巧妙化するサイバー攻撃、ハイブリッドワーク時代のセキュリティー対策 ゼロトラスト
組織に対するサイバー攻撃は年々増加しており、その手口も巧妙化しています。
テレワークの台頭、クラウドシフト、SaaSの普及により、接続するデバイスの場所と接続先のデータが多様化する中、新たなセキュリティの考え方として、「ゼロトラスト」が注目されています。
ゼロトラストとは
ゼロトラストモデルでは、セキュリティ脅威は社外ネットワークだけでなく社内ネットワークにもあると考え、保護すべき内部リソースにアクセスするものは全て信用せずに検証します。
従来の境界防御を前提としたセキュリティモデルでは、守るべき情報資産は境界の内部にあり、脅威は外部から来ることを前提として対策を行ってきました。しかし、クラウドサービスの利用拡大やテレワークなどのような働く環境の多様化により、ネットワークの内部と外部を隔てる「境界」そのものが曖昧になりつつあり、対策として不十分となってきています。そこで、「ゼロトラスト」の考え方に注目が集まっているのです。
ゼロトラストのメリット・デメリット
・安全性を保ちながら多様な働き方に対応できる
ゼロトラストセキュリティを導入することで、社内・社外を問わず継続的な認証を行って安全性を確認し、安心して社内ネットワークにアクセスできるようになります。また、会社の端末だけでなく、私物の端末でも同様に認証が行われるため、安全なBYODが可能です。
・クラウドサービスを安心して業務に利用できる
クラウドサービスの通信ログも検査対象となるため、クラウドサービスへのアクセスが社内外どこから・誰からであっても厳しくチェックした上で認証されます。従来のクラウドサービスのセキュリティ面で不安が残り利用をためらっていた場合でも、安心して業務利用ができるようになります。
・セキュリティ管理が統合し、運用効率化を図れる
従来の境界セキュリティモデルでは、セキュリティ機器の導入・運用の際に複雑な設定を各機器ごとに行うことが必要でした。一方ゼロトラストセキュリティでは各セキュリティ機能をクラウド上で統合して実装し、全てのアクセスに対して同じように厳重な認証を行うため、運用、管理を効率化することが可能です。
デメリット
・コストと時間がかかる
ゼロトラストネットワークは、単一のソリューションを導入するだけで実現できるものではありません。実現するためには認証を始めとする複数のソリューションやサービスを組み合わせて環境を構築する必要があります。そのため、従来の境界モデルからゼロトラストネットワークを移行する際にはコストと時間がかかってしまいます。
・利便性を損なう可能性
ゼロトラストは前提としてあらゆるアクセスに対して継続的な認証を行うことでセキュリティを高めます。いままでストレスなく利用していたシステムに対しても認証が発生することで、利便性が一部低下する可能性があります。
ゼロトラストを実現するソリューション
IPA(独立行政法人 情報処理推進機構)の資料「ゼロトラスト導入指南書」および「ゼロトラストのすゝめ」を参考に、ゼロトラストを実現するソリューションをいくつかご紹介します。
-
SASE
「SASE(Secure Access Service Edge)」とは、従来別々で提供されてきたネットワークとセキュリティの機能を一体化しクラウドサービスで提供する考え方です。 SASEはゼロトラストの「働く環境が社内に限られなくなったため、社内のみ効果がある境界防御では不十分」という考え方に基づいています。 ネットワークとセキュリティをクラウド上で統合的に管理できればこの課題を解決できるため、SASEは利用者・デバイスのいる場所を問わず、システムをセキュアに利用できるオールインワンサービスと言えます。 - SASEの主な要素
・ZTNA((Zero Trust Network Access)
ゼロトラストの考え方に則り、アプリケーションやデータレベルでユーザーのアクセスを制御するサービスです。
・SWG(Secure Web Gateway)
Webアクセスの制御や可視化などWeb通信の保護を主目的としたサービスです。
・CASB(Cloud Access Security Broker)
あらゆるクラウドサービスの利用を可視化・制御して、一括管理するサービスです。
・SD-WAN(Software Defined Wide Area Network)
物理的なネットワーク上に仮想的なWANを構築し、ソフトウェアにより通信の監視や制御を行うサービスです。 -
EDR/EPP(エンドポイントセキュリティ)
ゼロトラストモデルの考え方では、社内・社外どちらからのものであれ、PCやサーバー、モバイルといったエンドポイント端末からの通信すべてを信用せず検証します。 「EDR (Endpoint Detection and Response)」は、被害の拡大を防ぐべく、エンドポイントにおける不審な挙動を検知して迅速な対応を行うためのソリューションです。 「EPP(Endpoint Protection Platform)」は、いわゆるアンチウイルスソフトと呼ばれるマルウェアに感染しないよう検知する製品で、一般にEDRにその機能は含まれます。
プロダクトCheck Point Harmony Endpointの特長
・脅威対策や不正アクセス防止等の感染を未然に防ぐ対策から、感染後の対策・調査、暗号化対策、端末管理までエンドポイントで必要となる機能をオールインワンパックで提供
・ランサムウェアからの被害も自動修復機能により対処
・最新の脅威情報ナレッジデータベースにより、フィッシングサイトを検知
・包括的な管理コンソールで運用におけるTCOを削減
詳細ページへCheck Point
Harmony Endpoint -
無害化ソリューション
「すべてを信用しない」というゼロトラストの考え方は、メールやWeb等様々な経路を経て組織外から入ってくる"すべて"の対象ファイルの無害化により攻撃を未然に防ぐコンセプトを持つVotiro社のファイル無害化ソリューションとの親和性があります。
プロダクトファイルが有害なコードやマルウェアを含んでいる可能性を重視し、メールの添付ファイルや、インターネットからダウンロードしたファイルを無害化(サニタイズ)する新しいタイプのアンチマルウェア製品です。 詳細ページへVOTIRO Secure File Gateway
・SWGとZTNAを兼ね備えた、ワールドワイドで3,000社以上の導入実績を誇るCheck PontのSASEソリューション
・きめ細かなデバイスポリシーチェックにより継続的な認証を実施
・最小10ユーザーから導入可能なライセンスモデル
詳細ページへ