本連載は、企業セキュリティやネットワークの新しい概念として注目される「ゼロトラスト」について解説していきます。
前回の記事では、ゼロトラストの実現において必要な要素 「アイデンティティー」や「IDaaS(Identity as a Service)」と呼ばれるソリューションについて解説しました。今回は、アイデンティティーの1つであるデバイスの保護について掘り下げながら、ゼロトラストのコンセプトの1つである動的なアクセス制御について解説します。
1.デバイスにおけるセキュリティの重要性の高まり
PCやスマートフォンなどのデバイスは、さまざまなデータの操作や管理に利用されており、組織にとって保護すべき対象となります。ゼロトラストの世界でもこの考えは変わりません。しかし、従来とは異なり、これらのデバイスが必ずしも組織のネットワーク内から利用されるとは限りません。新型コロナウイルス感染症(COVID-19)によって、多くの企業・組織がリモートワークを経験し、自宅など組織外のネットワークからの利用も多くなりました。
このようなリモートワークに伴うセキュリティ上の懸念点の変化は、既に多くの議論がされていますが、その多くは社内外を隔てるネットワーク境界での防御対策に目が向けられています。具体的には、VPNや回線の利用率を下げるために、リモートワークを行っているデバイスから直接インターネットに通信させ、結果として境界上のセキュリティ製品を通らない通信が発生するケースです。これにより、境界上のセキュリティ製品の効果も低下しているという点が、主な議論の対象となっています。この議論自体は誤りではありませんが、他にも考慮すべきポイントがあるように思えます。
上述のようなネットワーク境界に設置されたセキュリティ対策に加え、オンプレミスで管理されているウイルス対策ソフトなどのセキュリティ対策も同様に効果が低くなっています。例えば、ウイルス対策製品は、主にオンプレミスに設置された管理サーバーからシグネチャーの更新を取得しています。組織内でデバイスが利用されている場合にはタイムリーに更新できますが、組織外でデバイスが利用されている場合は、VPNなどによるリモート管理サーバーへの接続が必須となり更新が滞るケースが発生します。デバイスが長期間、管理サーバーへ接続できずにシグネチャーの更新が数日間滞る状況になった場合に備え、製品ベンダーがクラウド上に設けているシグネチャー配信サーバーからデータを取得する仕組みを提供していますが、数日間とはいえ更新が滞っていると、本来であれば検出できていた脅威を大幅に見逃してしまっている危険性があります。
また、不審なファイルを検出したことを管理者へ通知する場合においても問題となるケースがあります。管理サーバーとの接続が行われていない場合、脅威の検出が通知されず、管理者は脅威が発生していたことに気づくことができない状態となってしまいます。管理サーバーへの接続にVPNサーバーが必要となるような環境では、既にこのような問題が水面下で発生しているかもしれません。ウイルス対策ソフトを例に説明しましたが、これ以外にも同様の要因から、OSのパッチやアプリケーションの更新、脆弱性の管理なども効果が得難くなっている可能性があります。
このように、組織の内外問わずネットワークを利用する環境においては、企業が以前から投資してきたさまざまなセキュリティ対策の効果が低下している可能性があり、この点こそが、デバイスにおけるセキュリティ対策の重要度が増している理由です。そこで、筆者が考える今後のデバイスに求められるセキュリティ機能を下記にまとめました。高度な脅威を検出する機能に加え、従来の組織ネットワーク内で当然のように実現できていたことを再度実装する必要もあると考えています。
表1.デバイスのセキュリティで必要となる機能
