導入したいけど難しいゼロトラストセキュリティ 経験豊富なサポーターがいれば変わる：必要不可欠なゼロトラストセキュリティ

クラウドシフトやテレワーク環境のセキュリティに対応するためにゼロトラストへ注目が集まる。一方で導入過程は複雑で、途中で諦める企業も多い。彼らに足りないのは経験豊富なサポーターの存在かもしれない。

[PR／ITmedia]

PR

　近年、働く環境の多様化やクラウドシフトによって、従来の境界型防御ではセキュリティ対策が不十分になってきている。

　このような現状を受けてさまざまな企業がゼロトラストセキュリティに注目するが、導入に向けての検討要素は膨大で、「どこから始めるべきか分からない」と悩むケースも多い。テレワークを促進したい企業やビジネス基盤をクラウドに移行したい企業は、どのようにしてゼロトラストセキュリティを実現すればよいのだろうか。

ゼロトラストセキュリティが注目される背景

　ゼロトラストセキュリティに注目が集まるのには2つの理由がある。1つ目は「働く場所の変化」だ。新型コロナウイルス感染拡大によりオフィスワークからテレワークに働き方が変化し、ロケーションフリーとなったことで、従来の境界型のセキュリティ対策では不十分になった。

　2つ目は「データの保管場所のクラウド移行」だ。テレワークの推進に伴い、業務システムや情報資産を社外から利用できるようにクラウド移行が加速した。重要度の高いデータがクラウドで管理されるようになり、従来のActive Directoryによるファイルサーバのアクセス管理のみでは対応が難しくなっている。

　このような背景からゼロトラストセキュリティが欠かせない存在になっているが、導入や構築は容易ではないのが現実だ。

ゼロトラストセキュリティをどこから始めるか？

　ゼロトラストセキュリティの導入・構築には複数の課題解決が必要になる。例えば、従業員のアカウントを保護するためにIDアクセス管理の導入やエンドポイント保護はもちろん、信頼できるデバイスを使用しているかどうかを明らかにする端末管理も必要だ。さらに、VPNの回線最適化や脆弱（ぜいじゃく）性対策も重要で、多様なセキュリティ領域でそれぞれの対策を進めなければならない。

　複雑な導入・構築に対して「一度に全てを実現するのは困難なため、優先順位を決めて着手することが重要です」と話すのは日立ソリューションズの辻󠄀 敦司氏（セキュリティマーケティング推進部　エバンジェリスト）だ。

日立ソリューションズの辻󠄀 敦司氏

　「ゼロトラストセキュリティで優先順位の高い対策は利用者のID管理や認証強化です。まずはIAM（Identity and Access Management）の導入でクラウド利用のアカウントを整備し、従業員がセキュアかつポリシーを守ってSaaS（Software as a Service）を利用できるようにします。さらに、マルウェア対策であるEPP（Endpoint Protection Platform）やマルウェア侵入後の被害・調査を実施するEDR（Endpoint Detection and Response）、端末を管理してパッチが当たっているかの確認や万一の紛失時にロックやワイプするなどデバイスを統合的に管理するUEM（Unified Endpoint Management）で端末のセキュリティを確保します。ネットワークに関しては、従来は従業員がVPNで社内のプロキシサーバを介してアクセスしていましたが、SWG（Secure Web Gateway）によりゼロトラストセキュリティに則した適切なネットワーク保護を実現します。また、SDP（Software Defined Perimeter）でネットワークの境界をソフトウェアで仮想的かつ動的に構成し、VPNの代替としてセキュアな接続を可能にします。これが、ゼロトラストセキュリティ構築を考えた場合の優先度が高い対策です」（辻󠄀氏）

　同氏によれば、その後はクラウド上で動作するサーバやアプリケーションの脆弱性などの対策を行うCWPP（Cloud Workload Protection Platform）、IaaS／PaaSの設定情報を監視し脆弱な設定を検知するCSPM（Cloud Security Posture Management）、クラウドサービスへのアクセスの可視化やデータ持ち出しの制御を実現するCASB（Cloud Access Security Broker）、ログを分析するSIEM（Security Information and Event Management）、運用を自動化して制御するSOAR（Security Orchestration, Automation and Response）などでアプリケーションやデータの管理、可視化、分析、自動化などを進めるのが理想的だ。

図1　ゼロトラストセキュリティの段階的な対策（出典：日立ソリューションズ提供資料）

製品選定から経営層へのアプローチ方法まで、幅広い提案を実現

　「トータルなセキュリティソリューションの提供」も日立ソリューションズの強みだ。

　「当社はお客さまの課題解決を目的に製品選定やシステム構築提案を行っています。100種類以上のセキュリティ製品やソリューションを取り扱っており、1つの課題に対して複数の類似製品があります。そのため、お客さまごとに最適なソリューションを提案できることが他社との最も大きな差別化ポイントです。2020年1月から2022年9月までに170件以上のゼロトラストセキュリティ案件の引き合い実績があり、成功体験や失敗体験を含めて豊富なナレッジを蓄積しています。その立場から具体的なアドバイスや提案が可能です」（辻󠄀氏）

　セキュリティの全体設計に加えて『どこがリスクなのか』『どこから始めるべきなのか』などに関しても、現状のアセスメントからセキュリティ戦略のグランドデザインを描けるように支援し、候補製品を挙げて顧客企業のフィット＆ギャップ分析を実施する。

