何をどこから始めたらよい?ゼロトラストセキュリティを始める
パッケージが登場

 

 新型コロナウイルス感染症の世界的な流行をきっかけに、われわれの働き方は大きく変化した。これまでのように皆が同じ時間に出社する働き方だけでなく、オフィスからPCを持ち出して在宅で業務をするケースが増えている。中には、テレワークを前提に地方へ移住する人も現れている。こうした働き方の変化に伴って、新たに考慮すべき事柄も増えている。中でも重要なテーマがセキュリティだ。

 こうした状況を踏まえ、オフィスで仕事をすることを前提としたこれまでのセキュリティ対策での規定や体制を見直し、必要に応じて新たなルールを追加するとともに、企業として守るべき範囲をどこまでに定義するか、スコープを明確にしていく必要に迫られている。会社として社員に支給するPCなどのセキュリティを担保するのはもちろんだが、社員が作業する自宅のインターネット環境や私物の機器といった多様な環境をどこまでをセキュリティ対策の範囲とするのか、あらためて考えるべき時期に来ている。

ニューノーマル時代に求められる「ゼロトラストセキュリティ」

 そして、新しい働き方を狙ったサイバー攻撃も既に発生している。

 セキュリティ分野において、コンサルティング・設計構築・SOC運用・インシデント調査まで幅広いサービスを提供するSBテクノロジー(以下 SBT)では、インシデント調査業務においてテレワーク環境やクラウド環境を狙われたサイバー攻撃による情報漏洩やランサムウェア被害を数多く目にしてきた。

 ニューノーマルな働き方にシフトする中、「社内は安全な場所だ」という前提に立ち、それを保とうとする従来のセキュリティ対策から、新しいセキュリティ対策のあり方への転換が求められている。そのあり方の1つ、「ゼロトラストセキュリティ」だ。

 最近、方々で耳にするようになったゼロトラストセキュリティという言葉だが、SBTのセキュリティサービス部 コンサルティンググループ マネージャーの伏見修一氏は、「ゼロトラストセキュリティという言葉自体は10年以上前からありました。それが、新型コロナウイルス感染症の影響を背景にした企業のクラウドシフト、テレワークに合わせた対策として現実味を帯びてきています」と解説する。

 ゼロトラストセキュリティとは、「何も信用しない」ことをベースに、ユーザーやデバイス、ネットワーク上での振る舞いといった、IT環境を利用する上での一つ一つの要素に対して、信用すべきとするレベルを決め、それに沿ってIT環境を守っていくアプローチだ。

SBテクノロジー法人公共事業統括法人第1本部セキュリティサービス部コンサルティンググループマネージャー伏見 修一氏
SBテクノロジー
法人公共事業統括 法人第1本部
セキュリティサービス部
コンサルティンググループ
マネージャー 伏見 修一氏

 社内ネットワークからインターネットへの出入り口であるゲートウェイを基準にして、その内部を守っていた以前とは異なり、現在では自宅や出先からのインターネットアクセスを許可せざるを得なくなっている。セキュリティ的に外部からのアクセスに対して社内の環境を閉じてしまうのは簡単だが、それでは新しい働き方によって期待される新たなビジネスチャンスを失いかねない。そこで、PCなど個々のデバイスやインターネットへの出入り口と共に、クラウドサービスの利用に不可欠なIDといった要素それぞれについて、高いレベルでセキュリティを担保することが、ゼロトラストセキュリティのベースになっている。

 その他にもゼロトラストセキュリティには利点がある。最近、増加しているランサムウェアでは、攻撃者が最初のコンピューターに侵入した後、数週間かけて社内環境を偵察し、管理者権限を奪取、重要情報の持ち出しを行い、証拠隠滅の為ログを削除してから脅迫する、といった手口が主流である。

 「もし端末の挙動をチェックするEDR(Endpoint Detection & Response)のような仕組みを導入し、監視していれば、仮に最初の侵入に気付けなくても、攻撃者が攻撃を準備する段階でのおかしな動きに管理者が気付ける可能性があります。ランサムウェアに感染し、全てのデータを暗号化されて脅迫されたところで気付くのと、その前の攻撃準備段階で気付けるのとでは、その後の対応や被害の状況に大きな違いがあります」(伏見氏)。その観点からも、端末自体を信用しない前提に立ち、その都度確認するゼロトラストという考え方はマッチする。

