ゼロ トラスト と は。 テレワークで注目されるゼロトラストとは?従来型VPNではテレワーク経由のマルウェア感染拡大を防げない(大元隆志)

ゼロトラスト時代へ、ポストコロナに向けた企業ITの勘所 (1/2)

ゼロ トラスト と は

この記事の目次• ゼロトラストの概念 「ゼロトラスト」とは、新しいセキュリティの概念を指します。 色々なところで定義がされていますが、特定の製品やカテゴリを指す言葉ではありません。 そこはご注意を! その概念ですが、「ゼロトラスト」という名の通り、「信じるものはなにもない」ということです。 なんか、とても悲しい響きですね(泣)。 でも、とても大切な考え方なのです。 以下に従来のセキュリティと対比しながら解説をいたします。 これを「 境界防御」といいます。 境界防御の問題点とは? では、この境界防御の問題点はなんでしょうか。 一つは、時代の流れによって「オフィスとオンプレデータセンターの前提」がなくなったことが挙げられます。 社内システムがAWSに移行され、メールはOffice365を使い、Slackでコミュニケーションを取り、働き方改革で様々な環境で仕事をするようになりました。 コロナウイルスの影響もあり、半ば強制的に自宅から仕事をするようになったことをきっかけとし、その流れは一般化されていくことが予想されます。 また悪意のある攻撃の巧妙化により、セキュリティリスクも以前とは比べられないほど高まっております。 すなわち、これまで新しいサービスや仕組みを入れるたびに、境界に穴をあけ、運用を厳密化することで保っていたセキュリティレベルも、もう限界にきていることが一番大きな要因として挙げられます。 ゼロトラストという概念で変わること では、ゼロトラストという概念が導入されるとこれまでの境界防御とはどう変わってくるのでしょうか。 まず、物理的に構築された境界をソフトウエアベースに切り替えます。 クラウドベースといってもよいかもしれませんね。 その境界を越え社内リソースにアクセスしてきた人に対し、複数の認証を行い、さらに行動を常に監視することで、怪しいユーザーを炙り出すということです。 その対象はネットワークだけでなく、デバイス、アイデンティティ、ワークロード、データ等レイヤーを超えて、統合的に判断をします。 サッカーでいうと・・・ ここで、イメージをつかんでもらいたく、スタジアムにサッカーを観に行く(筆者は清水エスパルスサポーター)ことを例にとって考えてみましょう。 従来の考え方は、一度チケットを係に見せ許可 =認証 をもらえれば、すべてのスタジアム内 =社内リソース に行き来することができるようになります。 これが従来からある、「境界防御」という考え方です。 といったイメージです。 そのためフーリガンやテロ等を事前に防ぎ、安全な観戦を楽しめることができると言えるでしょう。 ゼロトラストのメリット ゼロトラストという考え方・仕組みには様々なメリットがあります。 ここではユーザーとIT管理者に分けて考えたいと思います。 さらにその波は、ネットワークとの統合の動きも見られており、企業のITインフラ全体を巻き込んだ形に発展していきそうです。 次回のBlogでは具体的なテクノロジー概要および検討においてのポイント、そしてクララオンライン取り組みについて、お話しできればと思います。 POPULAR POSTS•

