ページの本文へ

Hitachi

Okta - Identity as a Service : IDaaS-クラウド型ID管理・統合認証サービス

  • リモートワーク
  • ゼロトラスト

リモートワークで今注目のゼロトラストとは?
メリット・実現方法解説

AD(Active Directory)によるID管理の問題点とID管理のクラウドへの移行について、わかりやすく解説していきます。

リモートワークで今注目のゼロトラストとは?メリット・実現方法解説

ゼロトラストって何だろう
ゼロトラストのメリットを確認したい
ゼロトラストの導入検討はどこから手をつけたら良いだろうか

新型コロナウイルスの感染防止策や働き方改革の一環として急増中のリモートワーク。
この記事では、リモートワークにおけるセキュリティ対策の一つゼロトラストセキュリティで自社資産を守る方法について、メリットや実現に必要なポイントを交えつつ紹介します。

Q&Aで学ぶ 「ゼロトラスト」 時代のセキュリティ ポイントは ID / 認証管理
資料ダウンロードはこちら>>

Oktaについて、詳細を確認する

リモートワークで注目が集まるゼロトラストセキュリティ

リモートワークで注目が集まるゼロトラストセキュリティ

リモートアクセス環境に適しているとされるゼロトラストセキュリティですが、一体どのようなものなのでしょうか。詳しく解説していきます。

ゼロトラストとは

そもそもゼロトラストとは、2010年に調査会社Forrester Research社により提唱された「すべてのトラフィックは信頼できるものではない」という考え方のことです。 何も信用しないことを前提とし、全デバイスのトラフィック検査や、ログ取得などを行います。

スコアによる信用評価を行うことで、社外はもちろん社内の脅威にも備えることができることから、次世代のセキュリティモデルとして注目を集めています。

ゼロトラストと従来のセキュリティ対策との違い

従来のセキュリティの場合、「外部ネットワークは信用できないが、社内ネットワークは安全」という考え方に基づいて対策が講じられていました。
一方ゼロトラストの場合、社内ネットワークも安全な場所とは捉えません。

たとえば境界型セキュリティでは、一度認証した利用者や検査したパケットを信頼していたため、セキュリティ製品の監視をかいくぐる攻撃を受けることがありました。

ゼロトラストセキュリティにおいては、「アクセス元の端末にはアクセス許可があるか」「ユーザーはアクセスを許可された者か」などを検証し、情報資産やサーバーなどに対するすべてのアクセスに対して、信用評価や確認を行うのです。

ゼロトラストセキュリティが求められる背景

昨今ゼロトラストセキュリティが注目を浴びている背景には、おもに次のような環境の変化があります。

・リモートワークの増加

2018年に働き方改革関連法案が成立し、出社が難しい人でも仕事と家庭の両立ができるリモートワークに注目が集まりました。その後、新型コロナウイルス感染防止対策の一環として、出勤による人流抑制のためにさらにリモートワークの普及が進みました。

リモートワーク下では、社外から社内ネットワークへの接続が常態化します。社外と社内の境界が曖昧になり、従来の境界線型セキュリティ対策では通用しなくなりつつあることから、境界に捉われないゼロトラストセキュリティへの関心が高まりつつあるのです。

・企業におけるクラウドサービス活用の増加

これまで社内で保持していた情報をクラウドに集約するなど、企業におけるクラウドサービスを活用する機会が増えてきていることも、ゼロトラストが求められる一因です。

総務省「通信利用動向調査」によると、2020年において、企業の7割近くが何らかのクラウドサービスを利用しているとされています。

また、クラウドサービス利用の効果について「非常に効果があった」「ある程度効果があった」と回答した企業は合わせて9割近くとなっており、今後もクラウドサービスの利用は増加傾向となることが予想されます。

ただし、許可していないクラウドに業務用のパソコンでアクセスするなどの行為は、データを盗まれたり改ざんされたりするリスクにつながりかねません。また、リモートワークに限らず、社内からクラウドにアクセスするときも、セキュリティ対策は必須です。
クラウドサービスの利点を生かしつつ安全に利用するためにも、セキュリティ対策とセットでクラウドサービスを活用する必要があります。

