ブログ記事
ゼロ トラスト セキュリティとは?
IT環境に関する新しい考え方として、ゼロ トラスト セキュリティはその概念の中核として、信頼できるユーザー、デバイス、接続は存在しないとしています。ゼロ トラスト フレームワークでは、すべての接続リクエストに対して動的な認証と認可が求められます。これによってセキュリティは、外部からのアクセスを防止と侵入者に突破されてからのラテラル ムーブメントを制限することで、セキュリティが強化されます。
ゼロ トラスト セキュリティとは
ゼロ トラスト セキュリティとは、IDが完全に照合され本人確認ができるまで、ネットワーク内外の誰も信頼すべきではないというセキュリティの考え方のことです。
ユーザーが従業員としてすでに社内ネットワークに存在していても、リソースへのアクセスを許可する前に必ず認証を求めます。
従来のセキュリティとゼロ トラストの違い今日では、静的なネットワークの境界型のセキュリティ対策では、もはや効果的とは言えません。ゼロ トラストを活用すれば、ネットワーク対策に頼ることなく資産、ユーザー、リソースを保護できます。
ゼロ トラストのユース ケースは、組織によってさまざまですが、3つの例として、グローバルに分散したチーム、マルチクラウド接続とクラウド間接続、非正規社員アイデンティティ(ID)について説明します。
なぜ今、ゼロ トラスト セキュリティなのか
組織内では、複数のサテライト オフィスがあって本部に接続されているリモートの従業員がいることが、往々にしてあります。チームも従業員もリモートなので、多くの組織では「クラウド」リソースとアプリケーションを用いてチームに接続します。これらのリソースは従来のネットワークでは対応できないため、従来のセキュリティ ツールやプロセスではあまり効果を期待できません。一部の企業ではリモート ワーカーとリモート オフィスに、VPN(仮想プライベート ネットワーク)や仮想デスクトップ インフラストラクチャを用いてリソースにアクセスできるようにしています。
しかしながら、これらのオプションは効率的ではなく、負担も多くなります。ゼロ トラストでは、クラウド リソースにアクセスする前にユーザーが企業ネットワークに接続する必要はありません。ユーザーIDとデバイスを把握することは、アクセスがセキュアで適切であることを確認するうえで不可欠です。
ゼロ トラスト セキュリティの課題
ゼロ トラスト セキュリティ環境では、基本的にすべてのネットワークを信頼せず、最小権限の原則*に基づいてアクセス権を付与します。最小権限の原則に基づいて、誰が現在どのリソースに対してアクセス権をもっているかだけではなく、誰がどのような状況でアクセス権をもつべきかを把握する必要があります。
- *最小権限の原則とは、すべてのユーザーに対して職務遂行のために最低限のアクセス権のみが付与されることを意味します。
ゼロ トラスト セキュリティ環境では、企業のシステムによってユーザーの行動は監視され、継続的に認証が行われます。疑わしい行動が検出されると、ユーザーはログアウトされ、再認証を求められます。
変化するIT環境とアクセス管理
従業員は使用するデバイス、作業場所、プラットフォームを変えることも多いため、ゼロ トラスト セキュリティ環境ではユーザーのセキュリティ確保と認証を継続して行う必要があります。さらに、ネットワークへのアクセス後もユーザーを定期的に再認証しなければなりません。SaaSのビジネスアプリケーションをはじめ、在宅勤務者のIT機器、マルチクラウド環境などITリソースの種類やハードウェア、勤務場所が多様化してきています。
重要なユーザーに対するアクセス権限の管理が不十分
企業がアクセス管理を運用出来ているユーザータイプは、従業員が84%、次いでソフトウェア(68%)、契約社員(67%)という調査結果がでています*。グローバルな製造業のサプライチェーンはパンデミックで大きく影響を受けましたが、提携先や工場などパートナー企業へ適切にアクセス制御が出来ていたケースはわずか55%と、驚くべき結果となりました。
