情報セキュリティの中心
ゼロトラスト
新型コロナ感染対策により急速に進んだテレワークにより、企業のネットワークと情報セキュリティの姿が大きく変わろうとしています。その中心となるのがゼロトラストです。
ゼロトラストとは、Forrester Research社が2010年に提唱した考え方で、「社内は安全である」という前提で境界を守るセキュリティ対策ではなく、「全て信頼できない(ゼロトラスト)ことを前提として、全てのユーザとデバイスの検査やログの取得を行う」という情報セキュリティ概念です。
境界線はありません
ゼロトラストセキュリティは、「信頼できる内部ネットワーク」と「信頼できない外部ネットワーク」という考え方をとりません。モバイルやクラウドを導入するということは、ネットワーク境界中心のセキュリティという考え方が通用しなくなるという事です。
代わりに、従業員、出向社員、パートナー、契約社員など多様なユーザーが、どのような場所やデバイスやネットワークからでもセキュアにアクセスを可能にする必要があります。
ゼロトラストセキュリティのアーキテクチャを構築・構成する上での特効薬などはありませが、ゼロトラストセキュリティの導入に関しては最初に、Userアイデンティティとアクセスの管理を主要テクノロジーとして検討することが必要です。この概念に基づく防御システムをゼロトラストモデル、または、ゼロトラストネットワークといいます。
「ユーザーやデバイス」の状態に応じ、信頼の有無を都度確認し、各リソースへのアクセス許可を与える考え方
増大する脅威と境界型モデルによる防御の限界
DX活用の促進や業務効率が向上した一方、セキュリティリスクが顕在化し脅威が増大
これまでの境界型モデルと呼ばれる情報セキュリティ対策は、ネットワークを安全な社内と危険な社外とに分け、その境界にファイヤウォールなどのセキュリティ機器を設置するもので、現在ほとんどの企業が採用しています。
境界型モデルの弱点のひとつは、ひとたびウイルスが侵入すると内部からのサイバー攻撃に弱いことです。また、社外でのクラウド利用など、境界を通らない通信は防御できません。
現在は、クラウドが普及したことにより、外側であるインターネット上に保護すべきものがある状況が珍しくありません。このように、守るべき対象がさまざまな場所に点在するようになったことで境界が曖昧になり、従来の考え方では十分な対策を講じることが難しくなっています。
- 社外にいる時も、社内と同じセキュリティレベルが欲しい・・。
- 本社にあるUTMを導入済みだが、ビジネススタイル変革に伴い通信量増大で、負荷対策・増強が必要・・。
- ダウンロードするファイルの検査も行いたい・・。
- 巧妙化するフィッシングサイトから守りたい・・。
- 侵入対策だけでなくEDRも強化したい・・。
- モバイル環境下でMDMは導入しているが、マルウェアを含むセキュリティ対策が出来ていない・・
- 会社端末においてiOSとAndroidが混在している・・。
- 標的型攻撃やランサムウェア、フィッシング、「怪しいメール」等、メール経由での攻撃が増大している・・。
- パスワード付き添付ファイルの検査が出来ていない・・。
ゼロトラストモデルと構成要素
ゼロトラストモデルでは、デバイスが社内にあっても社外にあっても、また、情報資産が社内にあってもクラウドにあっても、全ての通信をエンドポイントとクラウドで防御します。
ゼロトラストモデルの防御は、端末防御、ネットワーク、認証、クラウド制御、運用管理という5つの要素により実現されます。それぞれについて、様々な製品やサービスが存在し、目的に合ったものを適切に組み合わせる必要があります。
ゼロトラストが注目される背景の1つに、急速に広がるワークスタイルの変化があります。
企業内のITシステムは、コロナ禍とDX(デジタルトランスフォーメーション)の流れもあり、今後3年~10年で「クラウドシフト」が更に加速していきます。
企業内にあった業務システムがクラウドサービス上で稼働する事になるため、ネットワークの整備が不可欠です。更に、いつでも・どこでも仕事ができるように環境下では、オフィスの外で利用するデバイスの紛失やウイルス感染などによる情報漏えい対策も重要になります。
働き方改革やテレワーク、クラウドシフトによって、旧来のネットワークトポロジーとセキュリティの考え方が変化し、ゼロトラストの重要性が大きく高まっています。
シャドーITとは、企業などの組織内で用いられる情報システムやその構成要素(機器やソフトウェアなど)のうち、従業員や各業務部門の判断で導入・使用され、経営部門やシステム管理部門による把握や管理が及んでいないもの。
組織内では業務用に正規に設置された機器や配線、ソフトウェアなどの他に、従業員が持ち込んだ私物のスマートフォンやタブレット端末、USBメモリなどのデジタル機器、私用の端末上で動作するソフトウェアや消費者向けネットサービス、当該部署が独自に決済して導入した機器やシステムなどが用いられることがある。
