セキュリティーのゼロトラスト--意義は「働き方改革やM&Aへの対応」

國谷武史 (編集部) 2019年06月07日 06時00分

  • このエントリーをはてなブックマークに追加
  • 印刷

 2018年頃から国内ITセキュリティー分野で、「ゼロトラスト」という新しい概念が叫ばれ始めた。米Forresterが提唱し、Googleのクラウドセキュリティーフレームワーク「BeyondCorp」はその概念がベースになっている。セキュリティーのテクノロジートレンドの観点もあるが、Akamai プラットフォームチーム エグゼクティブ・バイス・プレジデント兼 エンタープライズ部門ジェネラルマネージャーのRobert Blumofe氏は、働き方改革や買収・合併(M&A)への対応での意義も強調する。

Akamai プラットフォームチーム エグゼクティブ・バイス・プレジデント兼 エンタープライズ部門ジェネラルマネージャーのRobert Blumofe氏
Akamai プラットフォームチーム エグゼクティブ・バイス・プレジデント兼 エンタープライズ部門ジェネラルマネージャーのRobert Blumofe氏

 端的に言えば、「ゼロトラスト」の意味は、「信用をしない」となる。これは、従来のインターネット空間と企業内などのLANの境界を基準にセキュリティー対策を講じる「境界防御」とは逆の概念になる。「境界防御」では、インターネットなどLANの外側の空間は「信用をしない」、一方でLANの空間は「信用をする」ことを前提にする。「ゼロトラスト」はLANの空間も「信用をしない」ことを前提としている。

 「現在のゼロトラストは幅広い説明がなされているが、基本的には『信用をしない』ことを前提に、強力なアクセス制御と検査を行うことで安全を確保するという考え方だ。クラウド化によって、今ではユーザーやアプリケーションの所在が定まらない環境が生じており、境界防御のアーキテクチャーが実態にそぐわなくなりつつある」(Blumofe氏)

 例えば、社外で業務をこなした社員のPCがマルウェアに感染したとする。帰社後、社員がPCをLANに接続すると、マルウェアはLANを通じて脆弱な他のPCやシステムに感染先や侵入範囲を広げようとする。これは「ラテラルムーブメント(水平移動)」と呼ばれる脅威の動きで、段階的に侵攻する標的型攻撃などの一つの特徴でもある。

 「境界防御」に立てば、LANへ接続される前での防御策が重要になる。ラテラルムーブメントは、それが突破された状態であり、感染や侵入の拡大を食い止めるためには、LAN内にも追加の防御策を講じなければならず、これによって導入、運用するセキュリティー対策はどんどん複雑になり、運用の負担も増す。

 働き方改革によって従業員の業務環境が取引先や自宅、喫茶店、コワーキングスペースなどに広がれば、オフィスの外で脅威に遭遇する確率は高まる。また、M&AによってIT環境を統合する必要性が生じるものの、大きく異なるIT環境の統合は容易ではない。セキュリティーの観点からは、長年にわたる「境界防御」のアーキテクチャーがそれらを推進する上でのボトルネックになり、それなら企業が直面する働き方改革やM&Aといった経営課題に全く異なるセキュリティーのアーキテクチャーで対応していくべきというのが、「ゼロトラスト」提唱側のメッセージになる。

 Blumofe氏によれば、「ゼロトラスト」のアーキテクチャーでは、インターネット側やLAN内を問わず、システムやアプリケーションへのアクセスを要求するユーザーの認証、認証後の適切なアクセス制御、システムやアプリケーション、ネットワーク上におけるユーザーのふるまい検査などによって、脅威の検出や封じ込めを図る。

 もちろん現実的には、大半の企業ではIT環境のセキュリティー対策が「境界防御」を前提に構築されているため、すぐに「ゼロトラスト」アーキテクチャーへ移行できるわけではない。「クラウド環境の広がりや他社とのシステム統合などを念頭に、ゼロトラストの意識したアーキテクチャーへ徐々に移行していくのが望ましいだろう」とBlumofe氏は話す。

 Blumofe氏によれば、「ゼロトラスト」アーキテクチャーを実現するテクノロジーは幾つかあり、Akamaiの場合は、BeyondCorpの「Identity Aware Proxy(IAP)」を適用しているという。同社のサービス基盤はCDN(コンテンツ配信ネットワーク)だが、分散配置するエッジサーバーとCDNを通じて、ユーザー認証と各種アプリケーションへのシングルサインオン(SSO)、アクセス制御、ログ管理などの機能を提供する。ソリューションとしては、「IDaaS(Identity as a Service)」と呼ばれるクラウド型のID管理サービスに類される。

 一方、現在のクラウドに対応する代表的なセキュリティーソリューションに、「CASB(Cloud Access Security Broker)」がある。IT調査機関などの定義では、CASBはクラウドなどのアプリケーションやデータにまつわる認証、SSO、アクセス制御、暗号化、マルウェア対策、ログ管理といった広範なコントロールを確保するもので、IDaaSの機能も包含する。

 「ゼロトラスト」に照らせば、CASBの機能カバレッジは広く、特にクラウド利用時の可視化に期待する企業が多い。ただ、多くのオンプレミスのシステムを抱えながらクラウドも利用するハイブリッドクラウドの環境では、CASBの実装と運用に一定の時間を要する傾向にある。このため、クラウドに対応するセキュリティーを構築していくステップとして、IDaaSから取り組むという流れが出始めているようだ。

 「われわれ(Akamai)もサービス拡大に向けたM&Aを重ねる中で、過去には買収先企業の従業員の業務環境やシステムの統合に苦労した。その経験からゼロトラストを実装し、現在では統合時に生じる問題はなくなった。それを顧客にも提供していく段階にある」(Blumofe氏)

 同社の顧客で理想的な「ゼロトラスト」のセキュリティ環境を既に実現しているケースはまだ少ないが、「ゼロトラスト」を意識した環境作りには乗り出しているという。国内の顧客企業では、旅行大手のエイチ・アイ・エスなどが導入を進めており、直近ではLIXILも着手した。LIXILのケースでは、販売代理店向けネットワークの再構築に伴って、従来のVPN接続から「ゼロトラスト」型の接続に切り替えていくという。

 Blumofe氏は、IAPからのアプローチとしても「従来のVPN終端装置やロードバランサーなどの運用を解消したり、同時接続数の制約に伴うトラフィックの遅延などを解消したりする効果がある。『ゼロトラスト』化にはそれなりの投資を要するが、こうした効果を含めメリットが上回る」と強調する。 今後同社では、ウェブアプリケーションやアクセスするユーザーのデバイス環境の検査といったサービスでの機能拡充を進めるという。

 「ゼロトラスト」は、まだ国内ではその言葉が歩き始めた段階だが、クラウド利用が拡大していく中でのセキュリティーリスクへの対応と同時に、企業が直面する働き方改革や事業成長の課題をITの側からサポートしていくものになるだろう。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

SpecialPR

連載

CIO
月刊 Windows 10移行の心・技・体
ITアナリストが知る日本企業の「ITの盲点」
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
セキュリティインシデント対応の現場
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft Inspire
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]