・シャドーITや内部不正による情報漏洩などの脅威

IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2021」では、「内部不正による情報漏洩」が組織において注意すべき脅威の第6位とされています。
社内外からのアクセスによるマルウェア感染だけでなく、内部不正による情報の持ち出しにも注意しなければなりません。

しかし、通信内容を暗号化したVPN(Virtual Private Network)などの境界型セキュリティを使っていても、内部不正の場合は対応が困難です。また、企業やシステム管理部門の把握や管理がない状態で社員が独自に外部サービスやデバイスなどを利用する「シャドーIT」も、脅威につながる可能性があります。

境界型セキュリティやシャドーITは不正アクセスや情報漏洩を引き起こすこともあるため、ゼロトラストでそれらの脅威に備える必要があるのです。

リモートワークにゼロトラストを導入するメリット

リモートワークにゼロトラストを導入するメリット

ここでは、リモートワークにゼロトラストセキュリティを導入することで得られるおもなメリットについて見ていきましょう。

ネットワークセキュリティの強化

多くの企業ではおもに「オープンインターネットへの接続」と「社内システムへの接続」の2つの接続を制御しています。
従来はどちらの接続においてもVPNゲートウェイを経由させることが一般的でしたが、ゼロトラストセキュリティではVPNゲートウェイを設置せず、SWG(Secure Web Gateway)やゼロトラストネットワークアクセス(ZTNA:Zero Trust Network Access)などを活用することで、効率的なアクセスと高度なセキュリティを実現します。

SWGは、エンドポイントからのアクセスをチェックする門番のような役割を果たします。社外の端末にも社内と共通のアクセスポリシーやアクセス制御を適用できるため、オープンインターネット接続時の安全なアクセス環境の担保が可能です。

ZTNAを利用したリモートアクセスにおいては、ベンダーの提供するクラウドなどの仲介システムを経由します。コネクターが外部からの通信を待ち受ける必要がないため、攻撃の侵入口を外部から隠せば、サイバー攻撃を受けにくくなるのです。

さらに、コネクターのアップデートなどの脆弱(ぜいじゃく)性対応をベンダーが自動で行うことが多いため、保守対応にかかる労力を別のセキュリティ対策に回すこともできます。

エンドポイントセキュリティの実現

ゼロトラストセキュリティのソリューションには、EDR(Endpoint Detection and Response)やEPP(Endpoint Protection Platform)などのエンドポイントセキュリティがあり、リモートワークにおける個人所有のPCやモバイル端末などのエンドポイントを監視・保護したり、マルウェアを検知して駆除したりすることが可能です。

EDRは、「いかに早く侵入を検知して対応し、復旧させるか」に重点を置いているソリューションで、エンドポイントのさまざまなログを取得、保存して不審な挙動を感知し、対応をサポートします。

一方、EPPはマルウェアによる攻撃を検知し、分析や調査、修復をサポートするソリューションです。マルウェアからの攻撃を水際で防ぐことを目的としており、EDRと組み合わせて利用されるケースが多くなっています。

クラウドサービス利用時のセキュリティ向上

SIEM(Security Information and Event Management)やSOAR(Security Orchestration, Automation and Response)などのセキュリティソリューションにより、クラウドサービスなどのログを収集したり、脅威に対する初動対応を自動化したりできます。

SIEMとは、さまざまなデバイス・サービスからセキュリティベントまでリアルタイムに監視、分析する仕組みのことで、SOARは、セキュリティの運用を自動化したり効率化したりする仕組みのことです。

SIEMで得た情報をSOARと連携させることで、インシデント発生時のトリアージや、1次対処などを自動化・効率化できます。

また、セキュリティ運用・監視業務にかかる負荷が軽減できるため、セキュリティ対策における人材不足などの課題解決にも寄与します。

リモートワークで活躍するゼロトラストセキュリティの構成要素

リモートワークで活躍するゼロトラストセキュリティの構成要素

ゼロトラストセキュリティは一つの技術のみで実現できるものではなく、複数のアプローチを組み合わせて多層的に防御することで実現が可能になります。対応する脅威や守りたい情報資産に応じて、さまざまな技術を組み合わせて構成するのです。

