クラウド時代の新常識「ゼロトラストセキュリティ」とは
企業システムのセキュリティ対策は、変革期を迎えています。各種クラウドサービスの活用が一般的となり、大量データを活用したDX化が加速しています。さらにコロナ禍でリモートワーク推進が広まったことで、自宅やコワーキングスペース などの会社外の場所から企業システムへアクセスする機会が急増しました。こうした変化に、これまでのセキュリティ対策では立ち行かない問題に直面し、「ゼロトラスト」という新しいセキュリティモデルへの移行が進んでいます。この記事ではゼロトラストセキュリティの概要から、実現のために必要なことを解説していきます。
ゼロトラストは、クラウド時代に必須のセキュリティアプローチ
ゼロトラストセキュリティとは、「ネットワークのすべてを信頼せず、攻撃されることを前提とする」考え方に基づくセキュリティアプローチです。2010年、アメリカの調査会社であるForrester Research社が発表したレポートで、John Kindervag氏によって提唱されたことに端を発します。その内容は、これまで一般的だった「Verify But Trust(信頼していても検証する)」というアプローチから、「Verify and Never Trust(なにも信頼しないから検証する)」という戦略への変更を主張するものでした。
◆ゼロトラストセキュリティが注目された背景
企業システムにおける従来型のセキュリティは「境界型セキュリティ」と呼ばれ、社内ネットワークは安全とみなし、外側からの攻撃を防ぐことを重視するアプローチです。そのため社内ネットワークとインターネットの境界に、ファイアウォールやUTM、プロキシなどを設置し通信を監視・制御し、社外からのアクセスには仮想プライベートネットワーク(VPN)を活用することが基本でした。しかし昨今ではクラウドサービスの活用やDX推進の加速によって、インターネット経由のサーバー間通信が増え、ネットワークは複雑化しています。さらにコロナ禍によるテレワーク推進の影響から、社外からのアクセスが急増しました。こうした環境では、社内と社外の境界を隔てることが難しく、境界型セキュリティは機能しません。これを背景に、境界という概念を取り払った新しいセキュリティアプローチが必要となり、ゼロトラストモデルへの再構築が急がれているのです。
◆ゼロトラストセキュリティの基本原則
ではゼロトラストセキュリティとは、具体的にどのような状態を指すのでしょうか。まずはゼロトラストセキュリティモデルの7つの原則を確認しましょう。
1.データソースとコンピュータサービスは、すべてリソースとみなす
2.ネットワークの場所に関係なく、すべての通信を保護する
3.企業リソースへのアクセスは、すべて個別のセッション単位で付与する
4.リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他行動属性や環境属性を含めた、動的ポリシーによって決定する
5.企業はすべての資産の整合性とセキュリティ動作を監視し、測定する
6.すべてのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
7.企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティの改善に利用する
つまり社内外を問わず常にネットワークの安全性を疑うという基本姿勢から、ユーザーとデバイスごとの認証を重視しています。
◆ゼロトラストセキュリティのメリット
ゼロトラストが必要とされるようになった背景を念頭に置き、改めてそのメリットを整理してみます。
・社外からのユーザー利便性と、そのデバイスを守る
リモートワークによって社外からのアクセスが当たり前となったいま、VPNの活用には限界があります。またノートPCやスマホなどのモバイル端末の使用や、個人所有のデバイスを利用するBYOD(Bring Your Own Device)も想定したとき、デバイスをマルウェアから守る意味でもゼロトラストの考え方が生かされます。
・クラウドで保管しているデータを守る
クラウドサービスの利用は一般的ですが、企業の大切な機密情報や顧客情報が社外で管理されているということを忘れてはいけません。クラウドサービス上のデータの保護・管理も含めたセキュリティ構築のためには、ゼロトラストでの再設計が必要です。
・巧妙化するマルウェア対策を強める
マルウェアやシステム攻撃は日々進化し、巧妙化しています。すべてのネットワークを疑うということは、社内ネットワークも信頼しないということ。つまりそれだけセキュリティ対策が強固になります。
・不正アクセスの温床、VPNを取りやめる
VPNの脆弱性は、攻撃者に狙われやすい危険性をはらんでいます。VPN経由での不正アクセスで、莫大な損害が発生したという報道もありました。ゼロトラストセキュリティモデルでは、そもそもVPNを使わないという選択で、不正アクセスのリスクを軽減できます。
ゼロトラストセキュリティモデルを代表する4つの要素
ではゼロトラストセキュリティモデルを実現させるには、具体的に何が必要でしょうか?様々な視点がありますが、まず欠かせない4つの要素を紹介します。
◆認証と認可
すべてのユーザーがアクセスするたびに、「認証」と「認可」の2段階に分けて検証する過程を踏みます。まずは「認証」では、利用者が正規ユーザーであるかの確認をします。多要素認証を用いてセキュリティを強化しつつ、複数のアカウントを一括管理するシングルサインオンを用いて、ユーザーの利便性向上を担保するような技術が活用されています。
「認証」を受けたユーザーは次に、システム内のリソースへアクセスできるかを検証し「認可」を与えます。このとき、いつもと違うデバイスを使っていたり、国内勤務のはずが海外からのアクセスだったり、またはデバイスに必要なウイルス対策が入っていないなど、疑わしいアクセスを検出し排除できるので、不正アクセス防止に役立ちます。
◆ネットワーク
