テレワークを支える新たなセキュリティ「ゼロトラスト」とは?

コロナ禍により急速に拡大したテレワーク、ニューノーマルな働き方として注目されていますが、同時に新たなセキュリティ問題への対応が必要となりました。

この記事は、企業のIT担当者向けに具体的なセキュリティリスクと「ゼロトラストセキュリティ」と呼ばれるテレワーク向けセキュリティ対策について解説します。

テレワーク時代における新たなセキュリティリスク

コロナ禍により企業のテレワーク導入が急速に拡大しました。ニューノーマルな働き方の一つであるテレワークは、企業・従業員共に多くの恩恵を受けられる制度といえるでしょう。

しかしながらその実現のためには新たなセキュリティリスクへの対策が急務となります。リモートワークがもたらすあらたなリスク、それはどこでも仕事が出来る環境に関係します。

社内・社外の境界がなくなることによる脅威

なによりこれまでと大きく変わったのは、システム環境に「社内」「社外」の境目が無くなっている点です。

テレワーク前、システム環境は主に「社内=Trust」「社外=Untrust」とゾーン分けをされていました。社員はすべてのPCを社内で利用、業務上の機密情報はすべて「社内=Trust」で利用することでセキュリティを保ってきました。その上で社外向けのメールなどUntrust側へのデータ送信は最小限にすることでセキュリティリスクを低減していました。

しかしながら、テレワークはこの概念を大きく変えました。従業員がありとあらゆる場所で仕事するには社内外で機密データ利用する為、「社内=Trust」という概念が無くなってしまったのです。これにより企業セキュリティのあり方は根本から見直しが必要になってしまったのです。

 

 

求められる新たなセキュリティ環境「ゼロトラスト」

そこで新たに考えられたセキュリティ環境が「ゼロトラストセキュリティ」なのです。ゼロトラスト、即ち信頼できるものは誰もいない、という考え方を元にした新たなセキュリティ環境の事です。

ゼロトラストセキュリティでは、これまでのTrust、Untrustと言ったゾーニングに基づく考え方ではなく、デバイス単位での信頼性に基づいたセキュリティの考え方です。具体的に言えば、社員1人1人がもつPCやスマホ自体がアクセス先のサーバや社内リソースとの間で認証を行い、信頼性を確認できたデバイスが与えられた場所にアクセスできるようになるのです。

この為、ゼロトラストセキュリティでは、より高度な認証システムとセキュリティ技術の組み合わせが重要です。社内で利用している時と異なり、2段階認証やワンタイムパスワード、生体認証などが用いられているのはそのためです。

但し、認証数が多くなればその分ユーザの利便性は下がります。そのため、SSO(シングルサインオン)などを用いて快適性を確保することは必要です。

 

ゼロトラストセキュリティで抑えるべきポイント

それではゼロトラストセキュリティを構築する上で、具体的にどの部分を考慮すればよいのでしょうか? 抑えるべきポイントについて記載します。

守るべき7つの「ゼロトラストセキュリティ」

2018年11月に、Forrester Research社が、「Zero Trust eXtended (ZTX)フレームワーク」として、ゼロトラストモデルを実現するための7つの要件を定義しました。NRIセキュアでは、その7つの要件を「ゼロトラストモデルを構成する7つの要素」(https://www.nri-secure.co.jp/blog/benefits-of-introducing-a-zero-trust-model-in-telework)として以下のようにまとめております。

(ゼロトラストモデルを構成する7つの要素)

上記の7つの要素に関する対策例を紹介すると以下の通りです。

■「ネットワークセキュリティ」で内外を区別しないアクセスの対策例としては、ガートナーが提唱しているSASE(Secure Access Service Edge)を構成するSD-WAN(Software Defined Wide Area Network:ソフトウェアによって仮想的なネットワークを作る技術)、SWG(Secure Web Gateway: ユーザーのインターネット通信のチェック、ファイアウォールに代わる仕組み)、FWaaS(クラウドサービスに対するサービスとしてのファイアウォール)、ZTNA(Zero Trust Network Access:リモートアクセス要求に対し、ユーザーのID情報やデバイスのセキュリティ状況を検証、許可)などがあります。

■「アイデンティティ・セキュリティ」の対策例としては、2段階認証、ワンタイムパスワード、生体認証、SSO、IDaaS(Identity as a Service:アイデンティティ(Identity)の管理をクラウドにて管理)などがあります。

■「ワークロードセキュリティ」の対策例としては、CWPP (Cloud Workload Protection Platform:クラウドの仮想マシン、コンテナ層等における監視、保護)などがあります。

■「デバイスセキュリティ」の対策例としてのエンドポイントセキュリティでは、EDR (Endpoint Detection and Response:端末の操作や動作の監視)やEMM(Enterprise Mobility Management:モバイル端末を総合的に管理)などがあります。

■「データセキュリティ」の対策例としては、DLP (Data Loss Prevention:データ損失防止システム)などがあります。

■「セキュリティの可視化と分析」の対策例としては、SIEM (Security Information and Event Management: セキュリティ情報イベント管理)、UEBA (User and Entity Behavior Analytics: ユーザーとエンティティの行動分析)、CASB(Cloud Access Security Broker:複数のクラウドサービス利用でCASBを必ず経由させることで一貫性あるセキュリティポリシーを適用)などがあります。

■「セキュリティ運用の自動化」の対策例としては、SOAR (Security Orchestration and Automation Response:組織の各種セキュリティ機器や外部サービスから収集したセキュリティ情報を統合し、インシデント対応を自動化)などがあります。

(ゼロトラスト対策の構成の全体像)

上記に挙げられたようなゼロトラストの対策を組み込んだ具体的な全体構成の例について、マクニカネットワークスにより示されたものを参考として以下に示します。(https://mnc.macnica.net/2021/03/zerotrust/sase.html

 

まとめ

テレワーク環境はこれまでのIT環境の概念を根本から変えてしまうほどのインパクトがあります。それは同時にセキュリティ環境においても同じく、大幅な見直しが必要となるのです。いろいろなセキュリティ関連のデバイス、サービスがありますが、ゼロトラストの7つの要素を意識し、また、組織毎のビジネスにおける適切なリスク評価に基づき、バランスの取れたセキュリティ対策のご検討をおすすめします。