日立ソリューションズ
セキュリティマーケティング推進部
グループマネージャの宮崎 秀雄氏
クラウド中心の環境で「セキュリティの考え方」が変わる
働き方改革や生産性向上に向けた取り組みが進むなか、ITシステムにも、柔軟な働き方を支え、スピーディーにビジネスに追随できる環境が求められるようになった。また、多くの企業でデジタルトランスフォーメーション(DX)の取り組みが活発化しており、システムの構築や運用管理でもオンプレミス環境からクラウド環境への移行(クラウドシフト)が進み始めている。
では、そうしたシステム環境におけるオンプレミス環境とクラウド環境の併用が進むなか「ゼロトラストセキュリティ」をどのように実現していけばよいのだろうか。宮崎氏はまず、クラウドはDXを支えるデジタル技術の1つとして重要であり、ユーザーに対して「コスト削減」「生産性向上」「運用負荷低減」「BCP」といったメリットをもたらすことをあらためて解説。そのうえでクラウドのセキュリティを確保するための課題を次のように説明した。
「これまでのネットワークは、本社、支店、工場といった拠点からのアクセスはVPNを介して行われることが一般的でした。他社とのやりとりや海外拠点とのやりとり、自宅などからのリモートアクセスもそうです。ところがクラウドの活用が進むと、支店や工場、海外拠点、他社とのやりとりが直接インターネットでつながるケースが増えていきます。セキュリティ対策の検討範囲が拡大し、対策の見直しが必要になっています。しかし、対策を実施するとその分運用コストもかさみます。そこで求められるのは、セキュリティに対する考え方自体を見直すことです」(宮崎氏)
境界防御からゼロトラストにどう移行すればいいのか
宮崎氏は、日立ソリューションズで、業務アプリの開発、電子購買システムの構築などを経て、2006年から指静脈認証システムのプリセールスエンジニアを担当。その後、提案の守備範囲を認証関連、セキュリティ対策全般と広げ、CSIRT(Computer Security Incident Response Team)業務にも3年ほど従事した経験を持つ。
「CSIRT業務では、幸い大きなインシデントには遭遇しませんでしたが、小さなイベントを経験し、現場の苦労を実感しました。現在は、プリセールスエンジニアとしてセキュリティソリューション全般の拡販を担当していますが、現場でのセキュリティ対応の実務経験は、いまの活動にも生きていると思っています」(宮崎氏)
宮崎氏はゼロトラストセキュリティを「信頼せず必ず確認する」考え方だと指摘、クラウドシフトが進み、「社内」「社外」というセキュリティの境界が曖昧になり、従来の「境界防御」が限界を迎えるなかで求められるようになった新しいセキュリティ対策のアプローチだとした。
「従来の考え方は、社内ネットワークは安全なネットワークだと捉え、そのなかで会社が許可していないPCなどからのマルウェア感染を多層防御していくという発想でした。ところがクラウドシフトが進むと、社内と社外を分ける境界という考え方自体が成立しなくなります。インターネットやクラウドに設置したサーバに直接接続し、会社が許可していないクラウドを勝手に利用するシャドーITなども起こりやすくなります」(宮崎氏)
ここで難しいのは、企業システムのすべての環境がクラウドへ移行しているのではないことだ。従来の境界防御が有効なシステムもあれば、ゼロトラストのみで十分な環境もある。場合によっては、境界防御とゼロトラストの組み合わせが有効な環境もある。
ネットワーク、デバイス、SaaS、IaaS/PaaSごとに対策を実施
そこで宮崎氏は「すべての業務システムをクラウドへ移行することができなければ、既存のファイアウォールやDMZなどの境界が存在するレガシーステム(イントラに設置されているシステム)は残ります。まずはハイブリッドでの対策が必要で、リスクの観点から対策を検討していきます」と指摘する。
ハイブリッドな対策を考えるうえでは、まずレガシーシステムでのリスク観点として「関連会社を経由したマルウェア感染」や「ファイアウォールを突破する攻撃」などを考慮する必要がある。また、クラウドシフトした場合のリスク観点としては「SaaS利用時のセキュリティ課題」「IaaS/PaaS利用時のセキュリティ課題」などがある。
例えば、SaaS利用時のセキュリティ課題としては、セキュリティ強度の弱いSaaSを利用し、SaaSに平文で格納したデータが漏洩したり、SaaSに感染していたマルウェアがエンドポイントに侵入してしまう。また、IaaS/PaaSでは設定ミスや設定漏れ、脆弱性パッチの適用漏れなどからマルウェアが感染するリスクなどがある。
宮崎氏はそうしたリスクと対策例を整理した図を提示しながら「ネットワークワーク、デバイス、SaaS、IaaS/PaaSの観点からリスクを把握し、対策例を実施していくことがポイントです。対策例としては、『エンドポイントでの未知マルウェア対策』『特権IDの厳格な管理』『SaaS格納データの暗号化』『利用SaaSの可視化/制御』『IaaS/PaaS契約状況の可視化』『IaaS/PaaSの設定状況の可視化』があります」(宮崎氏)
オンプレミス環境からクラウド環境までを幅広いソリューションでサポート
日立ソリューションズでは、こうしたリスクごとにセキュリティ対策を実施するためのソリューションを展開している。
まず、エンドポイントのデバイス対策としては、専門技術者による運用サポートを支援するMDR(Managed Detection and Response)サービスがある。EDR(Endpoint Detection and Response)の分析結果などをもとにインシデントの監視を行い、インシデント対応も行う。また、特権IDの窃取を防ぐためには、特権IDの貸出や返却を自動化するソリューションを提供している。
SaaS対策については、SaaSからデータが漏洩することを防ぐためにSaaSへのアップロード時に自動的にデータを暗号化するサービスや、セキュリティ強度の弱いSaaSを利用していても、いつ、誰が何のファイルをどのクラウドサービスにアップロードしたかを可視化、リアルタイム制御を行う次世代CASB(Cloud Access Security Broker)がある。
さらにIaaS/PaaSについては、未申告のIaaS/PaaSを検知し、利用者に登録依頼メールを自動配信したり、セキュリティ設定に不備のあるIaaS/PaaSを特定し、情報漏洩や不正アクセスなどのセキュリティ事故を防止できるソリューションを提供する。
そのうえで宮崎氏は「ゼロトラストセキュリティを実現するために、日立ソリューションズではさまざまな製品・サービスを提供しています。ネットワーク対策、デバイス対策、ワークロード保護、認証、データ保護、可視化と分析、自動化とオーケストレーションなどの観点でもソリューションを提供しています」と説明。オンプレミスとクラウドを併用する環境でゼロトラストセキュリティを実現したい企業を幅広く支援していくことを強調した。