「ゼロトラスト、どこから始めればよい?」に応えるパッケージ

 ゼロトラストというセキュリティ対策の考え方の必要性は分かったとして、では、具体的にどのように実現していけばよいのだろうか。伏見氏は3つのポイントがあると説明する。

 「1つ目はエンドポイントのセキュリティです。既存のウイルス対策に加えて、EDRや振る舞い検知型の次世代ウイルス対策を追加します。2つ目はインターネットアクセスにおいて、どのユーザーがどんなクラウドサービスを使い、どのように利用しているかを可視化・制御する必要があります。そして、3つ目はクラウドサービスの利用に不可欠なIDの管理です。複数のサービスと連携して一度のログインで利用できるシングルサインオンを利用するケースは増えていますが、逆に言えば、その一つのIDが攻撃者に知れたら不正アクセスを許してしまいます。従って、そのID管理の強化が不可欠なのです」(伏見氏)

 ここで押さえておくべきポイントは、ゼロトラストセキュリティを実現するためのこうした機能を持つ製品を導入したら、それだけでゼロトラストが実現できるわけではないということだ。きちんとした運用監視体制が伴わなければ、せっかくの製品も意味をなさない。そのために多くのマネージドセキュリティサービスやSOC(セキュリティ監視センサー)サービスが登場しており、企業のセキュリティ管理の負荷を減らしてくれるのは確かだが、「白か黒かはっきり分からない攻撃が非常に多く、判断に悩むグレーな兆候についての対応をどうするべきか、自社の運用体制やルールについても検討しなければなりません」(伏見氏)

 こうしたさまざまな要件を考えながら、企業が自力でゼロトラストセキュリティに向けて最適な選択肢を模索するのも不可能ではないが、多くのIT部門やセキュリティ担当にとっては荷の重い作業だろう。何より、セキュリティソリューションを一つ一つ個別最適で選定していくと、コストがかかる上に、セキュリティ対策としては継ぎはぎの状態になってしまうおそれがある。個々の対策方法の連携を考えても、セキュリティ対策の全体像を見ながら検討していくことが重要だ。

 こうした背景からSBTが提供しているのが「ゼロトラストセキュリティ スターターパック」だ。

 ゼロトラストセキュリティに必要な「Microsoft 365 E5」に包含されているセキュリティ製品と、ゲートウェイでインターネットアクセスの保護を実現する「Zscaler」を組み合わせ、SBTがこれまでのシステムインテグレーションを通して蓄積してきたナレッジ、実績に基づく推奨設定とともに提供するパッケージ製品だ。

SBテクノロジー法人公共事業統括法人第1本部法人1部第5グループスーパーバイザー望月 真平氏
SBテクノロジー
法人公共事業統括
法人第1本部 法人1部 第5グループ
スーパーバイザー
望月 真平氏

 ユーザーが導入したい製品と、「保護すべきスコープをどこまでにするか」「どこまでのセキュリティレベルを求めるか」に基づいてプランを選定すれば、ゼロトラストセキュリティの一歩を踏み出すことができる。セキュリティを強化しつつ利便性も高めたい場合には「シングルサインオン」、スマートフォンの管理も実現したい場合には「モバイルデバイス管理」といった具合に、必要に応じてオプションを追加することも可能だ。

 ゼロトラストセキュリティスターターパックの最大の特徴は、スピード感にある。通常なら導入・構築に数カ月単位の時間を要するところ、ゼロトラストセキュリティ スターターパックでは推奨設定を踏まえた上で、最短1カ月ほどのスモールスタートで環境整備が可能という。「『ゼロトラストに取り組みたいが何から始めればよいか分からない』『デザインをどうすればよいか分からない』というお客さまに、われわれの推奨値に基づいて、すぐお試しいただける環境を準備します」(第5グループ スーパーバイザーの望月真平氏)。その後にユーザーが自力でゼロトラストセキュリティ環境を運用できるように、管理者向けにトレーニングやマニュアルも提供していく。

SBテクノロジー
法人公共事業統括法人第1本部法人1部第6グループシニアセキュリティアーキテクト栗原 隆浩氏
SBテクノロジー
法人公共事業統括
法人第1本部 法人1部
第6グループ
シニアセキュリティアーキテクト
栗原 隆浩氏

