注目の「ゼロトラスト」を巡る誤解と本質 移行の現実解は？

[PR／ITmedia]

PR

　新型コロナウイルスの感染拡大を一つのきっかけにして、ライフスタイルも仕事の仕方も大きな変化に直面した。

　特に企業に大きなインパクトをもたらしたのは、これまで例外的に許可されるものという位置付けだったテレワークが、緊急事態宣言を機に、現場で作業せざるを得ない業種を除けばほぼ全社的に導入されたことだろう。宣言が解除された後も、生産性の向上や固定費削減、ワークライフバランスなどを視野に入れ「テレワークを継続する」と宣言する企業もあるほどだ。

　一方で、課題がないわけではない。互いの姿が見えない中で、どう細かなニュアンスも含めたコミュニケーションを実現するのか、労働時間の管理はどうするのかなど、新たな課題に直面して模索を続けている企業が大半だ。

　そしてもう一つ、大きな課題がある。セキュリティ対策の在り方だ。テレワークの拡大、IT環境の変化に伴って、これまでのセキュリティ対策にはさまざまな面で限界が生じてきた。新しい時代に求められるセキュリティとはどうあるべきなのか、ソフトバンクのセキュリティエバンジェリスト、澤入俊和氏に尋ねた。

「境界の内側は安全」という神話を崩壊させた環境の変化

　インターネットが普及し、ウイルスや不正アクセスといったさまざまな脅威が登場するにつれ、セキュリティ対策の必要性が認識されるようになった。そこでわれわれが頼ったのは、昔ながらの防御のアプローチだ。

　ちょうど城壁で城を囲い込むのと同じように、自分たちのいる場所を壁で囲い、外から不審なものが入ってこないように見張り、排除することで、壁の内側の安全を保とうとしたのだ。

ソフトバンク セキュリティエバンジェリスト澤入俊和氏
（法人プロダクト＆事業戦略本部　セキュリティ事業統括部
セキュリティサービス第２部 サービス推進課）

　具体的にはインターネットとの境界部分にファイアウォールをはじめとするセキュリティ機器を設置し、外部からの不正アクセスやウイルスの侵入を防いできた。だが、この10年あまりでIT環境が大きく変化した結果、「この昔ながらのモデルは通用しなくなっている」と澤入氏は指摘する。

　「まず、社内に置かれていたサーバがIaaSやSaaSといったクラウド環境にどんどん移行しました。業務はオフィス内のPCでこなすものでしたが、出張先や出先、自宅など社外でのテレワークが広がっています。この結果、これまでは通信先も通信元も社内にあったのが、今はいずれも内部にあるとは限らず、内と外を分ける境界自体があやふやになっています」（澤入氏）

　加えて、脅威自体の巧妙化も、昔ながらのアプローチの限界を露呈させている。標的型攻撃や最近のランサムウェアは、ユーザーを巧妙な文面でだましたり、サプライチェーンや海外拠点のような防御の手薄なところを狙ったりして壁をすり抜けてくる。いくら境界の壁を厚くしても、すり抜けられた後の体制が手薄では、侵害時の影響は甚大だ。

　そんなここ数年の傾向にとどめを刺したのが、新型コロナウイルスの流行に伴って広がったテレワークだ。これまで想定もしなかった規模でテレワークが行われ、境界そのものが曖昧になる中で、「境界を固めておけば安全」という神話の崩壊を実感している企業は多いだろう。

注目集める「ゼロトラスト」にまつわる誤解

　そんな変化を踏まえ、境界防御の考え方に代わって注目され始めたのが「ゼロトラスト」という考え方だ。

境界防御に変わって注目される「ゼロトラスト」とは

　このコンセプトは2010年、米フォレスター・リサーチのアナリストが提示したものだ。境界型防御の考え方では「壁の内側にいるものは、PCもリソースも無条件で安全だ」という前提に立ってきたが、ゼロトラストでは対象が壁の内側にいようと、外側にいようとまずは「信頼性はゼロ」という前提からスタートする。

　場所にとらわれることなく常に認証やセキュリティ状態のチェックを行い、その結果に基づいて適切なリソースへのアクセスのみを許可していく。

　ただ、物理的な世界の守りに例えやすい境界防御とは異なり、ピンとこない考え方であるのも事実だ。「正直に言えばゼロトラストの定義にはまだあやふやなところがあり、『これをやればゼロトラスト』と断言することは困難ですが、米NISTではゼロトラストの標準化に向けた動きも始まっていますし、いくつか軸となる考え方はあります」と澤入氏。

　まず、認証によりアクセス元の身元を確かめること。そして一度認証を行ったら無条件に信頼するのではなく、継続的に認証やデバイスのセキュリティ状態を確認し、セキュリティポリシーに照らし合わせて適切なアクセス制御を行うことだ。しかもこの考え方は、境界の内側にいようと外側にいようと関係なく適用されなければならない。