次の

テレワーク推進で高まるセキュリティリスク 解決策は「ゼロトラスト」:全てのアクセスを信用しない理由

ゼロ トラスト と は

新型コロナウィルスによる事業継続リスクを考慮して、都内のIT系企業を中心にテレワークの導入が急加速している。 それとは別に、筆者は日本固有のリスクとして風評被害リスクも無視出来ないと考える。 国内企業全体の課題に人材獲得競争が挙げられるが、求人市場は少子高齢化による労働人口減少によって空前の売り手市場。 万が一自社で新型コロナウィルス感染者が発生した場合には社名も含めて大きく報道されるリスクが有り、企業としての対応に落ち度が有れば「高熱でも通勤させるブラック企業」「在宅勤務の制度も準備していなかった」等の批判を集めるリスクも有り、このような風評被害が広がれば採用活動に大きくマイナス影響となるだろう。 新型コロナウィルスの感染者が僅か一名に留めることが出来たとしても、こういった風評被害は大きくなる可能性も有るため、企業として最低限の制度として、在宅で仕事を出来る環境を整えておくことは、重要なリスク対策の一つと言えるだろう。 比較的検討期間の長かった企業がテレワーク用のシステムを検討する時に採用する傾向に有るのが「ゼロトラストアーキテクチャ」と呼ばれる新しいセキュリティの考え方だ。 ・場所を守る境界型セキュリティ インターネットが登場してから、企業のセキュリティは、「社外は危険、社内は安全」という「場所を守る境界型セキュリティ」が主流で有り、企業の外側と内側にファイアウォールを置き内側を守るという考え方が一般的であった。 この考え方では社外からのアクセスに対しては危険と考えアクセス制御を用いるが、社内は安全とみなしアクセス制御は実施しないという考え方に基づいていた。 ・境界型セキュリティの限界 しかし、企業が働き方改革等の目的でOffice365やiPhoneといったクラウドサービスやモバイルシステムの導入を進めたことで、従来の境界を定めてファイアウォール等で企業の中を外部からの侵入者から守るという考え方が通用しなくなってきた。 なぜなら企業のデータ資産はOffice365等のクラウド上で作成され共有されるので、企業内に設置したファイアウォールではこれらのクラウド上のデータ資産を保護することは出来ないし、今まで安全だと考えられていた社内の中にもBYOD等の私物端末が持ち込まれたり、あるいはマルウェアが社内の中を縦横無尽に感染するということが当たり前になってしまった。 更には社外からモバイル端末でOffice365等にアクセスされると、社内のセキュリティを迂回してアクセスされるようになった。 クラウドとモバイルの登場によって「境界」の定義が曖昧になり、境界型セキュリティで守るという考え方が限界にきたのである。 企業がクラウドとモバイルの採用を始めたことで、従来の境界を定めてFWで守るという考え方が通用しなくなってきた。 ・データ資産を守るゼロトラストアーキテクチャ こういった状況に逸早く気付いた企業は、クラウドとモバイルにも対応した新しいセキュリティの考え方を求めるようになり、その答えの一つとして「ゼロトラストアーキテクチャ」を採用するようになってきた。 「ゼロトラストアーキテクチャ」では、境界型セキュリティで採用されていた「場所」による安全性の判定では無く、「守るべき資産」を定義し、そこにアクセスする「ユーザ」や「端末」「アプリケーション サービス 」の信頼性を常に評価するアーキテクチャへと変化する。 例えば、社内からのアクセスであっても、「守るべき資産」に対してアクセスしようとするユーザが、ユーザは本人か? そのユーザはこのリソースにアクセスする権限を持っているか? 利用している端末は安全か? といったことを検閲することで、正しい権限を持ったユーザが本人だと認められた場合のみ、初めてアクセスが許可される。 では、このゼロトラストアーキテクチャを用いてテレワークを実施すると、従来型の「境界型セキュリティ」と比較して何が安全になるのだろうか? 