ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

気付いたらゼロトラストだった――セキュリティ強化のためのネットワーク構築、重要なのは何がやりたいか(1/2 ページ)

» 2021年04月30日 16時00分 公開
[宮田健ITmedia]

 AI、機械学習、ビッグデータ、DX――IT業界にはさまざまなホットワードが登場する。中でも今、特に情報セキュリティ業界で注目されている言葉がある。それが“ゼロトラスト”だ。

 これまで多くの企業で取られてきた情報セキュリティ施策は“境界型”と呼ばれている。組織の中と外との間に、ファイアウォールなどの機器で壁を作り、その中を安全と見なす方法だ。しかし、境界型セキュリティには、ログインIDやパスワードを第三者に奪われ、一度でも侵入を許してしまうと、その後の対策が難しくなるという問題がある。例えば、情報セキュリティ体制が万全でない企業のネットワークに侵入し、そこを起点に親会社や取引先の大手企業に忍び込むという手口も登場している。サイバー攻撃の多様化で、境界を守るだけでは対応しきれない場面が増えてきた。

 ゼロトラストの考え方が注目されるのは、この境界型の弱点を補えるからだ。ゼロトラストの考え方を取り入れたネットワークでは、全てのアクセスを信頼せず、常に利用者を認証し、監視の上でシステムの利用を許すという方法を採る。そうすれば、たとえ認証を突破されても重要情報へのアクセスを制限したり、ネットワーク内での侵入者の行動を把握し、必要に応じて対処したりできる。

 壁の外で仕事をすることになるテレワークや、外部のクラウドサービスを導入するような企業には向いている仕組みだが、まだ導入実績も少ない。注目は集めているが多くの企業が二の足を踏んでいるという状況だ。

 そんな中、同志社大学は2019年4月、それまで抱えていた課題を解決するために従業員用のネットワークを改修。わずか半年の期間でゼロトラストネットワークを作り上げた。

photo 同志社大学、今出川キャンパス(同志社大学提供)

 しかしそれはホットワードに乗ったからではなく、本当に必要なものを求めた結果だったという。導入の経緯と狙い、そして効果について、同志社大学の情報システムを担当する山北英司氏に話を伺った。

ほしいものが偶然ゼロトラストだった

photo 山北英司氏(同志社大学 総務部 情報企画課)

 山北氏は現在、同志社大学の情報システム部門に在籍し、今回のシステム刷新に携わってきた。同大ではそれまで、大学のWebサイトに緊急のお知らせを掲載する際、VPNを使って校内ネットワークに入り、更新作業をする必要があった。

 しかし、システム管理者はセキュリティを確保するためにID管理やファイアウォールの設定など複雑な作業をする必要がある。ユーザーにとっては利用頻度が低く、システムの使い方を思い出す作業が必要な上に、セキュリティ対策のために実施している二要素認証などに慣れてもらうにも時間がかかった。情報発信までのハードルが高く、ユーザーから使いにくいという声が上がっていたという。

 「緊急性がある作業なので、自宅からでもすぐに対応しないといけないこともあります。にもかかわらず『アレってどうやるの?』という声が上がる。この課題を解決できる代替手段がないだろうかというのが、システムを変更するきっかけでした」と山北氏は述べる。

 さらに、同志社大学がドイツに設置している「同志社大学テュービンゲンEUキャンパス」にも職員を派遣している関係上、そこからも本部のネットワークにセキュアにアクセスする方法を模索していたという事情もある。

 それらを解決する手段として当時一般的だったのは、ネットワーク同士をつなげるVPNだった。VPNであれば、ネットワークとネットワークを暗号化して接続するため、盗聴の心配はなくなる。しかし、VPNはひとたびログインすれば、ネットワーク内で自由に行動できてしまう。

 そこで同志社大学では、VPNに頼らない方法を模索した。特定のサービスへアクセスする際に毎回利用者を認証し、許可されたサービスだけを使えるよう認可する。加えて、常に利用者単位で行動を監視することで、許可された人に、許可された機能のみを安全に使ってもらえる仕組みを作ることにした。そうすれば、例え悪意ある第三者に侵入されたとしても、アクセス制御や足取りの把握ができる。

 この仕組みを実現するために、同大はアカマイ・テクノロジーズの「Enterprise Application Access」(EAA)を採用。こうして、図らずとも時代の最先端のワードであるゼロトラストネットワークの形になったわけだが、山北氏はシステムの設計時には、その言葉を意識していなかったと語る。

 「格好つけるなら、ゼロトラストを狙っていたと言いたいところですが、気が付いたら、できてみたら、そうなっていたというのが正しいです」(山北氏)

 とはいえ、当初の構想はゼロトラストネットワークの考え方そのものだ。山北氏は「VPNだとネットワークに入り込んだ後は細かな制御がしにくいです。必要だったのは、ユーザー個人にひも付いたアクセス制御であり、ユーザーに応じた権限管理ができることでした。結果的にそれがゼロトラストになりました」と話す。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.