編集部からのお知らせ
新着の記事まとめPDF「NTT」
おすすめ記事まとめ「MLOps」
ゼロトラストの基礎知識

第6回:ゼロトラスト移行の最適解

恒本一樹,鈴木富士雄 (マクニカネットワークス)

2021-02-10 06:00

 本連載は、企業セキュリティやネットワークの新しい概念として注目される「ゼロトラスト」について解説していきます。

1.ゼロトラスト環境への移行は3ステップで考える

 ゼロトラスト環境への移行を検討する際に、認証基盤の確立、エンドポイントセキュリティの強化などが必要な点については既に理解が進んでいるものの、何から着手をすべきか悩まれている方が多いのではないでしょうか。最終回となる本稿では、具体的にゼロトラストなアクセス方式への移行のベストプラクティスとして、筆者が所属するマクニカネットワークスがお客さまに推奨しているステップを、簡略的に3ステップで解説します。なお、ゼロトラスト化に伴うセキュリティの運用手法については今回触れませんので、前回の記事をご覧ください。

ステップ0:まず現状を把握しよう(リソース・アクセス経路)

 具体的なツールやソリューションの採用を検討する前に、ステップ0として取り組むべきことがあります。現状の「エンタープライズリソースの棚卸し」です。つまり、個人情報や人事情報、機密情報など企業にとって外部への漏えいを防ぐべき重要なデータを特定し、厳格なポリシーに基づいて守るべきデータは何かをきちんと社内で整理・議論することです。反対に、積極的に公開すべきオープンな情報については、ユーザーや端末に縛られずオープンにアクセスを許可するようなポリシーに変更すべきです。

 同時に、現状において、誰が、どんなデバイスで、どのようなツールで、守るべきエンタープライズリソース・データにアクセスをしているかというアクセス経路の可視化をすることです。企業によってアクセス経路のパターンの数は大小ありますが、多くの企業は社内のエンタープライズリソースへのアクセス経路として、「i.出社時の社内通信」と、「ii.テレワーク時の社外からの通信」に大別されます。


i.境界内部の信頼された社内通信

  • (ア)証明書認証された社給端末から
  • (イ)オフィスに敷設された無線LAN、L3ルーターを経由し
  • (ウ)契約した大手キャリアの閉域網・WANを通って
  • (エ)契約しているデータセンター上にあるオンプレミスシステムにアクセスを行う
  • (オ)業務利用のSaaSについてはプロキシー経由で通信を行う

ii.多層防御のチェック対象となる社外からの通信

  • (ア)証明書認証された社給端末から
  • (イ)SSL-VPNクライアントソフトを用いて暗号化されたセッションを張り
  • (ウ)自宅などのインターネット回線を通って
  • (エ)契約しているデータセンター上にあるオンプレミスシステムにアクセスを行う
  • (オ)業務利用のSaaSについてはプロキシー経由で通信を行う

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    アンチウイルス ソフトウェア10製品の性能を徹底比較!独立機関による詳細なテスト結果が明らかに

  2. 経営

    10年先を見据えた働き方--Microsoft Teamsを軸に社員の働きやすさと経営メリットを両立

  3. セキュリティ

    6000台強のエンドポイントを保護するために、サッポログループが選定した次世代アンチウイルス

  4. セキュリティ

    ローカルブレイクアウトとセキュリティ-SaaS、Web会議があたりまえになる時代の企業インフラ構築

  5. 運用管理

    マンガでわかるスーパーマーケット改革、店長とIT部門が「AIとDXで トゥギャザー」するための秘策

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]