ホワイトハッカーと考える ネットワーク全体を守る「ゼロトラストセキュリティ」のベストプラクティス：「製品を買って終わり」「やったつもり」になっていないか？

企業のセキュリティ対策が転換点を迎え、「ゼロトラスト」が注目を集めている。しかし人的リソースやIT予算の制約が大きい中堅企業にとって、ゼロトラストセキュリティの実現にはさまざまなハードルが存在する。それらを解消する手だてを、ホワイトハッカーと考える。

[PR／ITmedia]

　サイバー攻撃の巧妙化とともに、企業のセキュリティ対策は転換点を迎えている。従来の境界防御では不十分とされる中、注目を集めるのがゼロトラストセキュリティだ。しかし「何から始めればいいか分からない」「導入した製品で期待通りの効果が得られていない」といった悩みを抱える企業もある。

　とりわけ大企業に比べて人的リソースやIT予算の制約が大きい中堅企業にとって、ゼロトラストセキュリティを実現する際に何がハードルとなっているのか。ホワイトハッカーとして数々の組織のセキュリティ対策を支援してきたレオンテクノロジーの守井浩司氏とSB C&Sでセキュリティ領域を専門とする藤ノ木俊氏が、実際の攻撃事例を基に議論した。最新のサイバー脅威動向を分析しながら、ゼロトラストセキュリティの有効性と実現のアプローチを探る。

※以下、敬称略

「大企業だけの話ではない」中堅企業に迫るセキュリティ脅威

――近年のサイバー攻撃の傾向を教えてください。

守井　情報処理推進機構（IPA）が2025年1月30日に発表した「情報セキュリティ10大脅威 2025」で、上位2つに挙がっているのが「ランサムウェア攻撃」と「サプライチェーンや委託先を狙った攻撃」です。特にサプライチェーンや委託先を狙った攻撃で、比較的規模の小さい企業が標的にされがちです。取引先である大企業とネットワークで接続されており重要なシステムにアクセスできる立場にありながら、セキュリティ体制が脆弱（ぜいじゃく）な企業は多く存在しています。そのギャップが攻撃者にとって“突破口”になっています。

レオンテクノロジーの守井浩司氏（代表取締役社長）

――セキュリティ強化の流れでゼロトラストの重要性に注目が集まっていますが、このトレンドについてどう思いますか。

守井　ゼロトラストとは、全てのトラフィックを信用しないセキュリティモデルです。「一度許可されたら安全」という従来の考え方ではなく、社内ネットワークでも常に認証・認可を実施します。アクセス後の行動を監視し続け、異常があれば即時に対応する仕組みです。

藤ノ木　ゼロトラストという言葉がバズワード化したため、「ゼロトラストをうたう製品を入れたから安心だ」と思い込んでいるユーザー企業は多いという印象です。しかし、セキュリティ製品を何か一つ導入すればゼロトラストが実現できるわけではありません。高機能な製品を複数導入している企業でも、実情を聞くと「十分に運用し切れていない」という話はよくあります。

守井　製品を導入しただけで満足してしまう企業は確かに多いですね。フォレンジック調査でさまざまな中堅企業に伺うと、「EDR（Endpoint Detection and Response）製品は導入したがネットワークは守っていない」「重要なシステムやサービスへの接続時に全く認証・認可をしない」「いつ誰が何のシステムにアクセスしたかのログを取っていない」という状況がよくあります。セキュリティ製品を入れても継続的に運用できなければ、当然ながら投資効果は得られません。

ネットワークからアクセス制御まで――HPE Aruba Networkingが提供する一貫した防御

――IoT（モノのネットワーク）やBYOD（Bring Your Own Device）の普及などによってサイバー脅威は増大しています。こうした中でゼロトラストセキュリティを構築する際、重視すべき点は何でしょうか。

守井　まずはネットワーク全体の可視化です。たとえエンドポイントを守っていても、社内の通信状況を把握できなければラテラルムーブメントや外部への情報持ち出しに気付けません。

