リモートワーク導入で注目されるゼロトラスト 取り組むべきセキュリティ対策は?
ゼロトラストという概念自体は10年以上前からありましたが、クラウドシフトやリモートワークの推進で近年その注目度が高まっています。基本的には、セキュリティ対策をしている社内ネットワークだから大丈夫と過信してはいけない、「信頼できるところなどない」というのがゼロトラストの考え方です。そのため、従来通りのセキュリティ対策ではなく、新たなセキュリティソリューションによる取り組みが必要です。
ゼロトラストとは
従来、企業ネットワークのセキュリティでは、企業の内部ネットワーク(イントラネット)と外部ネットワーク(インターネット)を区別し、その境界をしっかり守ればいいと考えられていました。境界を防御するのがファイアウォールのようなネットワークセキュリティで、これによって要塞化することがセキュリティだとされていたのです。
しかし、2000年代に入ると、「攻撃されない」という前提にたつのではなく、米国防総省が発信した「もし攻撃されても被害を最小限にする対処ができなければいけない」という考えが普及してきました。
そして、2010年にゼロトラストという概念が提唱され、米国国立標準技術研究所(NIST)により2020年8月に「NIST SP 800-207」の最終版のレポートが公開されています。
このレポートでは、ゼロトラストは以下のように説明しています。
- ゼロトラストアーキテクチャとは、ネットワークが侵害されている場合でも、不確実性が最少になるように設計されるアイデアの集合体
- その結果としてのネットワークインフラと運用ポリシー
つまり、「内部ネットワークだから信頼できる」と考えるのをやめ、「何も対策をしなくていい場所などない」という考え方がゼロトラストです。
現在の企業活動では、内部のネットワークと外部のネットワークを明確に区別できません。多くの人が日常の仕事でさまざまなクラウドサービスを使っていますが、これは、インターネットを経由してアプリケーションサーバにアクセスし、仕事をしているということです。また、コロナ禍によって急速に進んだリモートワークも、社員が社内ネットワーク上にいない状況です。クラウドやリモートアクセスが日常になっている企業ネットワークは、すでにゼロトラストネットワークだといえるでしょう。
防御すべき境界が明確ではないため、完璧な防御は難しいのが現状です。このため、セキュリティは被害最少化へとマインドチェンジする必要があります。
従来型のセキュリティとゼロトラストにおけるセキュリティの違い
従来型のセキュリティとゼロトラストにおけるセキュリティにはどのような違いがあるのでしょうか。
ファイアウォールの仕組みと限界
従来型の境界防御のひとつが、ファイアウォールです。これは、境界を通過させる通信と通さない通信をリスト化し、コントロールする仕組みです。「このネットワークから来た通信は、このサーバにアクセスしてよい」や「この端末はこのネットワークに入ってよい」というように、ルール設定します。
しかし、社員が自宅からアクセスすると、このルールに合致しなくなります。このため、VPNで社内ネットワークをインターネット上に延伸して対処するのが一般的です。インターネット上に暗号化でトンネルを作り、その中を通っている限りは社内ネットワークにいるとみなすわけです。ただし、このVPNの仕組みは、あらかじめ何人分と決めて設計してある場合が多く、コロナ禍で急にリモートワークの社員が増えて、その回線が不足するという問題も起きました。
ゼロトラスト化でのリスク
従来の境界セキュリティは、境界の内側にある端末は信頼できるものという前提の仕組みになっています。一度社内リソースであると認証されれば、その後いつでも、どのシステムにでもアクセスできる状態です。企業ネットワークが内側と外側に完全に分けられている状態では、この方法で十分でした。
しかし、現在は境界で明確に分けることが難しいため、セッションごとに信頼性を確認せよというのが、ゼロトラストで求められていることです。そこで必要となるのが、動的なアクセス制御です。
ゼロトラストはサイバー攻撃対策に特化した内容であるため、社内リソースにアクセスする時に必要なネットワークセキュリティに重きを置いて対策を求めていますが、それだけで社内リソースを守れるわけではありません。
例えば、BYODで個人のスマホやタブレットを社内システムに接続することを許可している場合、仕事で使っている間は認証・許可の元に通信をしていますが、それ以外のプライベートの時間帯は、通常のインターネットに繋いでいるかもしれません。外出先で無料Wi-Fiに接続することもあるでしょう。もし、その時に悪意のあるソフトウェアをインストールされてしまっていたら、その感染した端末で社内システムに接続する可能性があるということです。
ゼロトラストにおけるセキュリティ対策の手法
現在、サーバは自社データセンターだけでなく、IaaSなどのパブリッククラウドにもありますし、SaaSを利用している業務も多くあります。一方で、クライアントもオフィス内のPCだけでなく、リモートワークで自宅から繋ぐことや、個人のスマホやタブレットの利用が進んでいます。企業ネットワークにおいて、いつどこにセキュリティホールがあるか、完全に監視することは難しいのが現状です。
そこで取り得る解決策は、ネットワークではなく端末を常に可視化・制御するための仕組みを導入するということです。ゼロトラスト化に伴い、端末セキュリティはこれまで以上にケアが必要になっているのです。
EDR
例えば、そのためのソリューションとしてEDR(Endpoint Detection and Response)があります。エンドポイントセキュリティに特化し、以下のような機能を提供します。
- エンドポイントの動作を監視し記録する
- ログデータを解析してサイバー攻撃の兆候を検知する
- 感染したデバイスの特定や被害状況の把握
- 感染したデバイスを隔離するなど、感染拡大を防ぐ
- マルウェア削除などの復旧
IT資産の衛生管理
EDRは、万が一デバイスが不正アクセスを受け、マルウェアに感染した場合に対処するものですが、そもそも不正アクセスされても感染させないようにしておくことも重要です。それが、IT資産の衛生管理です。OSのアップデートやセキュリティパッチの適用を怠ると、サーバやパソコンに脆弱性がある状態になります。攻撃者はこの脆弱性を利用して攻撃をしかけてくるので、デバイスは常に最新の状態にしておく必要があります。
また、自宅から無線LANアクセスポイントを持ち込んで勝手に設置したり、勝手に個人の端末で業務システムにアクセスしたりするなど、情報システム部門が管理できないデバイスが社内ネットワークに存在するのも危険です。このようなことを防ぐため、管理されたデバイスを常に最新の状態に保つサイバー衛生管理の仕組みも、エンドポイントセキュリティには重要です。
まとめ ゼロトラストではエンドポイントセキュリティが重要
アプリケーションが社外にあるSaaSやIaaSやPaaSなどクラウドの利用、コロナ禍で導入が一気に進んだリモートワークといった業務形態の変化で、もはや企業ネットワークの内部と外部を明確に区別することは難しくなっています。
また、社内で使われる端末の種類や接続する場所なども多様な環境になっています。エンドポイントを守るため、自社のIT環境が今どのような状態なのかを常に把握し、リスクを最少化することが重要です。そのためには、信頼できない前提のゼロトラスト・セキュリティの考え方に基づいて、サイバー衛生管理が不可欠と言えます。タニウムでは、IT資産管理やパッチ管理など、統合エンドポイント管理(UEM)のソリューションを提供しています。