和3年版)」によると、クラウドサービスを利用している企業の割合は68.7%であり、2013年末の33.1%の2倍以上となっています。また2020年10月、日本政府は各省庁のシステムを集約し、クラウドサービス上での利用を開始しました。信頼性・セキュリティーに重きを置く中央省庁の根幹システムでもクラウドが使われることにより、官民含めて今後ますますクラウド利用が増加すると予想されます。
<参考>
令和3年版情報通信白書のポイント|総務省
「平成26年版 情報通信白書」の概要|総務省
日本政府、AWSベースの情報システム基盤を運用開始 デジタルシフトの起爆剤になるか(2020年10月14日)|ITmedia NEWS
テレワークの増加
2019年に施行された働き方改革やその後のコロナ禍により、テレワークが加速度的に普及したこともゼロトラストが注目されるようになった理由です。もともとクラウドサービス利用でアクセス先は境界外であったところにテレワークが増加し、アクセス元も境界外となるケースが増えたのです。
多くの企業ではこれまで、テレワーク実施のためにVPNなどが利用されていましたが、テレワーカーの増加により、VPNネットワークがひっ迫する問題が起きるようになりました。また私物デバイスを使用することによるセキュリティーリスクも問題視されるようになり、従来の境界型セキュリティーの限界が露呈したことも注目される要因です。
ゼロトラストモデルとテレワークの相性がよい理由
ゼロトラストに基づいたセキュリティーモデルはゼロトラストモデルと呼ばれており、境界型セキュリティーのデメリットをカバーすると期待されています。ここでは、ゼロトラストの考え方と構成要件について説明します。
ゼロトラストの考え方
そもそもゼロトラストとは、「何も信頼しない(zero trust)」を意味します。2010年にアメリカのリサーチ会社であるForrester Research社が提唱したもので、「全てのトラフィックは信頼できるものはない」というセキュリティーの考え方です。
従来は、社内などの信頼されたエリアからのアクセスや認可は省略する方針でセキュリティー対策が行われていました。そのため、イントラ内に入り込んだマルウェアに対応できなかったり、内部の人間による情報漏えいなどに対応しづらかったりする問題がありました。
ゼロトラストにおいては全ての通信は信頼せず、多要素認証によるユーザー認証の強化や通信経路の暗号化などの方策でセキュリティー対策を講じます。テレワークで社外から社内ネットワークへ接続する際の監視に有効なことに加え、「無許可のデバイスやITツールが使われていないか」「不要な情報にアクセスしようとする動きがないか」といったことの監視もできるため、注目されているのです。
ゼロトラストモデルを構成する七つの要件
ゼロトラストモデルを提唱したForrester Research社は、2018年に「ZTX(Zero Trust eXtended)」を公開し、ゼロトラストモデルを具体的に解説しました。ZTXではゼロトラストモデルを七つの構成要素に分けています。ここではゼロトラストモデルにおいて取られるソリューションと共に解説します。
1.ネットワークセキュリティー
ネットワークセキュリティーとは「ネットワークの中は安全・外は危険」のような前提を設けず、内外を区別せずにセキュリティー対策を行うことです。社内ネットワークだけでなく、インターネット接続を前提として対策するのが特徴です。施策としては、インターネットセキュリティーの強化や脱VPNの推進が挙げられます。
2.デバイスセキュリティー
ネットワークに接続する全てのデバイスについて安全性を検証し、社内システム・情報などへのアクセス制御を行う施策です。モバイル端末を含む全てのデバイスをネットワークから常時分離したり保護したりできるように対策します。
3.アイデンティティーセキュリティー
ネットワークにアクセスしようとするユーザーを社内・社外を問わず検証し、アクセスを制御します。必要なユーザーのみに必要最低限の権限のみ与えることで、攻撃対象領域を狭められます。
4.ワークロードセキュリティー
ワークロードとはコンピューターにかかる処理の負荷のことです。CPU使用率やネットワーク使用率など、パフォーマンスを適正な状態に保つための指標でもあります。
ワークロードセキュリティーでは、オンプレミスサーバー・クラウドサーバー問わずワークロードの状態を監視・確認することで、ネットワークやリソースなどへの不正なアクセスや改ざんを保護・防止します。
5.データセキュリティー
データを適切に分類・管理することで、アクセスする必要のないデータを別の場所へ分離し、セキュリティーを高める施策です。データの保存・転送においても暗号化して行うことや、データ保存場所を決定する方法・暗号化プロセスも含みます。
6.セキュリティーの可視化と分析
セキュリティプロセスの全てを監視・分析して可視化します。未許可のサービスやアプリケーションをユーザーが使うと管理者に連絡が行くような対策を取ることで、リスク管理向上が可能です。
