編集部からのお知らせ
新着記事まとめPDF「データサイエンティスト」
ZDNet Summit 2021開催のご案内

テレワークの普及で露呈--「決して信頼しない」ゼロトラストが必要な理由

國分俊宏 (シトリックス・システムズ・ジャパン)

2020-08-19 07:00

 テレワークが例外ではなくなっている現在、ニューノーマル(新常態)のトレンドとしてテレワークの普及が加速しています。それに伴い、企業のセキュリティは危機にさらされています。

 この新常態で、従来の仮想プライベートネットワーク(VPN)の限界が明らかになり、安全なテレワークのための新しいアプローチが必要となっています。

VPNは安全じゃない?

 自宅にある家電の修理に来た修理業者に「キッチンは左手の最初のドアですので、ご自由にどうぞ」と言って、家の鍵を渡して立ち去ることはありません。慎重な人であれば、仕事の進捗を確認するために目を離さず、修理業者が家の中をうろうろするのを許すことはありません。

 VPNは、多くの企業でリモートユーザーに企業リソースへのアクセスを提供するための標準技術であり、「家の鍵」を渡すことと同じです。現在の危機的状況で多くのVPNゲートウェイが在宅勤務のユーザーが増えた場合、その負荷に耐えられるかどうか苦慮しているIT部門も多いと思います。

 すべてのトラフィックを企業のデータセンターを経由してルーティングしなければならないため、遅延が発生し、ビデオ会議のような回線速度が重要になるサービスの品質が損なわれてしまいます。しかし、この影響を回避するための多くの仕組みが、VPNの管理を複雑にすると同時にコストも高くしています。

 VPN の「鍵」から「家」へのアプローチは常に問題視されてきましたが、今日ではさらに危険なものとなっています。攻撃者がリモートユーザの認証情報を入手したり、保護されていないデバイスの権限を侵害したりした場合、従来のVPNでは社内ネットワークを自由に歩き回ることができます。機密情報を検索したり、データ漏えいツールやバックドアをインストールしたりすることで簡単に侵入することができます。

“決して信頼しない、常に検証する”ゼロトラスト

 もっと良い方法があるはずです。それが「ゼロトラスト」と呼ばれるものです。この新しいセキュリティアプローチは、ITアーキテクチャにセキュリティの考え方を加えたものです。

 ゼロトラストは「決して信頼しない、常に検証する」という原則に従っています。ネットワークの内側からでも外側からでも、リソースにアクセスするエンドユーザーやデバイスが信頼できるとは見なされません。

 そのためには、まず現在、ユーザーを知ることから始めます。理想的には、ハードウェアトークンやソフトトークンアプリのような複数の認証方法を適用することで、現在、ユーザーを知ることができます。

 ネットワークに接続されているデバイスも同様に、所有権(会社所有か個人所有か)やパッチレベルが最新かどうかなど、徹底的に検査します。同時に、現在、ユーザーが役割に応じて実際に必要とするリソースへのアクセスを制限することで会社のデータを保護します。

 現在のゼロトラストソリューションは、機械学習(ML)を応用してエンドユーザーやエンドポイントの活動を継続的に監視し、行動パターンや会社のポリシーと比較しています。これにより、セキュリティチームは、アカウントの漏洩やインサイダーの脅威を示す異常な活動を迅速に検出することができます。

 不審な活動が確認されるとすぐにアラートを上げることで、ゼロトラストは、迅速かつ高度に対象を絞った対応を可能にします。これにより、インシデント対応が大幅にスピードアップし、攻撃者がネットワークを嗅ぎ回る時間が短縮されます。

 このアプローチで、企業や組織の対応が遅れている間に「悪者」がツールや戦術を改善してきた長年の経験を経て、ついに企業がセキュリティ面で追いつくことができるようになります。これは、危機によって加速され、テレワークが新たな常態となった現在に最適なものです。

 ゼロトラストベースのIT環境は、企業が「修理業者」が来訪した際に家の鍵を単純に手渡すことを防ぎます。その代わりに、修理業者やその他の訪問者には、写真付きIDバッジの提示を要求します。

 キッチン以外のドアには鍵をかけ、修理業者がどこにいて何をしているのかを正確に把握します。また、予期せぬ行動があった場合には、自動的に住宅の所有者に通知をします。

 このようにして、企業は常にエンドユーザーやデバイスを監視することができ、侵害検知力を向上させ、攻撃される隙間を狭くすることができます。同時に、従業員はいつでも、どこからでも、会社のリソースに安全にアクセスすることができます。

國分俊宏(こくぶん・としひろ)
シトリックス・システムズ・ジャパン セールスエンジニアリング本部 金融SEグループ リードシステムズエンジニア
グループウェアからデジタルワークスペースまで、一貫して働く「人」を支えるソリューションの導入をプリセールスとして支援している。現在は、金融グループのリード・システムエンジニアとして、パフォーマンスを最大化できる働き方、ワークライフバランスを支援する最新技術を日本市場に紹介している。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]