従来型の「境界型セキュリティ」をVPNと捉えて、比較してみよう。 VPNは基本的には一度ユーザがIDとパスワードで認証が成功すると、ネットワーク単位で通信し放題になる。 そのためテレワークでマルウェアに感染したパソコンが社内に接続するとポートスキャンを実行し、社内に感染可能なパソコンやサーバを探索し始める。 さらに、基本的には通信セッションも切断されるまでは保持されたままであり、セッションの正常性等は検閲されない。 公衆WiFi経由でVPN通信を行いセッションが盗まれていたとしても切断されることもない。 VPNのこういった特徴は長らくテレワークの標準的な技術として採用されていたこともあり「当たり前のもの」として疑問視されることは少なかったが、近年セキュリティの観点からは非常に問題視されるようになっていた。 ・特徴1:最小権限 ゼロトラストアーキテクチャでは、最小権限の考えが適用されるので、ユーザが例えIDとパスワードによる認証が成功したとしても、そのユーザがアクセス権限を持つアプリケーションにのみアクセス可能となる。 ポートスキャンなどを実行したとしても、アクセスが許可されているアプリケーションの通信ポートにしかスキャンを実施することは出来ない。 この特徴によってマルウェアが横方向に感染を拡大する偵察活動を封じることが出来る。 ・特徴2:通信セッションの検閲 VPNでは一度接続されたセッションは原則張りっぱなしとなる。 例え中間者攻撃等でセッションが奪われていたとしても再検証されることはない。 しかし、ゼロトラストアーキテクチャでは「10秒前に正常だったセッションが今も正常で有るとは限らない」といった考えに基づき、定期的に検閲する。 ・特徴4:端末の信頼性評価 証明書等を用いて、アクセスしている端末が会社支給の端末か、私用の端末か? 等を判定する。 更に、アクセスしている端末のOSバージョンやパッチの適用状況、マルウェア対策アプリのシグネチャ等が最新か? 等をチェックし、信頼出来ない端末で有ると判断されれば接続を拒否するといったことが可能になる。 ゼロトラストを採用しようとした場合に一つの参考になるのが、調査会社のForrester社が発行している「」だ。 Forrester社「The Forrester Wave」によるゼロトラスト提供ベンダーの比較 ゼロトラストに興味を持ったならば、このレポートに掲載されているメーカーのソリューションを比較してみると良いだろう。 ゼロトラストアーキテクチャを採用している国内最大規模の事例がLIXILだ。 LIXILは2011年に国内の主要な建材・設備機器メーカー5社が統合して誕生し、世界150ヵ国以上で70,000人を超える従業員を擁するグローバルカンパニーだ。 LIXILは、ショールーム、代理店、営業拠点、生産拠点など様々な要素を持った拠点が複雑に絡み合うプライベートネットワークを有しており、パートナーである代理店を含むと100,000人以上が日常的に社内外からこのプライベートネットワークを通して業務アプリケーション群へアクセスしていた。 IT部門の課題はビジネスのスピードを損なわずに、この複雑なシステム運用をシンプルかつ今の時代に適したセキュアなネットワークへ移行させることだった。 この「今の時代に適したセキュアなネットワーク」を実現するために、LIXILはアカマイ社のEAA Enterprise Application Access と呼ばれるテレワークソリューションを用いてゼロトラストアーキテクチャを実現している。 事態は急を要するため従来のVPNを用いたテレワーク環境の整備を考える企業は少なくないだろう。 しかし、テレワークは今後労働人口の減少していく日本にとっては、女性や高齢者が自宅に居ながらでも仕事をするための無くてはならない仕組みの一つである。 一過性のものとして捉えずに、クラウドとモバイル時代に適したテレワークソリューションの有るべき姿として、ゼロトラストアーキテクチャを検討してみるのも悪くは無いだろう。