ゼロトラストは“壁”を厚くするものではない

　澤入氏がゼロトラストに関してさまざまな顧客と話をする中で、1つ誤解されがちなポイントがあるという。「ゼロトラストならばセキュリティが強固になり、サイバー攻撃への耐性が上がる」というものだ。

　「ゼロトラストは、防御を厚くするためのソリューションではありません。今までの境界防御では、ファイアウォールの次はIPS、その次はサンドボックスといった具合にどんどん境界の壁を増やしてきましたが、ゼロトラストはもっと広い考え方を示すものです」（澤入氏）

　また、デジタルトランスフォーメーション（DX）という大きな潮流の中でも、ゼロトラストという考え方は重要な位置を占めるだろうというのが澤入氏の考え方だ。

　「今後、DXの推進と並行して、システムのクラウド移行や企業間のコラボレーションが進んでいくことになるでしょう。以前は、専用線やVPN接続により企業間でやりとりしていましたが、それもクラウドに移行しています。そこに誰もがアクセスできる状態ではあってはならず、通信の制御が必要です。ゼロトラストが実現する認証、認可の枠組みの中でそうした仕組みが求められるでしょう」（澤入氏）

ゼロトラスト移行の現実解

　米GoogleやMicrosoftのように数年前から取り組み、全面的に移行している例もある。ただ日本の多くの企業の現実を見ると、従来の境界型セキュリティをいきなり取り去るのは困難だろう。そもそもゼロトラストは、IT基盤やネットワークの根本的な変化を必要とするものである以上、今日提唱して明日実現できる、といった類いのものではない。

　澤入氏も、「ゼロトラスト実現を見据えつつも、お客さまの既存のインフラ環境はそれぞれ異なっているため、例えば認証基盤やActive Directoryサーバのリプレースが近いのであればそこに、またネットワークの更改が近いのであればネットワークから着手するなど、計画的に進めるのがいいのではないでしょうか」と、いくつかゼロトラスト実現のポイントを挙げた。

　1つは、エンドポイントのセキュリティだ。「ゼロトラストでは接続元の端末を必ず疑い、常にチェックし、安全な端末だけを接続させることが重要です」（澤入氏）

　その実現を支援するのが「EDR」（Endpoint Detection and Response）だ。EDRを導入済みのエンドポイントのみに社内システムやクラウドへのアクセスを許可することで、セキュリティを担保する。EDRは不審な動きを早期につかんで対処できるため、自宅など外部での作業中にマルウェアに感染してしまった端末が社内に持ち込まれ、拡散してしまう事態を防ぐ意味でも有効だ。

　もう1つの軸は、「セキュアインターネットゲートウェイ」（SIG）だ。境界型セキュリティでは、内側の端末は境界に置かれたファイアウォールやURLフィルタリング、ウイルス対策などで外部の脅威から守られるという前提だった。だがたびたび繰り返してきた通り、いまや境界自体が曖昧になりつつある。

　そこで、これまで境界での見張り役を果たしてきたファイアウォールやサンドボックスといったセキュリティ機器やプロキシサーバの機能をクラウド上で実現するのがSIGだ。アクセスしてきた端末が境界内にいるか、あるいやアクセス先が社内かクラウドかに関係なく、同一のポリシーに基づいて対策を実現できる。

　SIGはさらに、Azure AD（アクティブディレクトリ）をはじめとする認証基盤やシングルサインオン、EDR製品と連携し「この端末はEDRがインストールされており、セキュアな状態にあるから信頼して接続を許可する」といった具合に、ゼロトラストにおけるハブとしての役割も果たせる。

幅広い選択肢とニーズに合わせた組み合わせでゼロトラストを実現

　ソフトバンクはそうした企業を支援する幅広いソリューションを備え、ゼロトラストの実現を手助けしていく。

　例えばSIGならばクラウドベースの「Zscaler」を、またEDR製品ならば国内でも実績のある「Cybereason」や「Microsoft Defender for Endpoint」といった製品を用意する他、それらの運用を支援するマネージドセキュリティサービスも提供している。

　さらにそれ以外の領域、例えば認証やシングルサインオン、SD-WANなど、さまざまなソリューションをそろえている幅の広さもまた、ソフトバンクの強みだ。ゼロトラストの実現に当たって、何をどう移行していくかは企業によって異なる。拠点をどのように結ぶか、境界外には出せない業務用システムをどうするかといった課題を踏まえながら移行するならば、決まったパッケージの押しつけでは困難だ。

　新型コロナをきっかけに、いや応なしに変化に直面することになった企業のセキュリティ環境。回線やネットワーク自体の見直しも含めて最適なアーキテクチャを実現する上で、ソフトバンクは大きな力になってくれるに違いない。