手作業が中心のアクセス制御
従業員、IT機器、アプリケーション、クラウド環境などの膨大な数を考えると、すべてを適切に制御することは大変な作業です。実際に企業はどのように運用しているのでしょうか。ある調査*によると、アクセス管理業務の自動化について、ポリシー管理を行なっている企業が69%あるにも関わらず、55%が手作業によって運用していると回答をしました。これは、企業がセキュリティ対策を講じるうえで、必要な変更や更新を見逃す可能性を示唆しています。
- *出典:アイデンティティはゼロ トラストの要 セキュリティおよびITの専門家を対象としたグローバル調査(Dimensional Research | 2021年10月)
マルチクラウド接続とクラウド間接続
マルチクラウド接続とクラウド間接続は、組織がクラウド サービスやクラウド コンピューティング(ID)を別のクラウド リソースにアクセスさせて作業を行う際に生じます。この通信はメイン ネットワークを通過せずに「クラウド内」に留まるため、悪意のある攻撃者がこの通信を乗っ取ってその他のクラウド リソースへアクセスすることを防ぐうえで、クラウドIDのセキュアで統制の取れたアクセス ポリシーが大変重要になります。
大きな課題の1つは、クラウド プロバイダーによって実装する方法が異なることです。これは、モノのインターネット(IoT)デバイスがクラウド リソースにアクセスする際も同様です。ただし、ゼロ トラスト アプローチでは必ずしもIoTデバイスを制御しません。このアプローチで管理されるのは、アクセス関連のIDです。
非正規社員ID(契約社員、派遣社員、ベンダーなどのサード パーティ)
非正規社員やサード パーティを企業ネットワークに接続する際は、多くの企業がゼロ トラスト哲学「ネットワーク内外の何者も信じない」を活用します。組織がセキュリティをネットワーク レイヤーのみにしか提供していない場合は、サード パーティに対するアクセス権限の付与は重大なセキュリティ リスクを生じさせることになります。しかしながら、ネットワークの内外にいるいかなるID(ユーザー)が必要なアクセス権限のみを付与されていて、適切に管理されていることを確保することで、企業のリソースはセキュアな状態を維持できるようになります。
ゼロ トラスト セキュリティの鍵、ID管理とは
ゼロ トラスト セキュリティ実現に向けて抑えておきたいポイントが2つあります。
ID管理の一元化
セキュリティの境界線がネットワークから個人へシフトした今、すべてのユーザーを外部ユーザーと見なす必要があります。特にクラウドサービスの利用の高まりで個人が所有するIDは、IT部門が想定する3.5倍と言われています。これらの膨大なアカウントを一元管理するのがゼロ トラスト セキュリティを実現する第一歩と言えるでしょう。
アクセス権や利用状況の可視化
ユーザーが「誰であるか」、「どこからアクセスしているのか」、「目的は何か」、「どのタイミングで実行しようとしているのか」、など複数の確認を行い、動的な視点からユーザーの信頼性を検証しなくてはなりません。より多くのID情報を収集、蓄積できれば、検証の精度が向上し、AIや機械学習を活用することでよりレベルの高いアクセス権の付与が可能になります。
一方で、IDデータは膨大なため、人間がすべての情報を手動で選別することは不可能です。では、どうすれば優れたセキュリティやコンプライアンスを維持しながら、IT部門の業務負荷をかけずに、効率的なアクセス制御を実現できるでしょうか?
まとめ
どのゼロ トラストのユース ケースが組織に合うかに関わらず、中核となる戦略として採用することで、進化し続ける脅威に対して防御する能力が向上します。しかし、ゼロ トラストは概念であり、単一のセキュリティ製品やソリューションではないことに、ご留意ください。
エンド ツー エンドのゼロ トラストを達成するには、一連のステップとプロセスが必要です。しかしながら、ゼロ トラストは「ゼロかイチか」の概念ではありません。企業はすでに実装されている効果的な戦略と戦術を拡張し続けることができます。
