2022年8月19日コラム
セキュリティの世界ですっかりバズワード化してしまった感もある「ゼロトラスト」。
インターネット上に溢れる記事を読んではみたものの、究極の多層防御とも言える重層的なソリューション群を見て、「ウチのような規模の会社にはムリ…」と、そっとページを閉じた企業も多いのではないだろうか。
本書では、ゼロトラストとは何か、なぜ今注目されているのか、といった基本をおさらいしつつ、既存リソースを有効活用し、コストを抑えてゼロトラストを実現していくアプローチについて、2回シリーズで紹介する。
「最近ゼロトラストってよく聞くけど今さら聞けない」という方や、「興味はあるけどスキルやコストなどの面で難しそう」と思い込んでいる方は、ぜひ参考にしていただきたい。
「境界型防御」の限界と「ゼロトラスト」
ビジネス向けIaaS市場で圧倒的なシェアを誇るAWS(2006年に公開)などクラウドサービスが急成長するなか、守るべき情報資産が企業の内部から外部へと出て行き、それまでの境界型防御(サイバー空間を、社内ネットワークとインターネットなど社外ネットワークで分けて、その境界線で防御を固めることにより、社内の情報資産を守るというセキュリティ対策)では、情報資産を守り切れなくなってきた。
そこで新たに提唱されたのが、社内からのアクセスを含め、情報資産に対するすべての通信について、信用・信頼できない(=ゼロトラスト)という前提で、しっかり認証・認可しログを取得・監視するべしという考え方である。
国内においても、少し前までは、情報資産の拡散を防ぐためUSBメモリの使用や業務PCの持ち出しを禁止し、社内の情報資産を守るためにUTMアプライアンスを導入するなど、境界型防御が圧倒的であった。
この状況が大きく動き出すのが、2015年以降の“働き方改革”あたりからだ。リモートワーク・テレワークの導入拡大にともない情報資産が拡散。さらにその後、国を挙げてDXの取り組みが加速し、クラウド化が急速に進展したことも情報資産の拡散に拍車をかけた。
だが、「ゼロトラスト」がここまで注目されるようになったのは、なんと言っても2020年以降のコロナ禍の影響が大きい。感染症対策として、多くの企業が半ば強制的にテレワーク導入を強いられた結果、Web会議ツールを利用したオンライン打ち合わせや、オンラインストレージでの重要データの共有がごく当たり前になった。
ここに至り、業務PCを含むワークプレイスも、守るべき情報資産も社外というのがデフォルトになり、ゼロトラストという考え方が広く受け容れられるようになったというわけだ。
ニューノーマル対応で分かれる、企業の「ゼロトラスト」導入
コロナ禍による働き方の大転換がトリガーとなって注目を集める「ゼロトラスト」だが、現時点でこれを完全に実現している企業はほとんどないのではないか。そう言える理由については次章で解説するとして、問題は、圧倒的多数のゼロトラスト未導入企業にとって、ゼロトラスト(の考え方に基づくセキュリティ対策)を導入すべきかどうかだ。まん延防止等重点措置の解除などを受け、最近では早々にテレワークに見切りをつけて、全員がオフィスに出社するコロナ以前の働き方に戻そうとする動きも見られる。
もし貴社が同様の方針であれば、ゼロトラスト導入を急ぐ必要はないだろう。そうではなく、テレワークを制度化して一定規模で継続したい、意外に好評だったからクラウド活用も推進していきたい、ということであれば、ゼロトラストについて正しく理解した上で、できるところから、自社にあったアプローチで実現を目指すべきと考える。
ゼロトラストの考え方はその後拡張され、「ネットワーク・セキュリティ」「デバイス・セキュリティ」「アイデンティティ・セキュリティ」「ワークロード・セキュリティ」「データ・セキュリティ」「可視化と分析」「自動化」の7つの要件が定義された。注目すべきは各要件に対応するソリューションの種類(数)で、下表にざっくりまとめただけでも軽く2桁を超えている。
1つで7つの要件すべてをクリアする、“ゼロトラスト・ソリューション”があれば良いのだが、残念ながら現段階では、そのような製品は見あたらない。ゼロトラストを実現するには、これらソリューションを1つずつ選定する必要がある訳で、それを知った時点でゼロトラストへの興味・関心を失う企業が多いことも納得できる。
| 要件 | ソリューション |