 第6グループ シニアセキュリティアーキテクトの栗原隆浩氏は、さらに「セキュリティソリューションを導入するのはいいが、その後の運用ができる体制がないという悩みもよく伺います。SBTではMicrosoft 365 E5向けのマネージドセキュリティサービスであるMSS for Microsoft 365、Zscaler向けの同サービスであるMSS for Secure Gatewayを提供しているため、お客さまの運用部分もアウトソースできます」と述べる。望月氏によると、SBTではヘルプデスクサービスである Office 365 ヘルプデスク EMS サポート も用意しており、強力なサポート体制が整っていることも強みとのこと。「安心してご利用いただけます」(栗原氏)という。

 ある通信事業者は、オフィス移転を機にセキュリティを見直し始め、ニューノーマルな働き方を見据えたゼロトラストセキュリティに基づく対策に取り組むことになった。そこでコンサルティングに始まり、各種ソリューションの導入、運用までをSBTが支援しているという。

オンプレミスのID管理基盤からAzure ADへの移行も支援

 ゼロトラストセキュリティ スターターパックには、もう1つの大きな特徴がある。これまでのマイクロソフトとの連携に基づき、Azure Active Directory(Azure AD)を用いたID管理への移行を支援するシナリオも提供可能なことだ。

SBテクノロジー法人公共事業統括法人第2本部法人3部副部長西浦 輝明氏
SBテクノロジー
法人公共事業統括
法人第2本部 法人3部 副部長
西浦 輝明氏

 これまでのオンプレミスの世界は、Active Directory(AD)やActive Directory Federation Services(ADFS)環境でユーザーを管理することが多かった。社内システムでPCを利用することが前提の時代なら、それがベストプラクティスだったろう。しかし、ニューノーマルな働き方の中で、メールに限らずさまざまなクラウドサービスを活用し、一時的にではなく恒久的に大多数の社員が社外で業務を行うとなると、ゼロトラストの考え方に基づき、場所を問わずにアクセスしてくるユーザーやデバイスを評価しなければならない。

 そうした際に有効なのがAzure ADへの移行だ。SBTではゼロトラストセキュリティ スターターパックとは別に用意しているAzure AD移行プランを通して、既存のADFS環境から素早くAzure ADに移行し、さらにMicrosoft 365 E5の機能を活用してゼロトラストセキュリティを構築するまでをサポートする。ここでもニーズに合わせて、端末の一元管理を実現する「Microsoft Intune」や多要素認証などを組み合わせることが可能だ。またSBTが提供する「Microsoft Office 365 向け自動設定ツール」によって、手動であれこれ操作しなくても、ユーザーがクラウドサービスを利用する際の初期設定を素早く行うことができる。

 「今後、テレワーク環境が主流になるにつれて、認証基盤が果たす役割も高まります。もしテレワーク環境で認証ができなくなると、業務が全くできなくなってしまうからです。その意味で、可用性や耐障害性に優れた認証基盤が求められるでしょう」(法人3部 副部長の西浦輝明 氏)

事業を継続し、社員のエンゲージメント向上にも寄与

 最近のランサムウェア攻撃が示すように、サイバー攻撃が事業継続を脅かしかねない問題となっている。「被害拡大防止のためにインターネット接続を遮断したり、暗号化によって稼働不能になったシステムを元に戻すまでの間に業務自体が止まってしまったりすることになります。今やセキュリティ対策は、事業継続のために必要とされています」(伏見氏)。その観点から、ゼロトラストを見据えたセキュリティ投資や運用を検討すべき時期に来ていると言えるだろう。

 こうした取り組みは、セキュリティを高めるだけでなく、企業の価値を高める上でも有用だという。「安心して新しい働き方に移行できる環境を整えることにより、従業員自身も効率的に働けるようになり、エンゲージメントも高まっていくと思います」(西浦氏)

 ニューノーマル時代のセキュリティの実現に向けて「どうしたらいいか分からない」「どこから始めればいいか分からない」と悩む企業にとって、SBTのゼロトラストセキュリティ スターターパックは、最初の一歩を踏み出す有効な選択肢になるだろう。

提供:日本マイクロソフト株式会社
[PR]企画・制作 朝日インタラクティブ株式会社 営業部  掲載内容有効期限:2022年6月30日
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]