社内ネットワークという境界がなくなったゼロトラストモデルでも、境界型モデル同様に通信やネットワークでのセキュリティ対策が必要です。これまで境界型セキュリティで活躍していた、ファイアウォールやUTM、プロキシといったネットワーク上の番人役の代わりとなるものを、クラウド上で包括的に担う「SASE(Secure Access Service Edge)」や、「CASB(Cloud Access Security Broker)」、「SWG(Secure Web Gateway)」などのソリューション活用が知られています。
◆エンドポイント対策
リモートワークが主流となった現代では、マルウェアやフィッシング詐欺の攻撃先として、PCやスマートフォンといったエンドポイントが狙われています。マルウェアは次から次へと新種が誕生し、手口も巧妙化しているため、アンチウイルスソフトだけで完全に防ぐことは困難です。侵入してしまったときを想定し、EDRでの緊急対応もまた必要な対策になります。
◆ログ収集
社内サーバーや各種クラウドサービスなど様々な場所にデータが点在することや、社外からのアクセスが増加し、また使用端末も多岐に渡るなど、これまで以上にログ収集の重要性が高まっています。侵入や攻撃があったとき素早く検知し処理するために、複数機器で収集したログを一元管理し、横断的に監視することが求められています。またログを一元監視することは、検知に本当に必要なログを選別する材料にもなり、適正なセキュリティ体制づくりに役立ちます。
ゼロトラストセキュリティモデルの実現に役立つソリューション
ゼロトラストセキュリティの再設計を行うにあたり、役立つソリューションがありますので、その一部をご紹介します。
EPP(Endpoint Protection Platform)
まずはPCやサーバーなどのデバイス(エンドポイント)をマルウェア感染から守る、EPPを取り入れましょう。EPPの具体例としては、アンチウイルスソフトがそれにあたり、マルウェア感染の水際対策とも言われています。
IAM(Identity and Access Management)
IAMとは複数のウェブアプリやクラウドサービスで設定されたIDを一括管理し、利用者のアクセス権限の適切な管理を行う仕組みです。個人に依存しがちなパスワードの安全性や漏洩といったリスクを軽減することはもちろん、ユーザー認証だけでなく、デバイスのセキュリティ状態や位置情報、使用アプリの正当性などを判断を取り入れた、高度なアクセス制御が可能になります。またクラウド上で管理するIAMは、IDaaS(Identity as a Service)と呼ばれ、クラウド時代のいまはIDaaSが主流になっています。
CWPP(Cloud Workload Protection)
CWPPを用いることで、複数のクラウドサービスのワークロードをまとめて監視・保護ができます。用途や部署によって複数のクラウドサービスが使い分けられているような、マルチクラウド環境で有用なセキュリティ対策です。情報システム部門が知り得ないところでクラウドサービスが使われていては、ゼロトラストセキュリティの理念に背きます。CWPPは認可していないクラウドサービスの利用を検知することもできるので、体制づくりにも効果があるでしょう。
SOAR(Security Orchestration, Automation and Response)
SOARとは、セキュリティ対策の自動化支援を行うソリューションの総称です。ゼロトラストセキュリティを目指す過程で、増えてしまうリスク管理や脅威情報の収集と活用といったタスクを自動化し、属人化させないセキュリティ運用プロセスを目指すときに必要になるでしょう。
セキュリティエンジニア・情シス部門もフリーランスがおすすめ
クラウド化やDX対応、そしてリモートワークが加速したいま、企業システムのセキュリティ対策は新たな局面を迎えています。多くの企業がセキュリティモデルの見直しを推進しており、それを担うセキュリティエンジニアや情報システム部門の求人・案件が増えてきました。システムセキュリティ分野の専門性を生かし、さらなるスキルアップを目指すなら、フリーランスとしての参画をおすすめします。
ギークスジョブは国内最大級のITフリーランス専門エージェントとして、エンジニアのキャリアアップをサポートする体制を整えております。案件のマッチングはもちろん、書類作成の代行業務や福利厚生サポート制度などを展開しており、安心して通常業務に打ち込めるような総合的な支援サービスが好評です。
より成長できる仕事内容を求めている方、より好条件の案件を探している方は、まずは無料登録をお待ちしております。理想の働き方が実現できるよう、案件探しから丁寧にサポートいたします。
▽ 無料登録(エントリー)はこちら
https://geechs-job.com/entry
まだフリーランスになることに迷いがある方へは、独立のご相談から承ります。これまでのご経歴やキャリアの目標をお伺いしながら、お一人おひとりに寄り添ったキャリアプランのご提案をいたします。
▽ 独立相談会への無料エントリーはこちら
東京:https://geechs-job.com/event/details/1
大阪:https://geechs-job.com/event/details/2
福岡:https://geechs-job.com/event/details/3
名古屋:https://geechs-job.com/event/details/189
その他のおすすめ記事
IoTやるなら知っておこう!ハードウェアの守護神エンベデッドシステムとは|ITフリーランスをサポートするギークスジョブ
ITフリーランスの方のための『お役立ち情報』をご紹介しています。この情報のテーマはIoTやるなら知っておこう!ハードウェアの守護神エンベデッドシステムとはです。geechs job(ギークスジョブ)では、「フリーに生きる」ためのノウハウをご紹介し、ご希望のキャリアやライフプランを実現できるように、サポート致します!
ITフリーランスの案件探しならgeechs job
IT業界・企業情報の専門知識を持ったコーディネーターが、あなたに合う案件をご紹介。
ITエンジニアとしてのキャリアに弾みを付けませんか?
- ・独立して新しいキャリアを築きたい
- ・スキルを磨いて、更なる高みを目指したい
- ・今よりも高い報酬を
ITフリーランスエージェントのgeechs jobが、あなたの未来に向けて伴走します。