　重要なのは複数の通信プロトコルを監視することです。セキュリティ製品の多くは、Web通信などで使用されるTCP（Transmission Control Protocol）を中心に監視しています。ところが攻撃者は、大量のデータを外部へ送信するのにUDP（User Datagram Protocol）を悪用することがあります。

藤ノ木　もう一つ重要なポイントは、認証とアクセス制御です。「どのユーザーが」「どこから」「どのデータに」アクセスしようとしているのかをその都度監視し、必要最小限の権限のみを与える。この「最小権限の原則」は、ゼロトラストの中核となる考え方です。単に接続の可否を判断するだけでなく、ユーザーのロール（役割）や利用環境に応じてアクセス範囲を動的に制御することが求められます。

SB C&Sの藤ノ木俊氏（ICT事業本部 技術本部 技術統括部 第3技術部 1課 課長代行）

守井　導入した製品同士の連携も重要です。EDRで検知した情報をネットワーク側で即座に受け取って通信を遮断できなければ、被害の拡大は防げません。製品導入におけるアドバイスとしては「可視化」「アクセス制御」、複数製品を一元的に管理・連携できることが重要です。

――そうした観点からSB C&Sは、ネットワークの防御を強化する上でどのように支援しているのでしょうか。

藤ノ木　弊社はさまざまなネットワーク管理製品を扱っていますが、その中でも「HPE Aruba Networking」は「ネットワーク」「認証」「可視化」「制御」の機能を一体的に提供できるという点で、ゼロトラストの第一歩としてお薦めできます。特に「ロールベースアクセス制御」（RBAC）は、ゼロトラストの考え方が広まる前から最小権限の原則に基づいたアクセス管理をネットワークレベルで実現してきました。これは、ネットワーク機器の一般的な機能を超えた高度なセキュリティを可能にする仕組みです。

――「アクセス制御をネットワークレベルで実現する」仕組みについて具体的に教えてください。

藤ノ木　HPE Aruba Networkingは複数のアクセスポイントやスイッチ、ゲートウェイを統合管理し、それぞれの機器に一貫したセキュリティポリシーを適用できます。

　従業員が社内ネットワークに接続する際、認証サーバ「HPE Aruba Networking ClearPass」がIDや端末情報などを確認し、ユーザーに「営業」「総務」「ゲスト」といったロールを割り当てます。このロール情報は認証プロトコル「RADIUS」（Remote Authentication Dial In User Service）を通じてネットワーク機器に伝えられ、事前に設定されたポリシーに基づいて通信範囲が自動的に制限されます。つまり、「誰が」「どこから」「何にアクセスできるか」をネットワーク側で厳密に制御できる仕組みです。

　HPE Aruba Networkingは多層防御の観点でも効果を発揮します。無線LANコントローラーはステートフルファイアウォールやIPS／IDS（侵入防止システム／侵入検知システム）などのセキュリティ機能を搭載しており、ネットワーク境界における防御を強化します。社内ネットワーク間の通信も制御でき、仮に脅威の侵入を許したとしてもラテラルムーブメントを抑止することが可能です。

守井　HPE Aruba Networkingはその歴史からネットワーク機器管理のイメージが強かったのですが、ゼロトラストセキュリティの仕組みを統合しているのですね。

藤ノ木　もう一つの特徴はクラウド利用時の制御です。HPE Aruba Networkingはオンプレミスインフラが主流だった時代からRBACを利用可能でしたが、この設計思想はクラウドインフラが普及した現在にも引き継がれています。「HPE Aruba Networking Central」内のクラウドの認証機能「Central NAC」を通じてRBACを実現しているのです。これにより、拠点や利用環境を問わず一貫性のあるアクセス制御が可能になります。オンプレミスからクラウドへの移行過程において、セキュリティポリシーの一貫性を保てる点は大きな利点です。

限られた人材と予算で実現する「セキュリティ運用の最適解」

――「セキュリティ対策は継続的な運用が不可欠」との指摘がありましたが、人材やIT予算不足などの課題があって現実的に難しい場合、この制約をどう打開すればいいのでしょうか。