7.セキュリティー運用の自動化
各セキュリティー機器やセキュリティーサービスを連携させて自動化し、集中管理します。セキュリティー担当者はより高度な専門性が必要な業務に専念でき、組織の生産性が高まります。膨大なログを管理者が1件ずつ追うことはほぼ不可能で、セキュリティーの脅威を捉えるためにも必要な施策です。
ゼロトラストモデルをテレワークに導入するメリット
ゼロトラストに基づいたセキュリティーの概要を説明してきましたが、テレワークにおいては特にデバイスやクラウドに関わる対策を行うと、ゼロトラスト導入のメリットを実感しやすいメリットがあります。ここでは、デバイスとクラウドをつなぐ「ネットワークセキュリティー」やPCやモバイル機器に関連する「デバイスセキュリティー」のソリューション例をご紹介します。
ネットワークセキュリティーの向上・最適化
従来テレワークを行う際には、VPN利用が主流でした。社内と社外の境界面にVPNゲートウェイを設置し、社外ユーザーはVPNゲートウェイを経由して社内LANに接続し、各サービスにアクセスしていました。しかしテレワーカーが増加するとネットワークがひっ迫し、通信が遅延する問題が起こります。ゼロトラストモデルにおいてはこのようなゲートウェイは設置せず、異なる方策により安全性を確保します。ソリューションの一例は下記のとおりです。
SWG(Secure Web Gateway)
SWGとは、URLフィルタやアンチウイルスなど複数のセキュリティー機能をクラウド型で提供するサービスのことです。アクセス先のIPアドレスやURLから安全性を評価し、安全でないと評価された場合にはアクセスを遮断します。社内システムに接続元から直接的に接続せず、仲介システムを介すため、攻撃リスクを下げることが可能です。通信経路を最適化することもできるため、効率的かつセキュアな接続が実現できます。
ZTNA(Zero Trust Network Access)
ゼロトラストの「全てのアクセスを信頼しない」考え方を取り入れたセキュリティー施策の総称です。ZTNAに基づいたリモートアクセスでは、ユーザーのアイデンティティー情報や端末のセキュリティー状態を接続のたびに検証します。その上で、条件に基づいてアクセスが許可されます。
ユーザーと情報資産間の通信はZTNAベンダーの提供する仲介システムを経由するため、社内システム側は常時接続を待ち受ける必要がありません。そのため、SWG同様攻撃リスクを下げることができます。また主なZTNAベンダーは世界中に多くのアクセスポイントを設置しているため、通信距離が最適化され通信が遅延しにくくなるメリットもあります。
デバイスセキュリティーの向上
テレワークにおいては個人所有のデバイスを利用するケースも増えており、デバイスの安全確保は喫緊の課題です。ゼロトラストモデルでは、接続元デバイスの安全を検証してアクセスを制御するため、テレワークと相性がよく、メリットが感じやすいです。デバイスセキュリティーのソリューションには、EDR(Endpoint Detection and Response)並びにEMM(Enterprise Mobility Management)といったものがあります。
EDR
エンドポイントである端末が攻撃されたときにいち早く検知し、ウイルスを隔離したり影響範囲を特定したりする対応を行うソリューションの総称です。攻撃を未然に防ぐのではなく、攻撃されたときの被害を最小化することが目的としています。
攻撃を防ぐことばかりを重視すると、実際に被害にあったときに発見や初動が遅れ、被害が拡大する恐れがあります。防御策に加えてEDRを取り入れて備えることで、より強固なセキュリティー確保につながるでしょう。
EMM
社用スマートフォンなどの端末を総合的に管理するシステムで、業務に個人端末を利用しているケースで特に有効です。具体的には下記のようなことができます。
- 社外で端末を紛失た際に遠隔操作でデータ消去や初期化が可能
- アプリケーションの一括インストールやデータ管理・アクセス権限管理
- 業務アプリケーションのみにVPN接続を適用
端末のビジネス利用とプライベート利用を分離するとともに、企業データの保護が可能です。
ゼロトラストセキュリティーで長期安定したテレワークの実現を
ゼロトラストの考え方を取り入れることは、「まったく新しいセキュリティーソリューションを導入する」ことではありません。ゼロトラストの目的は現状に即して利便性とセキュリティーの確保をすることにあり、複数の施策を組み合わせて行う必要があります。会社の状況によっては、VPNとテレゼロトラストを組み合わせてもよいでしょう。
IPA(独立行政法人 情報処理推進機構)のHPでは、自社のセキュリティーを診断するツールやセキュリティー関連資料・セミナー情報などが公開されています。セキュアなテレワークを実現したい方は、一度訪れてみてはいかがでしょうか。
<参考>
IPA 独立行政法人 情報処理推進機構
コメント