これらが経営層や情報部門の関与や認知を経ずに「知らないうちに」導入されて利用されている状態をシャドーITという。適切な管理下にあれば防げたはずのマルウェア感染や情報漏洩、外部からの攻撃などのセキュリティ上の問題を生じたり、事前の設計と異なる通信機器の設置や配による通信障害を招く場合がある。
Data Loss Prevention (以降DLPと記載)は、DLPは情報漏えいを防ぐことを目的とするセキュリティツール、システムです。従来のシステムと異なり、データそのものを監視して情報漏えいを防ぐため、高い効果が期待できます。
DLPは特定のデータの持ち出しやコピーを検知し、自動的にブロックすることが可能です。機密情報の特徴をDLPに与えることで、判別も自動的に行えるようになります。
従来のシステム・情報漏えい対策は、”ユーザーを監視すること”で対策してきました。
しかし、最も多く使われるユーザーIDとパスワードを用いたユーザー認証では、正規のユーザーによる情報漏えいを防ぐことはできません。
また、操作ログの取得により、ユーザーの行動を監視することも可能ですが、ログの量やアラートの量が非常に多く、運用の負荷が大きくなる問題もありました。
DLPではユーザーではなく、データそのものを監視することで、正規ユーザーによる情報漏えいまで防ぐことができます。また、特定のデータのみを監視するため、無用なログやアラートを減らすことができ、運用負荷を軽減できるのです。
ゼロトラストモデルへの段階移行
STEP:1 境界型防御
クラウド利用の普及、働き方改革によるテレワークの推進、及び標的型攻撃などサイバー攻撃の高度化によりゼロトラストモデルへの関心は高まっていましたが、コロナ禍でこの流れが一気に加速しました。但し、ゼロトラストモデルに直ちに移行できるわけではありません。
多くの企業は急増するテレワークに対応するため、まず、境界型モデルのままリモートアクセス環境の整備・増強を行いました。その際、Web会議などによるトラフィック増や自宅からのInternet利用への防御が課題となりました。
STEP:2 ゼロトラスト併用
次フェーズでは、トラフィック増へ対応するため、自宅や社内各拠点から直接クラウドサービスにアクセスできるようにします。
この時、クラウドへの通信をゼロトラストモデルのクラウド制御で防御します。
そして、マルウェアなどがウイルス感染対策(EPP)をすり抜けた場合でも、PCの振る舞いやログからその不審な挙動や痕跡を検知するEDRで端末防御を強化します。外部のSOCサービスでログ解析や監視を展開。
STEP:3 ゼロトラストが中心に
さらに進むと、自宅から社内への接続をVPNによるリモートアクセスから、クラウド制御によるInternet接続に切り替え。これにより、リモートアクセス機器が不要になり、機器の脆弱性対応や負荷管理などの運用も不要となります。
最終的には、拠点間を結ぶ企業内の閉域網もInternetが多く使われるようになり、全てのデバイスがその場所によらずクラウドで統一的に防御されて社内のサーバやクラウドサービスにアクセスするゼロトラストモデルが実現します。この様に、ゼロトラストは情報セキュリティだけなく企業のネットワーク変革を実現させていきます。
NDK Total Networking & SASE Cloud インフラ
- SDN(SD-WAN)
- WAN最適化
- QoS
- SaaSアクセラレーション
- ルーティング
- コンテンツ Delivery・Cashing
- セキュアゲートウェイ
- CASB
- ZTNA・VPN
- FWaaS
- リモートBrowser分散
- 暗号化/復号
低コスト・運用レスによって中小企業でも
導入可能なゼロトラストセキュリティを提供
日本電通は、長年にわたり情報通信事業/ネットワーク事業を担って参りました。
次世代ICT技術でネットワーク環境の最適化、コストと品質・効果のバランスを図り、あらゆるネットワークの課題を解決致します。
Core事業領域
Network/音声/Web・TV会議/セキュリティ/サーバ/クラウド/データセンタ/回線/モバイル等のICTインフラをコンサル~デザイン~エンジニアリング~保守・運用まで高品質・高水準なサービスをワンストップで提供致します。
NDK ICT Bussiness Solution
NDKゼロトラストSolutionを最適にご提案!
日本電通は、業種/事業規模、お客様クラウド/デバイス環境等々に応じ、
エンド
ツーエンドでTotalにサポート!
DX推進やハイブリッドワークを含めたワークスタイル革新のご支援を致します。
ソリューションイメージ