守井　ネットワークやセキュリティの専任エンジニアを確保できない企業にまず考えていただきたいのは、複数の製品をシームレスに連携させ、それらを一元管理できる環境を整えることです。製品同士が連携していれば、インシデントの記録と追跡において、より高い精度と効率が期待できます。

藤ノ木　こうした運用課題を解消するのに、「HPE Aruba Networking Central」は有効な選択肢の一つになります。

　HPE Aruba Networking Centralはネットワークやセキュリティの状態をグラフィカルに可視化して一元管理できるプラットフォームです。ネットワークの設定やステータスを直感的に確認でき、横断的な設定変更もできるため、運用業務の負担が軽減します。

――複数ベンダーのネットワーク機器を併用している企業も多くあります。そうした複雑な環境でもHPE Aruba Networking Centralによる一元管理は可能でしょうか。

藤ノ木　マルチベンダー環境でも一元管理できます。HPE Aruba Networking CentralはHPE OpsRamp Softwareの技術を組み合わせ、サードパーティー製ネットワーク機器を監視する機能やAI技術でネットワーク運用を最適化・自動化するAIOps（Artificial Intelligence for IT Operations）機能を追加しました。

　人材が不足している中、AIはますます頼れる存在になるはずです。AIがログを分析してネットワークトラブルを事前に検知してIT管理者に通知することで、障害対処のスピードを速められます。

　HPEのオンプレミスインフラ従量課金サービス「HPE GreenLake」のエコシステムとポートフォリオ拡大の一環として、HPE Aruba Networking CentralやSD-WAN製品、SSE（Security Service Edge）製品を統合する計画もあります。HPE GreenLakeのプラットフォームでネットワークとセキュリティの管理を一元化し、包括的に可視化・制御する構成が可能になります。

　HPE Aruba Networking Centralの最近のアップデートではIoT機器に対するセキュリティ機能が強化されました。通信特性（少量で定常的な通信パターン）を基にIoT機器を識別し、異常なトラフィックを検知するとアラートを発します。多様なデバイスが接続される環境でも、リスクの早期把握に貢献しています。

守井　AI技術は膨大なログやトラフィックをリアルタイムで解析できる点が強みですね。現時点で過度な期待を寄せるのはリスクも伴いますが、AIによる監視と人間の判断を組み合わせると、ヒューマンエラーによる見落としをAIで補いつつ大量のデータを迅速かつ広範に扱えるようになる。その結果として運用の安定性と網羅性が高まると考えています。

安定、安全、安心の積み重ねでゼロトラストを実現

――最後に、ゼロトラストの構築を考えている中堅企業にアドバイスをお願いします。

守井　セキュリティ対策の根底には「安定」が欠かせません。その上で「安全」を確保して、ようやく企業にとっての「安心」を手に入れられるようになります。IT人材の確保が難しい今、システムが一定の精度で判断して運用を支援する価値はトータルコストの観点からも大きいと思います。運用のしやすさ、拡張性、連携の柔軟さに優れた製品に投資することで、長期的には堅牢（けんろう）かつコスト効率の高いセキュリティ体制を手に入れられるでしょう。

藤ノ木　ゼロトラストで最初に取り組むべきは「何を守るのか」「どんな課題があるのか」を明確にすることです。どこから着手すべきかに迷った場合は、専門家やパートナーに相談することが成功への近道です。SB C&Sの「セキュリティソムリエ」は、お客さまの現状やニーズを丁寧にヒアリングし、特定の製品やメーカーにとらわれない中立的な立場で最適なソリューションを提案します。ぜひご相談ください。

＜本アンケートは終了しました＞●Amazonギフトカードが当たる！アンケート実施中

本記事に関連して「ネットワーク・セキュリティ」についてのアンケートを実施しています。回答された方から抽選で10名様にAmazonギフトカード3000円分をプレゼントいたします。ぜひ下記アンケートフォームよりご回答ください。当選発表は発送をもって代えさせていただきます。

ログイン または 会員登録（無料）いただくとアンケートフォームが表示されます。オレンジ色の「アンケートに回答する」ボタンからアンケート回答をお願いいたします。