本連載は、企業セキュリティやネットワークの新しい概念として注目される「ゼロトラスト」について解説していきます。
1.ゼロトラスト環境への移行は3ステップで考える
ゼロトラスト環境への移行を検討する際に、認証基盤の確立、エンドポイントセキュリティの強化などが必要な点については既に理解が進んでいるものの、何から着手をすべきか悩まれている方が多いのではないでしょうか。最終回となる本稿では、具体的にゼロトラストなアクセス方式への移行のベストプラクティスとして、筆者が所属するマクニカネットワークスがお客さまに推奨しているステップを、簡略的に3ステップで解説します。なお、ゼロトラスト化に伴うセキュリティの運用手法については今回触れませんので、前回の記事をご覧ください。
ステップ0:まず現状を把握しよう(リソース・アクセス経路)
具体的なツールやソリューションの採用を検討する前に、ステップ0として取り組むべきことがあります。現状の「エンタープライズリソースの棚卸し」です。つまり、個人情報や人事情報、機密情報など企業にとって外部への漏えいを防ぐべき重要なデータを特定し、厳格なポリシーに基づいて守るべきデータは何かをきちんと社内で整理・議論することです。反対に、積極的に公開すべきオープンな情報については、ユーザーや端末に縛られずオープンにアクセスを許可するようなポリシーに変更すべきです。
同時に、現状において、誰が、どんなデバイスで、どのようなツールで、守るべきエンタープライズリソース・データにアクセスをしているかというアクセス経路の可視化をすることです。企業によってアクセス経路のパターンの数は大小ありますが、多くの企業は社内のエンタープライズリソースへのアクセス経路として、「i.出社時の社内通信」と、「ii.テレワーク時の社外からの通信」に大別されます。
i.境界内部の信頼された社内通信
- (ア)証明書認証された社給端末から
- (イ)オフィスに敷設された無線LAN、L3ルーターを経由し
- (ウ)契約した大手キャリアの閉域網・WANを通って
- (エ)契約しているデータセンター上にあるオンプレミスシステムにアクセスを行う
- (オ)業務利用のSaaSについてはプロキシー経由で通信を行う
ii.多層防御のチェック対象となる社外からの通信
- (ア)証明書認証された社給端末から
- (イ)SSL-VPNクライアントソフトを用いて暗号化されたセッションを張り
- (ウ)自宅などのインターネット回線を通って
- (エ)契約しているデータセンター上にあるオンプレミスシステムにアクセスを行う
- (オ)業務利用のSaaSについてはプロキシー経由で通信を行う