ゼロトラストセキュリティの構成要素には、具体的に次のような施策があります。

アカウントの管理

あらゆるシステムのアカウント管理や認証機能を統合して行うことで、不正アクセスへの対処が行いやすくなります。

アカウント管理機能のおもな例は以下のとおりです。

  • パスワード管理機能
  • 複数システム間でのアカウントライフサイクル同期機能

また、アクセス管理に含まれるものは以下のとおりです。

  • 認証
  • アクセスコントロール
  • SSO
  • フェデレーション

たとえば、他部門のデータにパスワードさえ分かればアクセスできるといった状況は、IT統制が取れているとはいえません。
IAM(Identity and Access Management)などのサービスを使って「認証」と「認可」を設定することで、不審な行動をしているユーザーに追加質問をするなどリスクベース認証ができます。
また、利用者がアクセスできる範囲を制御して、リスクを減らすことも可能です。

ネットワークセキュリティ

ネットワークを監視して不審な通信を検知したり、不審な通信をするデバイスからの通信を遮断したりする施策です。ネットワークセキュリティでは、前述のSWGのほか、SDP(Software Defined Perimeter)による対策も有効です。

SDPとは、ソフトウェア上に新たな境界を作り、コントローラーが中心となって制御・管理を行う仕組みです。データ通信を行う接続チャネルは、通信が終わった時点で消滅し、新たな接続要求が発生するまで再開しないため、物理的な境界では防ぎきれない脅威からの防御ができます。

これらの対策により、エンドポイントからインターネットへアクセスする際のセキュリティを強化できます。

エンドポイントセキュリティ

企業ネットワークに接続しているデバイスを監視し、マルウェア検知や不審な動作の阻止を行います。
また、インシデント発生時にはプロセスを隔離し、侵入したマルウェアの拡散などを防ぎます。施策としては、先述のEDRやEPPなどがあります。

インターネットを経由しないマルウェア感染は、ネットワークの入り口の防御だけでは対処できません。そのため、ネットワーク上のセキュリティだけでなく、エンドポイントを守ることが重要です。

アプリケーション・データの保護

アプリケーションやデータに不審なアクセスがあった場合、それらの検知が必要です。また、不審な通信があった場合は、アプリケーションやデータを隔離しなければいけません。
これらの対策は、CWPP(Cloud Workload Protection Platform)やDLP(Data Loss Prevention)を使って行います。

CWPPとは、クラウドサービスにおけるワークロード(サーバーや稼働中のソフトウェアなど)を保護するソリューションです。またDLPは、ポリシーに違反した動作があった場合、ファイルのアップロード・ダウンロードを禁止するなどして、情報漏洩を防止する施策を指します。

可視化・分析・自動化

先述のSIEMやSOARのように、各種ログの監視と分析によってリスクを可視化したり、インシデント対応を極力自動化したりする施策もあります。

業務システムやクラウドサービス・Webサイトへのアクセスを24時間365日体制で監視し、自動的に制御することで、よりセキュアな環境の実現が可能となるでしょう。

まとめ

リモートワークで今注目のゼロトラストとは?メリット・実現方法解説 まとめのイメージ

リモートワークでは、社員がさまざま場所からいろいろなデバイスを使って社内システムにアクセスします。リモートワークを導入していない企業の場合も、クラウドサービスの利用を避けることは困難なため、社外と社内の境界線が曖昧になり脅威にさらされる危険性が高まっています。

リモートワークやクラウドサービスのメリットを確保しつつ、安全かつ効果的に活用して競争力強化につなげるためにも、ゼロトラストセキュリティは、検討すべき対策といえるでしょう。

Oktaでゼロトラストを始めよう! 導入ステップ例とログイン登録手順を解説

IDaaSの導入を検討されている方のために、導入ステップ例について解説します!

さらに詳しく知りたい方へ

Okta - IDaaS - クラウド型ID管理・統合認証サービス

Oktaについて詳しく!資料ダウンロード