次の

「ゼロトラスト」時代に求められる産業向けIoT機器のセキュリティ管理―サイバートラストオンラインセミナーレポート2

ゼロ トラスト と は

<目次>• それでは、何を信頼できないこととするのだろうか。 ゼロトラストセキュリティを理解するために、まずは従来のセキュリティモデルである「ペリメタセキュリティ」についてみてみよう。 「ペリメタセキュリティ」とは ペリメタ(perimeter)とは、境界線という意味である。 インターネットと企業ネットワークの間に明確な境界線を引き、境界線上にファイアウォールなどのセキュリティデバイスを設置、セキュリティ上の脅威を境界線で防御することによって企業ネットワーク内部に侵入させない、という対策をとる。 また、企業ネットワークへの接続も厳格に管理されることになる。 これによって、境界の内側である企業ネットワークの安全性を確保し、企業ネットワーク上に保存された守るべき情報資産を保護するのだ。 境界線の外側にいる者は信用できず、したがって情報資産へアクセスすることはできない。 一方、企業ネットワークに接続を許可された者(境界の内部にいる者)は信用され、情報資産へアクセスすることができる。 すなわち、ペリメタセキュリティとは、企業ネットワーク上のデバイスを信用する、トラストセキュリティとでもいうべき考え方なのだ。 ペリメタセキュリティは多くのケースにおいて依然として有効な対策であろう。 実際、ペリメタセキュリティに基づいて構築されてきたシステムや業務プロセスは、多くの企業において今なお実際に運用されている。 ペリメタセキュリティの限界 長きにわたって構築、運用されてきたペリメタセキュリティだが、その限界が認識され始めている。 技術、働き方、社会、会社を取り巻くさまざまな環境が大きく変わる中で、ペリメタセキュリティでは情報システムに対する要請の変化を受け止めきれなくなったのだ。 ペリメタセキュリティには、次のような暗黙の前提が置かれていることに気づいただろうか。 守るべき情報資産は境界の内側にある• 従業員は境界の内側で業務を行う• 境界の内側の安全性を確保することができる このような前提はことごとく崩れ去ろうとしている。 まずは、情報資産の保存場所だ。 ペリメタセキュリティではオンプレミスのファイルサーバやデータベースに格納されていることが前提とされていた。 しかし、クラウドに対する理解の深まりとともに抵抗感が薄れてきた今日、メールやスケジュールのみならず、ファイルサーバや基幹システムも含めてクラウド上に移行したり、その検討をしたりする企業が急速に増加している。 気が付けば、境界の内部にはほとんど情報資産がない…ということすら起きつつあるのだ。 次に、従業員が業務する場所。 働き方改革や通信回線の高速化によって、業種や業務内容によっては事業所に行かずとも仕事が可能となった。 外回りの営業職がVPNを使ってリモートワークをすることもあったが、そのような働き方が可能な職種が大幅に増えたのである。 これにより、週に数日といった形で在宅勤務をする人も増加している。 さらに、拠点のない地方や海外に居を構えて働く、いわゆるノマドワークを取り入れる会社も現れ始めた。 ベンチャーなどでは、そもそも物理的な拠点がないケースも存在するのだ。 最後に、境界の内側の安全性について。 サイバー攻撃といえばサイバー空間で閉じるというイメージが強いかもしれない。 しかし、昨今のサイバー攻撃者にとって、サイバー空間での攻撃は単なる手段に過ぎず、必要な場合には実空間での攻撃も組み合わせている。 たとえば、訪問者を装って物理的に侵入し、何らかの攻撃用デバイスを仕掛けるといったことも考えられる。 また、標的型メールも思わず開封してしまい、さらにそれが怪しいメールであることに気づかないまま、長期にわたって攻撃者が遠隔制御するなどの不審なプロセスが動作し続けていることも珍しくない。 物理セキュリティや従業員への啓蒙活動も重要だが、境界線での防衛だけでは、境界の内部の安全性を十分に確保することは難しくなっているのだ。 「ゼロトラストセキュリティ」とは このように、守るべきものは企業ネットワーク内になく、従業員も会社にいないという状況では、ペリメタセキュリティによって企業ネットワークの安全性を確保することが意味をなさない。 さらに、そのような対策にもかかわらず、企業ネットワーク内の安全性にすら疑義が生じる状況となっている。 ペリメタセキュリティ ゼロトラストセキュリティ 情報資産の保存場所 企業ネットワーク内 あらゆる場所 従業員の働く場所 企業の物理拠点 あらゆる場所 企業ネットワークの安全性 確保できる前提 確保できない前提 そこで、ゼロトラストセキュリティである。 この考え方は2010年にForrester Research社により提唱されたものだが、前述のような背景により、最近になって脚光を浴びるようになった。 その基本的な考え方は、「企業ネットワークは信頼に足るものである」という前提を捨て、すべてのアクセスを検査する、というものである。 具体的には、たとえば次のような項目を検査対象とすることがある。 アクセス元の端末はアクセスを許可されたものか• アクセス元の端末のセキュリティ対策は適切か• アクセス元のユーザーはアクセスを許可された者か• アクセス元のユーザーの挙動に怪しい点はないか サーバへのアクセスがあれば、それを検査する。 情報資産へのアクセスがあれば、それを検査する。

次の