　辻󠄀氏は「ゼロトラストセキュリティの取り組みが進む企業の特徴は、トップダウンで明確な指示があることです」と話す。こうした企業はコーポレートサイトで積極的にセキュリティ推進を明言したり、自社で調査を実施してどこがリスクとなり得るかを既に特定していたりするため、ソリューション選定の決断や実現もスピーディーだ。

　一方、ゼロトラストセキュリティ対策の実現で経営層の理解が得られないケースもある。そのような場合には、同業他社の導入事例やセキュリティインシデント発生時の損失額などの説得材料を提供することも可能だ。

　「ボトムアップ型の提案の場合、お客さまの組織内で方針が変わったり、『費用対効果が見えない』と経営層が提案そのものを却下したりすることもあります。このような場合は『特定の部門だけでスモールスタートする』『フェーズを区切って段階的に導入する』『システム更改のタイミングで検討を進める』などのゼロトラストセキュリティ対策がお薦めです」（辻󠄀氏）

抜本的な対策を　ゼロトラストセキュリティ構築事例

　以下の図2は日立ソリューションズが手掛けた、従業員数万人規模の製造業者A社の事例だ。

図2　製造事業者A社が取り組んだゼロトラストセキュリティ構築（出典：日立ソリューションズ提供資料）

　A社は「インターネットへの直接アクセスの実現と安全な利用」「IaaS／PaaSのリスク管理と保護」「クラウドの認証」「なりすまし」などの課題を持っていたため、日立ソリューションズは「インターネットブレークアウトとシャドーITの可視化・制御」「IaaS／PaaSのセキュリティ設定可視化・強化」「ID管理の一元化・多要素認証」の3つの方針を立てた。

　A社ではこれを一気に行うのではなく、段階的に進めた。ゼロトラストネットワークおよびセキュリティの代表的な機能であるCASB／SWG、CSPM／CWPP、IAM、UEMを用いて上図のようなネットワークを構成するもので、DXを推進しやすくグローバル化にも対応できるオープンネットワークを実現した。

　A社のように、パブリッククラウドの設定ミスに起因するインシデントを防ぐためにCSPM／CWPPを導入するケースが増えている。日立ソリューションズが提供するCSPM／CWPPソリューション「Orca Security」を利用すれば、Amazon Web Services（AWS）やMicrosoft Azure（Azure）、Google Cloud Platform（GCP）上のインフラやOS、アプリケーション、データのセキュリティリスクを可視化して管理できる。

　その他にも、SaaS環境のセキュリティリスクを検知、可視化するソリューションとして、新たなカテゴリーであるSSPM（SaaS Security Posture Management）の「AppOmni」がある。これを利用すれば、SaaS上で「情報がグローバルに公開される設定になっている」「接続元のIPアドレス制限がかかっていない」「パスワードポリシーの複雑さが足りない」などを把握できる。日立ソリューションズはAppOmniの国内初となる販売代理店契約を締結し、2022年12月より提供を開始している。

　「すでにゼロトラストセキュリティの取り組みを進めてきた企業がこれから取り組むべきジャンルとして、これら2つの製品を推奨しています」（辻󠄀氏）

中長期的な視野で企画・検討・実行を

　ゼロトラストセキュリティに関連したソリューションは増えているが、取り組むべきことや製品が多く、「簡単には進められない」と頭を抱える情報システム部門やセキュリティ担当者も多い。

　辻󠄀氏はそんな担当者に向けて「これまで企業のセキュリティ対策は短期的な企画や検討、予算取りというケースが多かったと思います。5年後といっても、そこまでの予算を確保するのは困難です。しかし、ゼロトラストセキュリティは複数のソリューションを要するため中長期的な視野がどうしても必要です。短期的な方針検討に加えて、トップの理解を得ながら段階的な導入を進め、中長期的な企画立案や検討、実行が重要です。」と述べる。

　日立ソリューションズは個人情報の重要性が話題になる前から、情報漏洩防止ソリューション「秘文」を開発していた。セキュリティ事業はニーズの拡大を受けて、小規模な組織から、500人を超える規模のセキュリティソリューション事業部にまで成長した。日立ソリューションズは従業員が米国を中心とした海外で新規事業を起業したり、日本市場に参入していないセキュリティ商材を発掘したりする体制も確立している。

　新たなセキュリティ製品をただ日本に持ち帰るのだけでなく、徹底的に動作検証したうえでラインアップに加えていることや、国内外のセキュリティコンテストで高い実績を収めるセキュリティの専門家チームを擁し、攻撃者視点でペネトレーションテストなど実施できるのも同社の強みだ。

　「セキュリティリスクは常に変化しており、新たな対策が必要です。日立ソリューションズは常に海外のトレンドやセキュリティ動向、新技術を追いかけ、お客さまが必要とするソリューションを提供します」（辻󠄀氏）

　導入が困難だとされるゼロトラストセキュリティだが、日立ソリューションズのような経験豊富なサポーターがいれば、そんな状況を打破できるかもしれない。諦める前にまずは相談してみるとよいだろう。

図3　日立ソリューションズのゼロトラストセキュリティラインアップ（出典：日立ソリューションズ提供資料）