|---|---|
| ネットワーク・セキュリティ | SWG (Secure Web Gateway) |
| SDP (Software Defined Perimeter) | |
| デバイス・セキュリティ | EDR (Endpoint Detection and Response) |
| EPP (Endpoint Protection platform) | |
| MDM (Mobile Device Management) | |
| アイデンティティ・セキュリティ | IAM (Identity and Access Management) |
| ワークロード・セキュリティ | CWPP (Cloud Access Security Platform) |
| データ・セキュリティ | DLP (Data Loss preventon) |
| 可視化と分析 | CASB (Cloud Access Security Broker) |
| SIEM (Security Information and Event Management) | |
| 自動化 | SOAR (Security Orchestraion and Automation Response) |
参考まで、各ソリューションの目的(期待効果)など概要を簡単に紹介しておく。
この2~3年、ゼロトラストに対する企業の興味・関心が高まるなか、セキュリティベンダをはじめ、ネットワーク製品ベンダやクラウド事業者など、様々なベンダがゼロトラスト関連ソリューションをリリースしはじめている。
だが、前述のとおり、それ1つですべてを網羅する製品はなく、自社の既存セキュリティ製品(サービス)を中心に、いくつかの製品(サービス)を寄せ集め、連携する形で“ゼロトラスト・ソリューション”としているケースがほとんどだ。「ソリューションを1つひとつ選定していくのは大変すぎる」「ノウハウがなくて何からはじめたらいいかわからない」という企業にとっては、単一ベンダにまかせるメリットはあるかも知れないが、いずれにしてもかなり大きな投資が必要になることには変わりない。
このように、「従来のセキュリティ対策とは大きく異なる」「対策対象がID・デバイス・データ・ネットワークと広範」「対応するソリューションの種類が多く大きな投資が必要」と、乗り越えなければならない障壁が連なるゼロトラストだが、あきらめるのはまだ早い。既存の資産を有効活用し、コストを抑えて、ゼロトラストを実現していく方法がある。まずは下表をご覧いただきたい。
さきほどの表に、各ソリューションに該当するマイクロソフト製品(サービス)を追記したものだ。
ご覧のとおり、マイクロソフトが提供する製品(サービス)によって、11のソリューションをカバーすることが可能だ。これらのうち、Azure Active DirectoryとMicrosoft Defender for AntivirusはOS(Windows 10 / 11)の標準機能として提供され、コストをかけずに導入できる。
そのほかについても、大半はMicrosoft 365 E5で標準提供され、E5以外のMicrosoft 365を導入している企業は、プランを変更するだけで利用開始できる。 これなら、製品選定に時間をかけずに、大きな投資も必要とせず、ゼロトラストへのアプローチが可能だ。なにより、マイクロソフトブランドの安心感もある。
しかし、従来のセキュリティ対策とは考え方がまったく異なることもあり、スキル的に自社だけでは不安…という企業も多いことと思う。また、オンプレミスでActive Directoryを運用しているケースでは、Azure ADへの移行をどうするか、なども重要課題となる。
このあたりのノウハウに不安がある企業や、リソースが限られているので自社の負担を軽減して導入を進めたい企業は、パートナーとして、ゼロトラストおよびマイクロソフトのセキュリティに詳しいベンダを選定することをお勧めする。クラウドサービスやクラウドインテグレーションを主力事業とするNSW株式会社もその1つだ。
同社は、コンサルティング、導入支援(要件・設計)、運用支援(移行・運用設計・運用)、教育など、多数の伴走型サービスを多数提供しており、Microsoft 365をコアに据えたゼロトラスト構築について豊富なノウハウと実績を誇る。
